La disciplina penale degli illeciti in materia di tecnologie informatiche




Giorgio Pica
La disciplina penale degli illeciti in materia di tecnologie informatiche.
(Pubblicato in Rivista Penale dell’Economia, 1995).

1. La rilevanza giuridica delle tecnologie informatiche. -- Le tecnologie informatiche costituiscono oggi uno strumento essenziale ed irrinunciabile di comunicazione, informazione, elaborazione ed archiviazione dati, e sono utilizzate a tutti i livelli, individuali e collettivi, per le finalità più varie, personali e professionali, pubbliche e private, civili e militari.
La loro diffusione ha creato molteplici problemi sul piano giuridico, derivanti dalle profonde modificazioni dell'agire umano che esse hanno indotto, e molti di tali problemi sono ancora in via di approfondimento ed in attesa di una convincente soluzione negli ordinamenti occidentali.
In primo luogo, l'informatica ha dato vita a nuove forme di comunicazione e di lavoro, che hanno imposto anche nuove modalità concrete dei comportamenti e dell'agire umano, con inevitabili implicazioni giuridiche in ordine alla efficacia, certezza, validità, genuinità, nonché liceità, delle attività e degli atti compiuti con gli strumenti informatici.
Ma soprattutto le nuove tecnologie hanno messo in crisi alcuni fra i più essenziali capisaldi logici dell'ordinamento giuridico tradizionale, quali la considerazione della scrittura come unica, o principale, forma di documentazione della volontà dei soggetti, o anche la necessità della diretta provenienza dall'uomo delle sue manifestazioni di volontà, scritte od orali che siano.
L'informatica, infatti, ha introdotto una nuova forma di "scrittura", una nuova forma di "documentazione" e di conservazione dei documenti, una nuova forma di esternazione della volontà negoziale, ad opera della macchina (che agisce in presenza di predeterminate condizioni), affiancandole ed in molti casi sostituendole alle tradizionali forme della scrittura su carta, e della esternazione personale della volontà, sino ad oggi conosciute ed ammesse giuridicamente, ed in funzione delle quali l'intero ordinamento giuridico era sino ad oggi strutturato.
Non si scrive più con l'inchiostro, e sulla carta, bensì si scrive con l'elettronica e su supporti magnetici, non leggibili direttamente, se non sono stampati, senza il tramite di una apparecchiatura elettronica.
Il venir meno della scrittura come unica forma di documentazione conosciuta ed accettata ha comportato la crisi delle tradizionali teoriche in materia di documentazione e prova degli atti, non solo sul piano civile, ove già si sono diffusi i primi studi sulla rilevanza giuridica dei c.d. "documenti elettronici" o "informatici", ma anche sul piano penale, in cui molte ipotesi di reato strutturalmente legate all'atto scritto (si pensi ai delitti di falso, ai reati patrimoniali commessi con l'uso di documenti falsificati o alterati, etc.) sono apparse limitate ed inapplicabili alle nuove forme di reato commesse, per finalità analoghe, attraverso l'uso dei mezzi informatici.
Inoltre, con le nuove tecnologie, che consentono il collegamento fra luoghi diversi, anche a grande distanza, in tempo c.d. "reale", con procedure che possono essere attivate direttamente dalle stesse macchine senza necessità di un'azione umana immediata ad hoc, sono ormai usuali i casi in cui la manifestazione di volontà non parte direttamente dall'uomo, ma dalla macchina, (anche se a ciò preordinata dall'uomo), e la ricezione ed accettazione della manifestazione avviene ad opera di un'altra macchina, che risponde con schemi anch'essi preordinati agli inputs che le pervengono.
Ne sono un esempio le operazioni finanziarie e di borsa, che avvengono fra intermediari distanti, per il tramite esclusivo di elaboratori elettronici, alla cui gestione non è sempre "attualmente" (cioè al momento della singola operazione) presente il dominus della macchina e della manifestazione di volontà che essa trasmette.
L'aspetto negativo delle enormi possibilità di progettazione, gestione di tecnologie sofisticatissime, archiviazione e gestione di grandi quantità di dati, introdotte dalla rivoluzione informatica, risiede essenzialmente nell'alto rischio di perdita dei dati immagazzinati che è ontologicamente connesso all'utilizzazione del supporto magnetico quale mezzo di conservazione di essi.
Il supporto magnetico, infatti, è sensibilissimo sia alle variazioni di temperatura, sia ai campi magnetici, sia alle brusche oscillazioni di tensione elettrica, ed a seguito di questi fenomeni, i dati memorizzati su di esso possono alterarsi o perdersi. I sistemi elettronici informatici operano a bassissimo voltaggio, e minime scariche di elettricità, anche di origine statica (come quella che può generarsi dal semplice contatto del componente con le mani), possono irrimediabilmente danneggiarli. A ciò va aggiunto che il supporto magnetico è altresì sensibile agli sbalzi violenti di temperatura, ovvero di umidità, ed è altresì danneggiabile da agenti abrasivi, quali polvere, solventi chimici, che colpendo la superficie fisica su cui è stesa la banda magnetica, ne compromettono o ne distruggono la magnetizzazione, e con essa tutti i dati eventualmente in essa registrati.
Tali oggettive difficoltà "ambientali" dei sistemi informatici richiedono, già sul piano tecnico, una attenzione ed una cautela proporzionali all'importanza dei dati che essi contengono, e nel contempo esigono l'apprestamento di una tutela giuridica efficace a protezione dei sistemi, del loro contenuto, in "dati" ed in "programmi", e dei diritti degli ideatori e progettisti delle nuove tecnologie.
Gli ordinamenti stranieri già si erano attrezzati con norme apposite sia a tutela del software, sia a tutela della collettività dall'uso illecito delle tecnologie informatiche.
L'ordinamento italiano è pervenuto, in leggero ritardo, alla definizione di una disciplina generale dei c.d. computer's crimes, con la legge 23 dicembre 1993 n. 547, dopo un anno dall'intervento a tutela del software, attuato dal decreto legislativo 29 dicembre 1992 n. 518, che ha modificato all'uopo la legge 22 aprile 1941, n. 633.
Nell'affrontare la materia, occorre purtroppo anche avvicinarsi a termini linguistici stranieri, dal momento che il lingua per eccellenza delle discipline informatiche, per nascita e sviluppo è l'inglese, che più di ogni altra lingua ha il dono della sintesi. Va detto che il legislatore italiano ha compiuto un notevole e efficace sforzo per rendere nella lingua giuridica ufficiale concetti di madrelingua inglese. Tuttavia nell'uso quotidiano, ove si volessero indicare concetti e funzioni dell'informatica sempre con espressioni italiane, saremmo costretti a ricorrere continuamente a perifrasi, con rischio di ripetizioni e complicazioni sintattiche. Per tali motivi, oltreché per la capacità di sintesi concettuale peculiare di alcune espressioni straniere, ci vediamo costretti ad utilizzare, sia pure al minimo, la terminologia inglese, soccorrendo il lettore con opportune chiarificazioni ove appaia necessario.

2. I computer's crimes.
Nell'affrontare sul piano penale la rilevanza delle attività informatiche, si è fatto spesso ricorso alla espressione computer crimes.
Tuttavia va chiarito che la nozione di computer crimes è priva di significato tecnico, e quindi del tutto inutilizzabile per ben focalizzare gli aspetti salienti di una disciplina positiva, precettiva e sanzionatoria, delle attività informatiche.
Si tratta di una terminologia che è stata mutuata nel nostro linguaggio dal diritto angloamericano, per connotare una molteplicità di fenomeni illeciti attinenti alle scienze ed alle attività informatiche, ma tale terminologia reca con sé tutti i limiti propri della matrice culturale anglosassone, che, come si è sottolineato (Mucciarelli, Computer, 376), privilegia un approccio empirico ai problemi, accantonando ogni pretesa di sistematicità.
Per poter tracciare con un minimo di coerenza le linee guida di una disciplina della materia, occorre por mente alla globale rilevanza giuridica delle tecnologie informatiche, che la sempre più rapida evoluzione scientifica pone quotidianamente a disposizione dell'uomo, e non soffermarsi unicamente sui particolari fenomeni di devianza che la pratica sta progressivamente evidenziando nell'uso di tali tecnologie.
La maggior parte dei tentativi sino ad oggi compiuti per delineare una teorica unitaria degli illeciti informatici, e quindi enucleare una risposta sanzionatoria d'insieme, si sono infranti contro un ostacolo che logicamente è a monte di qualsiasi discorso repressivo-sanzionatorio, e cioè la mancanza di un analisi teorica esaustiva dell'ámbito di utilizzazione e della rilevanza giuridica delle tecnologie informatiche: indagine che era comunque obbiettivamente difficile, se non impossibile, da concludere allo stato, per la continua e rapidissima evoluzione delle tecnologie, e conseguentemente delle tipologie di aggressione che di tali tecnologie si servivano o contro tali tecnologie si rivolgevano. Ogni nuovo impiego della tecnologia, infatti, reca implicite in sé nuove possibilità di uso illecito di essa.
Per cui, nonostante si sia spesso affermato il contrario, e si sia tentato di muoversi su apparenti linee sistematiche, l'unico approccio di fatto possibile è rimasto pur sempre l'approccio empirico, legato e motivato dal singolo problema concreto al quale si è cercata la soluzione: con tutti i limiti che tale (non-) metodica comporta.
Alla insufficiente elaborazione teorica sulla rilevanza giuridica delle tecnologie informatiche si è aggiunta altresì la commistione di differenti, benché contestualmente rilevanti, esigenze di tutela, con frequente confusione concettuale tra l'informatica vista come "fine", e dunque come variegato oggetto di tutela, e l'informatica vista come "mezzo", e cioè come strumento di commissione di illeciti.
Vero è anche che tali profili, astrattamente e logicamente scindibili, nella realtà spesso si intersecano, in quanto molti illeciti inquadrabili fra quelli rivolti "contro l'informatica" non possono essere compiuti se non attraverso le (rectius per mezzo delle) stesse tecnologie informatiche. Invece, in altri casi, l'informatica è soltanto l'"ambiente" nel quale, o lo strumento per mezzo del quale, si commette il reato, ma non anche l'oggetto della tutela.
Nella generica categoria dei c.d. computer's crimes si sono ab initio fatte confluire una molteplicità di attività illecite, aventi come unico referente comune il fatto di essere connesse all'utilizzazione dei computers, ma ancora condizionate da una ricerca in fieri, sia quanto alla individuazione della casistica concreta, sia quanto alla individuazione delle (esistenti) fattispecie sanzionatorie, applicabili a tutela dei sempre più rilevanti interessi emergenti, nell'assenza di specifici interventi del legislatore.
Nella ricerca di criteri organizzatori, che potessero giovare anche ad interventi legislativi sul punto, ma che soprattutto individuassero i fatti meritevoli di sanzione e le fattispecie penali vigenti attualmente applicabili, forse anche per la suggestione che la teorica angloamericana dei computer's crimes offriva ad una visione pan-informatica della materia, si è creduto utile e sufficiente focalizzare l'attenzione sul momento e sul concetto dell'utilizzazione del computer.
Ne è scaturita una articolata elencazione casistica di illeciti, riconducibile alle seguenti tipologie:
a) casi di uso illecito dell'attrezzatura informatica, (a cui si è ricondotto il c.d. furto di tempo);
b) casi di appropriazione e sottrazione di contenuti archiviati nella struttura informatica;
c) casi di divulgazione di dati inerenti a segreti di produzione delle tecnologie informatiche;
d) casi di lesione dei diritti di utilizzazione economica del software;
e) casi di alterazione e falsificazione dei dati documentali conservati nelle memorie elettroniche di archivi pubblici o privati;
f) casi di violazione di un non meglio individuato segreto informatico.
g) casi di utilizzazione delle strutture informatiche per la commissione di truffe, ed altri reati a contenuto patrimoniale.
Proprio la delineazione di tali molteplici categorie di illeciti ha però reso più evidente la inadeguatezza del semplice riferimento all'elemento "informatica", il quale non può fungere da criterio unico di ancoraggio ed organizzazione degli illeciti ad essa inerenti, pena la vanificazione di ogni pretesa sistematica, e quindi, di ogni disegno coerente di intervento preventivo e repressivo. Se infatti l'utilizzazione del computer costituisce la modalità usuale, e spesso essenziale, di commissione dei c.d. illeciti informatici, è incontestabile che in essi confluisce una moltitudine di comportamenti che necessitano di ben altri criteri di distinzione, dal momento che taluni appaiono non necessariamente rilevanti sul piano penale, e molti altri invece, di assai maggiore gravità, risultano lesivi di beni giuridici assai differenti fra loro: per questi ultimi, nell'apprestare le opportune misure di protezione della collettività non può non tenersi conto delle "strategie penali" già esistenti in ciascun settore di tutela.

3. Le indicazioni comunitarie in materia di criminalità informatica e le scelte del legislatore italiano.
Per quanto attiene alla individuazione dei fatti da incriminare, il legislatore italiano si è mosso sulla scorta di indicazioni provenienti dal Consiglio d'Europa, il quale aveva già provveduto a suggerire alle nazioni aderenti due diverse liste di reati da considerare ed eventualmente introdurre nei rispettivi ordinamenti: una c.d. "minima", consistente nelle fattispecie ritenute necessarie, ed un'altra c.d. facoltativa, includente fattispecie ritenute non essenziali, ma opportune, la cui concreta introduzione avrebbe dovuto essere considerata da ciascuno Stato sulla base della armonizzazione con il proprio sistema penale pre-esistente.
I comportamenti ritenuti illeciti che il Consiglio d'Europa aveva incluso nella lista "minima", come riferisce altresì la Relazione al disegno di legge, rientrano nelle seguenti tipologie:
a) frode informatica: intesa quale ingresso, alterazione, cancellazione o soppressione di dati o programmi informatici, o qualsiasi altra ingerenza in un trattamento informatico che ne influenzi il risultato, e che determini per ciò stesso un pregiudizio economico o materiale ad un'altra persona, effettuato con l'intento di ottenere un vantaggio economico illegittimo per sé stesso o per altri);
b) falso informatico: ingresso, alterazione, cancellazione o soppressione di dati o programmi informatici o qualsiasi altra ingerenza nel trattamento informatico, effettuate con modalità o condizioni tali da costituire, secondo il diritto nazionale, un reato di falso qualora i fatti stessi fossero commessi nei riguardi di uno degli oggetti tradizionali di questo tipo di infrazione;
c) danneggiamento di dati o programmi informatici: cancellazione, danneggiamento, deterioramento o soppressione senza diritto di dati o programmi informatici;
d) sabotaggio informatico: ingresso, alterazione, cancellazione o soppressione di dati o programmi informatici ovvero ingerenza nei sistemi informatici, con l'intenzione di ostacolare il funzionamento di un sistema informatico o di un sistema di telecomunicazione;
e) accesso non autorizzato: accesso senza diritto ad un sistema o ad una rete informatica mediante violazione delle regole di sicurezza;
f) intercettazione non autorizzata: intercettazione senza diritto e mediante mezzi tecnici di comunicazione inviate, provenienti o esistenti nell'interno di un sistema o di una rete informatica;
g) riproduzione non autorizzata di un programma informatico protetto: riproduzione, diffusione o comunicazione al pubblico, senza diritto, di un programma informatico protetto dalla legge;
h) riproduzione non autorizzata di una topografia: riproduzione senza diritto di una topografia, protetta dalla legge, di un prodotto a semicondutture, o sfruttamento commerciale ovvero importazione a tale scopo, senza averne diritto, di una topografia o di un prodotto semi-conduttore fabbricato con l'aiuto di tale topografia.
Alcuni dei fatti evidenziati dal Consiglio d'Europa, nella lista "minima", per la verità già trovavano una tutela, almeno parziale, attraverso norme esistenti nell'ordinamento italiano.
Ad esempio, per i fatti di danneggiamento e di distruzione dell'hardware (cioè della componente strutturale, fisica, del sistema informatico), aveva correttamente trovato applicazione in giurisprudenza, in alcuni casi, l'art. 420 c.p., che incriminava gli attentati ad "impianti di pubblica utilità o di ricerca o di elaborazione di dati".
Per i fatti lesivi del software (cioè dei programmi di gestione di utilizzazione dei servizi informatici), pur con oscillazioni la giurisprudenza aveva ritenuto applicabili le disposizioni penali della legge n. 633/1941 sul diritto d'autore, in particolare l'art. 171 (cfr., ad es., Cass. sez. III, 24 novembre 1986, Pompa).
Con riguardo alla tutela della riservatezza dei dati archiviati nei sistemi informatici, una forma embrionale (e, soprattutto, settoriale) di tutela specifica era offerta dall'art. 12 della legge n. 121 del 1981, il quale punisce, (salvo che il fatto costituisca più grave reato), con la reclusione da 1 a 3 anni (o se il fatto è commesso per colpa, fino a 6 mesi) il pubblico ufficiale che comunica o fa uso di dati ed informazioni in violazione delle disposizioni della stessa legge o al di fuori dei fini da essa previsti, mentre in linea generale potevano trovare applicazione l'art. 326 c.p., relativo alla rivelazione e utilizzazione di segreti di ufficio da parte del pubblico dipendente, e l'art. 622 del codice penale, relativo alla rivelazione di segreti professionali.
Si trattava però di possibilità di intervento ristrette, e nel caso del software troppo aleatorie, in quanto legate alle oscillazioni giurisprudenziali proprio per l'assenza di una specifica normativa al riguardo.
Quanto alla tutela della riservatezza, gli strumenti esistenti rappresentavano indubbiamente forme embrionali o limitate di tutela, in quanto riferibili solo a fatti commessi dal pubblico ufficiale (e categorie assimilabili), ovvero oggettivamente all'uso illecito dei dati contenuti nel solo archivio informatico del Centro Elaborazione Dati del Ministero dell'Interno (come per l'art. 12 l. 121 cit.), o ancora ristretti ai casi di accesso abusivo operato da chi avesse possibilità di accedere all'archivio informatico per concrete ragioni di ufficio. Restava invece privo di qualsiasi tutela il settore generale delle attività private e dei sistemi informatici privati.
Relativamente alla c.d. lista "facoltativa" elaborata dal Consiglio d'Europa, vi rientravano:
a) l'alterazione di dati o dei programmi informatici, da parte di chi non avesse diritto di intervenire su di essi;
b) lo spionaggio informatico: cioè l'ottenimento, mediante mezzi illegittimi, quali la divulgazione non autorizzata, il trasferimento o utilizzazione senza diritto né altra giustificazione legale, di un segreto commerciale o industriale, con l'intenzione di causare un pregiudizio economico all'avente diritto al segreto o di ottenere per sé stesso o per altri un vantaggio economico illecito);
c) l'utilizzazione non autorizzata di un elaboratore: cioè l'utilizzazione senza diritto di un sistema o di una rete informatica effettuata accettando un rischio rilevante di causare un pregiudizio a colui che ha diritto di utilizzare il sistema o di arrecare pregiudizio al sistema o al suo funzionamento, ovvero con l'intenzione di creare un pregiudizio alla persona che ha diritto di utilizzare il sistema o di arrecare pregiudizio al sistema o al suo funzionamento, ovvero causando in tal modo un pregiudizio alla persona che ha diritto di utilizzare il sistema o arrecando un pregiudizio al sistema o al suo funzionamento;
d) l'utilizzazione non autorizzata di un programma informatico protetto: cioè l'utilizzazione senza diritto di un programma protetto dalla legge o riprodotto senza diritto, con l'intenzione di ottenere un vantaggio economico illecito per se stesso o per altri, o di causare un pregiudizio al detentore di tale diritto.
Di fronte alla scelta fra la costruzione di una nuova legge speciale dedicata ai reati informatici, ovvero l'inserimento delle nuove fattispecie penali nel corpo del codice penale esistente, il legislatore ha preferito la seconda soluzione, collocando poi i nuovi reati non in una nuova ed partizione del codice, ma nell'ambito delle partizioni già esistenti, operando una scelta coerente con la natura dell'intervento normativo.
Non si trattava infatti di introdurre nuove fattispecie a tutela di nuovi beni giuridici, quanto piuttosto di introdurre fattispecie relative a nuove forme di aggressione, cioè portate con modalità nuove, a beni in larga parte già penalmente rilevanti e tutelati, con norme per lo più contenute nel codice penale, e la particolarità della materia concerneva essenzialmente le tecniche di commissione del reato, nonché gli strumenti e gli oggetti materiali dell'azione, non l'oggetto giuridico.
Da una sommaria lettura della normativa italiana risultano attualmente contemplate, con l'ampiezza ed i limiti che vedremo tra poco, pressoché tutte le fattispecie illecite individuate dal Consiglio d'Europa, con la sola eccezione del c.d. spionaggio informatico, per il quale per lo meno non è dato riscontrare alcuna fattispecie autonoma corrispondente alla descrizione dell'ipotesi compiuta in sede comunitaria.
Il fulcro concettuale delle nuove fattispecie è costituito dai concetti di sistema informatico o telematico e di documento informatico.
I concetti di sistema informatico e di sistema telematico, in particolare, costituiscono il comun denominatore delle nuove fattispecie illecite introdotte, ed individuano dunque lo "scenario tecnologico" in cui si collocano i nuovi reati: ma offrono altresì diversi problemi interpretativi, tra cui molto concreto è il problema, almeno in talune norme, strettamente dipendente dal concetto di "sistema informatico o telematico" che si accoglie, relativo alla individuazione delle azioni che vengono commesse su di esso, e alla questione se ci si trovi ad una unicità o pluralità di azioni. Infatti, a seconda dell'ampiezza che si riconosce al concetto di sistema informatico o di sistema telematico, può sorgere questione se nel caso, ad es. di danneggiamento di più terminali di un sistema, ci si trovi di fronte ad un unica azione di danneggiamento di un singolo sistema, o ad una pluralità di azioni di danneggiamento di più sistemi, anche se fra loro interconnessi.
Il problema deriva direttamente dal fatto che l'espressione usata dal legislatore, "sistema informatico o telematico", non designa un bene fisicamente esistente ed individuato (come nel caso che avesse parlato di "singolo computer"), ma esprime un concetto astratto da riempire con le nozioni che la realtà ci offre.
Con riferimento al sistema informatico, ci si è chiesti se per "sistema" si debba intendere un complesso di attrezzature dotate di un grado di strutturazione e complessità superiori a quelle di un personal computer, rilevando che la relazione ministeriale illustrativa della legge in esame propenderebbe per tale soluzione (D'Aietti, in Borruso ed altri, Profili penali dell'informatica cit., 69).
Ma in verità non è dato riscontrare nella relazione ministeriale indicazioni in tal senso. Si osserva, anzi, nella predetta relazione che "la tendenza di tali tecnologie ad una convergenza e ad una forte integrazione delle componenti hardware e software in un processo globale induce ad affrontare la materia con un approccio di ampia portata che consideri:
- i sistemi informatici di qualunque tipo e dimensione, comprendendo in tale accezione sia sistemi di scrittura o di automazione d'ufficio ad uso individuale o particolare, sia complessi sistemi di elaborazione dati in grado di fornire servizi e potenza di calcolo a migliaia di utenti, sull'intero territorio nazionale od anche oltre i confini del Paese;
- i sistemi telematici, includendo in tale accezione reti di telecomunicazione sia pubbliche che private, "locali" o "geografiche", nazionali o internazionali, operanti da e per il nostro paese, ed ogni altra loro componente (software, dati, informazioni, flussi di comunicazione, messaggi, etc.);
- il software, sia esso di base, di supporto, "generalizzato" o "applicativo", inglobando nel concetto qualunque programma informatico realizzato dal costruttore dell'hardware, da strutture di produzioni ad hoc, da singoli utenti e registrato sui supporti più vari, dal singolo semiconduttore ai supporti di memorizzazione magnetici, ottici o di altra natura;
- il patrimonio informatico dei sopradetti sistemi, che di essi rappresenta oggi la sfera più esposta in quanto non facilmente ricostruibile in molti dei casi poiché rappresentato, ad esempio, da un puro flusso di comunicazioni scambiato tra due o più utenti senza che ne sia prevista una specifica registrazione; in tale accezione vengono ricomprese informazioni, dati elementari, immagini, suoni e quant'altro possa essere registrato, elaborato o scambiato mediante sistemi informatici o telematici di qualunque tipo o dimensione".
Risulta quindi che il legislatore avesse piena consapevolezza dell'esigenza di tutelare anche i sistemi individuali, i cosiddetti personal computers, i quali, come si è del resto osservato (D'Aietti, op. loc. cit.), hanno raggiunto un livello enorme di potenza. Riteniamo quindi che, nell'ottica del legislatore, ed anche per l'assenza nel diritto positivo di qualsiasi precisazione che limiti quantitativamente o qualitativamente (il che sarebbe tra l'altro assai difficile) l'operatività della normativa in esame, anche un personal computer, quale che sia la sua configurazione strutturale, rientri nell'oggetto di protezione penale, atteso che oggi il complesso di dati e programmi che esso è in grado di contenere è equivalente a quello di un sistema evoluto, e comunque la ratio legis esige che siano tutelati tutti i sistemi informatici, recando tutti indistintamente un patrimonio di dati e tecnologie propri di ciascun individuo ed egualmente meritevoli di attenzione.
Rinviando per il problema concreto accennato alla parte relativa al reato di danneggiamento, sembra corretto ritenere che ci si trovi di fronte ad un singolo sistema informatico nel caso di un singolo computer, non importa di quali capacità e dimensioni, che sia in grado di funzionare autonomamente, anche se esso sia collegato o collegabile, stabilmente o eventualmente, ad un sistema più ampio e complesso (in senso analogo ci sembra orientato Buonomo, in Borruso ed altri, Profili penali dell'informatica, 150-151).
In ordine al concetto di sistema telematico, va ricordato che esistono due orientamenti circa il significato da attribuire all'espressione telematica sul piano giuridico (cfr. Borruso, op. cit., 7 s.): una prima tesi, estensiva, le attribuisce il compito di indicare ogni forma di telecomunicazione che si giovi dell'apporto informatico per la sua gestione, sia che la comunicazione avvenga via cavo, sia via etere, o con altri sistemi. Un'altra tesi, restrittiva, che ci appare di minore utilità per l'interprete, oltre che meno aderente alla lettera della legge, riduce il significato del termine alle forme di comunicazione via cavo, ed essenzialmente via linea telefonica, fra computers.
La individuazione del significato più congruo, da cui deriva la delimitazione dell'ampiezza della tutela penale offerta dalla normativa in esame, non può giovarsi in realtà di alcun argomento strettamente giuridico, non avendo il legislatore fornito alcuna definizione o nozione connessa che possa aiutare l'interprete, ma avendo chiaramente voluto indicare un concetto che deve trovare riempimento sul piano delle discipline tecniche. Se ciò è vero, non ci appare esatto limitare, proprio sul piano delle discipline tecniche, a priori l'accezione dell'espressione ad un singolo aspetto dell'utilizzazione delle tecnologie informatiche nella comunicazione, tagliando fuori ingiustificatamente una serie di altre ipotesi tecnologiche in cui si è pur sempre in presenza di comunicazioni gestite o coordinate con tecnologie informatiche: prime fra tutte, le comunicazioni fra computers via radio, e non via cavo; le interconnessioni via etere fra sistemi video, per la diffusione di informazioni e dati a destinatari ristretti, od anche al grande pubblico (come nel caso dei servizi Videotel o Televideo, etc.: v. Buonomo, in Borruso, op. cit., 148-149).
Riteniamo quindi che per sistema telematico si debba intendere qualunque sistema di comunicazione che sia gestito con tecnologie informatiche, ovvero sia a servizio di tecnologie informatiche.
Non sembra importante la distanza dei diversi soggetti che comunicano, quanto piuttosto che la comunicazione avvenga con commistione delle tecnologie informatiche e di telecomunicazione, qualunque sia per quest'ultime la modalità tecnica della trasmissione dei dati e informazioni.
Per quanto concerne il concetto di documento informatico, rinviamo al n. 6 che segue.

4. Le manomissioni del software e le turbative del funzionamento dei sistemi informatici come "violenza sulle cose".
L'art. 1 della legge 547/1993, con l'aggiunta di un ulteriore comma all'art. 392 c.p., introduce nell'ordinamento penale un allargamento del concetto positivo di "violenza sulle cose", stabilendo che "si ha, altresì, violenza sulle cose allorché un programma informatico viene alterato, modificato o cancellato in tutto o in parte ovvero viene impedito o turbato il funzionamento di un sistema informatico o telematico".
Il concetto tradizionale di violenza sulle cose, di cui al secondo comma dell'art. 392 c.p., era incentrato sulle figure del danneggiamento, della trasformazione, o del mutamento di destinazione.
L'innovazione introdotta trova origine in alcuni casi verificatisi nella realtà, nei quali imprese fornitrici di hardware e di software, a fronte di sopravvenuti contrasti con i propri clienti sui rispettivi diritti ed obblighi derivanti dalla fornitura e/o dall'assistenza successiva ad essa, avevano creduto di tutelarsi, operando, a mezzo di propri tecnici, manomissioni e/o cancellazioni di dati di software dai sistemi informatici dei loro clienti, rendendo così inservibile il computer, o a volte avevano anche reso inutilizzabile proprio l'hardware.
Si legge nella relazione ministeriale (in Atti della Camera dei deputati, XI legislatura, n. 2773, pp. 7-8) che la ratio dell'integrazione dell'art. 392 c.p. "risiede nella necessità di non lasciare privi di sanzione comportamenti di sicuro rilievo delittuoso e che appaiono assimilabili alle ipotesi di danneggiamento o di mutamento di destinazione. Si tratta, ad es. della "mutilazione" o del rendere, anche parzialmente, inservibili programmi informatici in ordine al quale l'agente vanti pretesi diritti, ancorché si trovino nella disponibilità altrui, ovvero dell'impedire e dell'alterare il funzionamento di sistemi informatici o telematici, azioni realizzate con l'intento di esercitare diritti che potrebbero essere fatti valere innanzi al giudice, e per i quali si ricorra, invece, ad una sorta di autotutela, e cioé a quel farsi ragione da sé medesimo che la norma contenuta nell'articolo 392 c.p. mira appunto a reprimere".
La giurisprudenza precedente alla legge 547/1993, adìta in sede penale, aveva, correttamente, ritenuto sussistente il reato di esercizio arbitrario delle proprie ragioni (v. Trib. Torino 12-12-1983, in Giur. It., 1984, II, 352, nt. Figone, e in Giur. Merito, 1984, 1173), ma perplessità erano state prospettate circa l'applicabilità de plano della normativa penale esistente a casi del genere, anche per la paventata difficoltà di includere i programmi informatici fra le "cose mobili" (difficoltà probabilmente scaturenti più dalla assoluta novità delle nuove tecnologie e dei nuovi beni da tutelare, e dall'adattamento concettuale ad essi, che da obbiettivi ostacoli di ordine logico-giuridico); mentre in sede civile (cfr. Pret. Monza 21-3-1991, in Dir. Inf. Informat., 1991, 936) aveva esattamente ritenuto che fosse utilizzabile l'azione possessoria da parte del soggetto utente del programma, che se ne era visto "spogliato" in virtù delle manomissioni subìte.
Non può dunque dirsi che con la tipicizzazione delle azioni sul software indicate dal nuovo terzo comma dell'art. 392 c.p. siano stati introdotti concetti o figure radicalmente nuovi nell'ordinamento penale, ben potendo rientrare i casi di manomissione del software nei concetti di danneggiamento , trasformazione, e mutamento di destinazione, già contemplati dall'art. 392 c.p. (e del resto di ciò risulta consapevole lo stesso legislatore, allorché nella relazione ministeriale citata rileva che trattasi di "comportamenti di sicuro rilievo delittuoso e che appaiono assimilabili alle ipotesi di danneggiamento o di mutamento di destinazione").
Infatti la manomissione del software può attuarsi:
a) semplicemente cancellando uno o più files del programma memorizzati nel computer, ed impedendo così che il programma funzioni, non trovando proprio nel sistema informatico i propri files di comando;
b) lasciando i files formalmente presenti nel computer, ma alterandone i listati, cioè la sequenza di istruzioni esistenti al loro interno, le quali organizzano e dirigono il funzionamento del programma: il quale quindi egualmente non funziona più perché non trova più le proprie istruzioni nel sistema, o non le trova nella forma in cui il corretto funzionamento del programma richiederebbe.
Tali ipotesi concettualmente ricadono sia nella figura del danneggiamento del programma, e sia in quella della trasformazione del programma stesso; di minor rilievo invece appare il riferimento della relazione ministeriale al concetto di "mutamento di destinazione", che implica il persistere di una utilizzabilità, anche se diversa, del programma, dal momento che le azioni indicate ben difficilmente lasciano sopravvivere una utilizzabilità del programma. Potrebbe però darsi il caso, nella realtà, in cui, nell'àmbito di un programma complesso, si sopprimano solo alcune funzioni e se ne lascino in vita altre: ma pur sempre di fronte ad un danneggiamento ci troveremmo.
Il programma consiste in una sequenza di "istruzioni" (da impartire al computer, e più specificamente al suo processore), prestabilite dal creatore del software, memorizzate sul supporto magnetico, che vengono attivate dall'utente e gli consentono di compiere tutte le operazioni per le quali il programma è precostituito. La modifica della sequenza di istruzioni registrate sulla memoria magnetica del computer (sul disco, per essere più chiari) costituisce una alterazione della "fisicità" del programma, e quindi una trasformazione della cosa: che è qualificabile come danneggiamento allorché tale modifica rende il programma inutilizzabile.
Più che nella introduzione delle nuove figure "tipicizzate" di danneggiamento, il punto cruciale dell'innovazione normativa è individuabile piuttosto nel riferimento espresso che il legislatore fa, attraverso la definizione positiva di "violenza sulle cose", al software come "cosa", eliminando il problema, già accennato, della inquadrabilità del software fra le c.d. "cose mobili".
Per la verità, ci sembra che il software possa essere senz'altro inquadrabile tra i "beni mobili", possedendo esso una sua fisicità, che si estrinseca nella sequenza di istruzioni registrate sul supporto magnetico del computer (e nella sua struttura elementare, nei singoli bites registrati sulla memoria magnetica del computer: v. Borruso, in Borruso ed altri, profili penali dell'informatica, 9 ss.) e potendo essere trasferito da un computer ad un altro, e da un soggetto ad un altro, generalmente attraverso il trasferimento del dischetto magnetico (floppy disk) che lo contiene (ma anche attraverso il travaso di dati direttamente dal computer di un soggetto a quello di un altro). Ma, poiché compito del legislatore è senza dubbio anche quello di prevenire ed elidere possibili dubbi interpretativi ed applicativi della legge, non può non considerarsi opportuna l'integrazione dell'art. 392 c.p.
Altra ipotesi di danneggiamento del software può aversi nel caso di danneggiamento del supporto magnetico che lo contiene in forma di dati registrati. In tal caso l'azione consiste nel danneggiamento dell'hardware, che comporta anche la inutilizzabilità dei dati, inclusi in questi quindi i programmi registrati, e ben è inquadrabile nella classica figura del danneggiamento fisico del bene, preesistente nel secondo comma dell'art. 392 c.p., essendo l'hardware un bene fisicamente individuato ed individuabile senza alcun dubbio, senza che occorra riferirsi al nuovo terzo comma.
Il legislatore del 1993 ha inglobato nella nuova definizione di "violenza sulle cose" anche l'"impedimento" o il "turbamento" del funzionamento di un sistema informatico o telematico.
L'allargamento concettuale così operato della "violenza sulle cose" appare logicamente esatto, ma necessita di alcuni chiarimenti.
Per turbamento del funzionamento di un sistema informatico deve intendersi qualsiasi azione diretta ad incidere sulle operazioni logiche che i componenti elettronici dell'apparato stanno compiendo. In tale concetto possono rientrare condotte disparate, quali: l'introduzione nella memoria del sistema informatico di istruzioni elettroniche di disturbo dei procedimenti in atto (c.d. virus), ovvero l'attività materiale di interruzione temporanea dell'afflusso di corrente al sistema nel mentre opera, o ancora, per i sistemi informatici, l'immissione, sulla medesima linea in cui sta avvenendo la trasmissione e la comunicazione di dati, di impulsi sonori di altra fonte che disturbano l'invio del segnale principale, rendendolo incomprensibile.
L'impedimento consiste nel blocco del funzionamento del sistema, sia per cause software che hardware.
Si tratta senza dubbio di forme di "violenza" sulla cosa, in quanto tali azioni incidono "fisicamente" sulle operazioni che il sistema compie, interrompendole del tutto, o alterando la sequenza logica (o acustica) di esse, e dunque è corretta la loro inclusione nell'àmbito del concetto di cui all'art. 392 c.p. Per esse deve sottolinearsi che ben difficilmente avrebbero potuto trovare spazio nella previsione del secondo comma dell'art. 392 c.p., per i limiti strutturali di esso, incentrato su attività che importano modificazioni definitive della cosa (danneggiamento, trasformazione o mutamento di destinazione), laddove impedimento e turbamento ben possono avvenire senza intaccare la natura della cosa. Sono azioni che incidono sul momento "dinamico" del sistema, e non sulla sua struttura fisica "statica": per cui opportuna e necessaria è stata l'espressa previsione di esse.
Il concetto di violenza sulle cose, così allargato, opera sia con riguardo allo stesso reato di esercizio arbitrario delle proprie ragioni, che come è noto sussiste allorché l'azione violenta sulle cose è posta in essere allo scopo di tutelare il proprio diritto, in luogo del ricorso al giudice; sia con riguardo alle altre fattispecie penali nelle quali è richiamato il concetto di "violenza sulle cose", del quale l'art. 392, secondo e terzo comma, c.p. offre il concetto generale. Si vedano, ad esempio, le ipotesi degli artt. 513, 614, c. 4, e 625 n. 2 c.p.
Come esempi possibili di commissione di tali reati attraverso una violenza su "cose" consistenti in tecnologie informatiche, possono indicarsi:
a) in primo luogo, proprio l'abusivo accesso agli altrui sistemi informatici (protetti da misure di sicurezza), di cui all'art. 615-ter c.p. (introdotto dall'art. 4 della legge in esame), per il quale è prevista come aggravante, dal secondo comma di tale articolo, la "violenza sulle cose";
b) l'introduzione abusiva nell'appartamento altrui (art. 614, c. 4, c.p.), manomettendo un sistema informatico che comandi, ad esempio, un impianto di allarme antifurto ovvero il sistema di apertura dell'appartamento (così anche Borruso, Buonomo, Corasaniti, D'Ajetti, Profili penali dell'informatica, Milano, 1994, 59);
c) l'introduzione in altri ambienti (banche, uffici, aziende) il cui accesso è regolato e protetto da sistemi informatici di controllo degli ingressi;
Ma la realtà potrebbe offrire moltissime altre ipotesi di ricorso illecito alla violenza su cose: si pensi ad esempio al caso di chi, per motivi di astio, vendetta, od altro, disturbi, con l'immissione di segnali acustici, le comunicazioni di un sistema telematico, o di un sistema informatico che attraverso il primo dialoga con altro sistema informatico remoto.

5. La tutela dei sistemi informatici o telematici di pubblica utilità.
Con l'art. 2 della l. 23-12-1993 n. 547, che ha sostituito integralmente il testo dell'art. 420 del codice penale, il legislatore è intervenuto per la terza volta su tale norma, dapprima espunta del tutto dal codice con l'abrogazione ad opera della legge n. 895/1967, quindi ripristinata con un testo diverso e moderno dal d.l. 59/1978, (conv. in l. 191/1978), ed ora avviata a nuova vita con l'ultima modifica.
Nel testo immediatamente precedente, introdotto dal d.l 59/1978 citato, l'art. 420 prevedeva nel primo comma l'ipotesi dell'attentato a "impianti di pubblica utilità o di ricerca o di elaborazione di dati" (per i quali ultimi la caratteristica della "pubblica utilità" era deducibile dal titolo dell'articolo), e quindi già conteneva una previsione di tutela di impianti informatici, indicati con la denominazione meno esaustiva, e più limitata, di "impianti di elaborazione di dati".
Con il nuovo testo dell'art. 420 c.p. ben diverso rilievo assumono gli impianti informatici di pubblica utilità nell'ottica di tutela del legislatore. Il secondo comma stabilisce che "la pena di cui al primo comma si applica anche a chi commette un fatto diretto a danneggiare o distruggere sistemi informatici o telematici di pubblica utilità, ovvero dati, informazioni o programmi in essi contenuti o ad essi pertinenti".
Sul concetto di sistema informatico o telematico già ci siamo soffermati ante. Si tratta di una categoria certamente più ampia della precedente dizione di "impianti di elaborazione di dati"
E' da sottolineare il nuovo ruolo che la fattispecie prevista dall'art. 420 c.p. viene ad assumere nella odierna struttura. Essa risulta collocata fra i delitti contro l'ordine pubblico, e la ragione della sua collocazione sistematica, apparentemente non in linea con i contenuti, diviene di più agevole comprensione ove si rilegga la norma nel testo originario, prima delle modifiche apportatevi dalla normativa sulle armi (L. 895/1967 e l. 497/1974).
In origine, la norma prevedeva la "pubblica intimidazione col mezzo di materie esplodenti", fatto da commettersi al fine di incutere pubblico timore o suscitare tumulto o pubblico disordine. Era dunque orientata verso un concetto piuttosto elementare di ordine pubblico, relativo all'ordine dei luoghi pubblici, ove si svolgeva genericamente la vita della collettività. La anticipazione della soglia di rilevanza dei comportamenti illeciti in materia di armi, munizioni ed esplosivi, e l'infittirsi delle fattispecie in materia di terrorismo, hanno tolto spazio operativo alla fattispecie, che fu dapprima abrogata, quindi reinserita in veste di norma a tutela generica di tutti gli impianti tecnici di pubblica utilità, presi di mira in un certo periodo storico dal terrorismo, incentrata però sull'oggettiva direzione dell'atto illecito, e non sulla finalità soggettiva dell'agente (cfr. Leo, Attentati a impianti di pubblica utilità, in Dig. It., IV ediz., Disc. pen., vol. I, Torino, 1987, 335); ed infine è stata sostituita nel testo attuale, sulla scia della sopravvenuta, ed ormai indifferibile, necessità di sottoporre a tutela le tecnologie informatiche, che sono ormai parte integrante ed essenziale di ogni struttura sociale evoluta.
A seguito di tali vicende, la norma, pur collocata fra fattispecie che in nuce mirano a tutelare un concetto elementare di tranquillità della convivenza sociale, si pone oggi a protezione di un ordinato e corretto funzionamento degli apparati tecnologici predisposti a servizio della collettività, e la sua trasformazione ha comportato indubbiamente anche una evoluzione del concetto di ordine pubblico, superando la limitata concezione del ne cives ad arma ruant, ed allargandone gli orizzonti verso una maggiore attenzione al regolare funzionamento delle tecnologie di ogni tipo, su cui si basa l'organizzazione di una collettività moderna.
Beneficiari della tutela offerta dall'art. 420 c.p. sono quindi tutti i soggetti, singoli o associati, produttivi o meno, che fanno parte della collettività, e fruiscono dei relativi servizi tecnici ed organizzativi. Fra questi, in particolare i soggetti produttivi, che più di ogni altro sono legati alla funzionalità di tali impianti, dipendendo assai spesso la loro competitivià sul mercato anche dalla "qualità" dei servizi pubblici di cui possono fruire.
Nessuna impresa potrebbe sopravvivere, o comunque operare in termini di competitività, nelle moderne società industriali, se non potesse contare sul corretto funzionamento di una vasta gamma di servizi di pubblica utilità, dalla fornitura di energia, ai trasporti, alle comunicazioni, per non dimenticare i tradizionali servizi sociali in senso ampio, gestiti storicamente dallo Stato.
Ogni attentato alle tecnologie strutturali ed organizzative della società si ripercuote automaticamente e gravemente sul corretto funzionamento del sistema economico, e quindi sulla produttività di ciascuna impresa che di quelle tecnologie si serve. Fra i molti impianti di pubblica utilità ve ne sono alcuni che per ragioni dimensionali o funzionali sono esclusivamente o principalmente diretti ai soggetti che operano nel campo della produzione, ed in tali casi il fatto si ripercuote direttamente sull'impresa e sulla sua possibilità di far valere all'esterno, in condizioni concorrenziali con le altre imprese che si avvalgono di servizi di pubblica utilità migliori, la propria produttività.
Il fatto di reato continua ad essere costruito secondo lo schema dei delitti c.d. di attentato, anche definiti a consumazione anticipata, per indicare i casi in cui la consumazione del reato è incentrata sulla commissione della condotta, prima ed indipendentemente dal verificarsi dell'evento a cui la stesa è preordinata.
La condotta consiste, infatti, nella commissione di un fatto "diretto a danneggiare o distruggere": non occorre l'effettiva distruzione o danneggiamento. Ma la direzione della condotta deve essere oggettivamente ed univocamente diretta al danneggiamento ed alla distruzione, altrimenti siamo fuori della tipicità, e ci troveremmo sul piano delle mere intenzioni del reo.
L'impianto di pubblica utilità è l'oggetto materiale contro cui è diretta l'azione criminosa, ed il cui danneggiamento inciderebbe sul corretto funzionamento dei servizi tecnologici della collettività da tale impianto governati.
Per <1>impianto<0> deve intendersi qualsiasi insieme, più o meno complesso, di strutture tecniche (meccaniche, ottiche, elettriche, elettroniche, etc.) assemblate e collegate fra loro per l'espletamento di determinate funzioni tecnologiche.
La pubblica utilità dell'impianto consiste nella sua destinazione al soddisfacimento di necessità della collettività generale ed indifferenziata, e non di singoli soggetti, ovvero anche all'utilizzo da parte di specifici o ristretti organismi tecnici, i quali operano per la cura e la tutela di interessi latamente pubblici.
Possono annoverarsi fra gli impianti, che presentano altresì la caratteristica di essere posti a beneficio della collettività, e quindi di pubblica utilità, ad esempio: tutti gli impianti di telecomunicazione (centrali di smistamento delle linee telefoniche o telegrafiche) a servizio della collettività (e non di un singolo edificio); i depuratori posto a servizio del sistema fognario di una città (non il depuratore di una singola industria); le centrali elettriche di produzione e di smistamento dell'energia; le centrali elettroniche e video-telematiche di controllo del movimento veicolare (ferroviario, aereo o veicolare); tutti i sistemi di monitoraggio a controllo elettronico installati per esigenze di tutela edll'ambiente; etc.
Già prima della recente modifica dell'art. 420, la giurisprudenza aveva ritenuto applicabile la norma ai danneggiamenti di sistemi informatici.
Si era affermato, infatti, che sono configurabili gli estremi del delitto di attentato a impianti di pubblica utilità nel fatto di chi manometta i dischi "software" in uso presso l'elaboratore elettronico di un centro di calcolo universitario, provocando, mediante l'introduzione negli stessi dischi di calamite o fogli di lamiera, la cancellazione o comunque l'alterazione dei programmi memorizzati e paralizzando in tal modo il funzionamento dell'elaboratore elettronico (nella specie l'imputato era stato prosciolto per non avere commesso il fatto) (Trib. Firenze, 27-1-1986, Pasqui, <1>FI<0>, 1986, II, 359, nt. Rapisarda).
Tuttavia problemi erano sorti nella prassi in ordine all'interpretazione del concetto di "impianti di elaborazione dati", formalmente scisso, sul piano letterale, dall'attributo "di pubblica utilità" che lo precedeva nel testo della norma.
Al riguardo la Relazione ministeriale precisa che "la nuova formulazione della norma è diretta altresì al definitivo chiarimento sulla individuazione dell'oggetto materiale del delitto, essendo sorte - come è noto - non poche perplessità per la indicazione alternativa, contenuta nel primo comma dell'attuale testo dell'art. 420, degli impianti di ricerca o di elaborazione di dati rispetto a quelli di pubblica utilità. In via del tutto prevalente la dottrina ha ritenuto che la messa in pericolo degli impianti di ricerca e di elaborazione di dati potesse assumere rilevanza, ai fini della configurabilità del delitto di cui all'art. 420 c.p.c., soltanto nel caso in cui tali impianti, pur appartenendo a privati ed essendo adibiti a finalità private, abbiano tale rilievo sociale che una condotta diretta a danneggiarli non può lasciare indifferente la collettività. In questa linea si muove la norma che si propone.
Viene espunto, intanto, dalla formulazione del primo comma il riferimento agli impianti di ricerca e di elaborazione dati in maniera da eliminare in radice ogni possibilità di equivoco: la previsione di reato resta, così, limitata, in questa sua prima ipotesi, ai soli attentati aventi ad oggetto impianti, e cioè complessi di strutture, apparecchiature, congegni etc., coordinati e concorrenti ad un unico scopo, che abbiano la connotazione dell'essere destinati o ad essere idonei a soddisfare esigenze di pubblica utilità".
Dunque, la recente modifica, con il nuovo testo del secondo comma, ha soltanto esplicitato, e reso pertanto giuridicamente certo, quanto era stato occasionalmente riconosciuto dalla giurisprudenza.
Il reato di cui al secondo comma consiste nella "commissione di un fatto diretto a danneggiare o distruggere sistemi informatici o telematici di pubblica utilità, ovvero dati, informazioni o programmi in essi contenuti o ad essi pertinenti".
Oggetto materiale della condotta possono essere:
- i sistemi informatici: cioè i complessi <1>hardware <0>che esplicano funzioni informatiche di ogni tipo;
- i sistemi telematici: cioè i sistemai di gestione delle telecomunicazioni, via cavo o via etere, o promiscui;
- i dati, le informazioni o i programmi "in essi contenuti", cioè memorizzati ed archiviati nei supporti magnetici interni ai sistemi stessi, oppure "ad essi pertinenti", cioè utilizzati su quei sistemi ed elaborati con quei sistemi, ma allocati o conservati separatamente dai sistemi, su supporti magnetici separati (dischetti, c.d. floppy-disk, ovvero dischi rigidi, c.d. hard-disk, estraibili, o anche le unità c.d. di backup su nastro o su disco).
La caratteristica comune perché sussista l'ipotesi del secondo comma, deve essere la pubblica utilità di tali sistemi, e per riflesso dei dati archiviati e dei programmi utilizzati.
Anche in tal caso la pubblica utilità va vista in un'ottica funzionale (destinazione al servizio di una collettività indifferenziata di persone), con il correttivo del criterio dimensionale (quantità di soggetti indeterminati che fruiscono dei servizi del sistema), servendo quest'ultimo ad evitare di far rientrare nella fattispecie ipotesi di danneggiamenti riconducibili invece alla sfera di tutela strettamente patrimoniale, ovvero a quella di tutela della riservatezza (che opera con riguardo a ciascun soggetto e a ciascun sistema violato).
La fattispecie dell'art. 420 c.p. nel testo vigente si differenzia da quella del danneggiamento aggravato (art. 635 n. 3 c.p.) per la caratteristica di pubblica utilità dell'impianto oggetto della condotta, che è qualcosa di diverso, sia funzionalmente che dimensionalmente, dalla mera proprietà pubblica del bene danneggiato. Si differenzia altresì dall'ipotesi dell'art. 635-<1>bis<0> c.p., il quale prevede il danneggiamento generico di sistemi informatici, ed appare quindi sicuramente inapplicabile in caso di danneggiamento o distruzione di sistemi informatici o telematici "di pubblica utilità", che costituisce ipotesi specifica dell'art. 420 c.p., al di là della clausola di sussidiarietà che esso reca (la quale comunque non potrebbe operare nei confronti dell'art. 635-bis, in quanto punito con pena più lieve, o nell'ipotesi aggravata con pena eguale all'ipotesi base dell'art. 420 c.p.).
Il terzo comma reca la previsione di un'ipotesi aggravata, unica per entrambi i commi precedenti, e concernente sia il caso che dall'attentato derivi la distruzione o il danneggiamento o l'interruzione anche parziale del funzionamento dell'impianto, sia che le stesse conseguenze si producano rispetto ai sistemi informatici o telematici ovvero ai dati, alle informazioni o ai programmi in essi contenuti.

6. La tutela dei documenti informatici.
Il sistema informatico è strutturalmente finalizzato a due tipi di compiti fondamentali: compiere operazioni matematiche, o comunque operazioni che siano in qualunque modo riducibili a sequenze di funzioni matematiche, e contenere e "gestire" informazioni, in dimensioni tali che nessuna mente umana potrebbe fare da sola, o nel tempo in cui opera il computer.
E' quindi connaturale al sistema informatico, nella sua funzione di archivio, la raccolta di documenti in forma elettronica.
Come tutti i documenti, anche quelli elettronici possono essere manomessi, alterati, falsificati o distrutti, ed occorreva apprestare meccanismi di tutela particolare, poiché gli strumenti di tutela tradizionali erano finalizzati alla salvaguardia dei documenti cartacei, e dottrina e giurisprudenza avevano rilevato difficoltà ritenute insormontabili per estendere ai primi la tutela già esistente per i secondi.
Il legislatore ha pertanto dovuto apprestare alcune disposizioni specificamente destinate ai documenti informatici, tenendo conto delle particolarità strutturali di questi.
A tal fine, con l'art. 491-bis c.p., ha stabilito che se alcuna delle falsità in atti, di cui al Capo III del Titolo VII (del Libro II) del codice penale, "riguardi un documento informatico pubblico o privato, si applicano le disposizioni del capo stesso concernenti rispettivamente gli atti pubblici e le scritture private".
L'estensione della disciplina dei documenti cartacei a quelli c.d. informatici ha comportato necessariamente il previo riconoscimento da parte del legislatore, superando un problema postosi in precedenza nella prassi, che la "fissazione" di caratteri alfabetici o grafici sul supporto magnetico del computer può considerarsi come una forma di scrittura (cfr. Borruso, op. cit. 10 ss.). Conseguentemente, va ammessa la possibilità che tale scrittura venga falsificata o soppressa, e che l'atto falso sia utilizzato illecitamente, come può accadere per i tradizionali documenti cartacei.
A tal fine l'art. 491-bis c.p., nel secondo periodo dell'unico comma, afferma che per documento informatico si intende "qualunque supporto informatico contenente dati o informazioni aventi efficacia probatoria o programmi specificamente destinati ad elaborarli".
Come si evince da tale definizione, non tutti i dati registrati su computer costituiscono un documento informatico, ma soltanto quelli "aventi efficacia probatoria", (ed i relativi programmi destinati ad elaborarli). Quindi la tutela penale offerta ai documenti informatici non opera per qualsiasi documento o archivio informatico privato, ma soltanto per quelli ai quali, da altre disposizioni di legge, è attribuito e può riconoscersi efficacia probatoria (per una ricognizione dei documenti inquadrabili in tale categoria, cfr. Borruso, Profili penali cit., 16 ss.). Per tutti gli altri dati opereranno le norme in materia di accesso indebito e di danneggiamento di sistemi informatici, pure contenute nella legge in esame.
Sul punto si è diffusa la Relazione ministeriale al disegno della legge in esame, la quale ha osservato che per documento informatico, "agli effetti della legge penale, si ritiene non debba essere considerato il prodotto dell'elaboratore (tabulato), in quanto lo stesso rientra nel novero dei documenti cartacei contemplati dagli artt. 476 e seguenti del c.p. ed essendo dato ormai pacifico in giurisprudenza che la sottoscrizione meccanica deve essere equiparata a quella manuale.
Si è ritenuto, invece, di attribuire la natura di documento informatico ai "supporti" - di qualunque specie essi siano - contenenti dati, informazioni o programmi.
Per tali documenti, certo, si porrà il problema della individuazione della loro paternità, poiché - come è noto - è requisito imprescindibile per la configurabilità del falso penale la riferibilità del documento oggetto del reato alla persona fisica o all'ente da cui esso proviene: la c.d. "riconoscibilità dell'autore". Su tale aspetto, tuttavia, si è preferito rimettere la soluzione del problema alla disciplina che, in sede pubblica o privata, potrà essere dettata a seconda della natura del documento o del contesto in cui esso vivrà.
Condizione assoluta a che il supporto informatico possa costituire oggetto del reato è, per contro, la destinazione ed efficacia probatoria dei dati in esso contenuti o alla cui elaborazione sono destinati i programmi registrati sul supporto medesimo. Tale condizione, infatti, costituisce l'elemento differenziale tra la falsificazione di documenti suscettibili di produrre situazioni di danno o di pericolo per la pubblica fede e quella incidente su documenti privi di ogni rilevanza probatoria, ipotesi che è del tutto innocua rispetto all'interesse protetto e non giustifica l'applicazione di sanzioni punitive.
In ordine alla soluzione normativa proposta, si chiarisce che è apparsa non opportuna la previsione di una serie di ipotesi delittuose, da inserire in corrispondenza a quelle di falso documentale già esistenti, che avessero ad oggetto le diverse falsità materiali o ideologiche su atti pubblici, certificati, attestati, o la falsità in scritture private etc. Né certo sarebbe stata possibile la configurazione di un unico delitto di falso informatico, nella sola considerazione dell'oggetto materiale del reato: si sarebbe ottenuta la inaccettabile conseguenza di sottoporre, ad es., ad identico regime sanzionatorio le falsità incidenti su dati informatici pubblici e su quelli privati e nel contempo si sarebbe creata divaricazione tra falsità omogenee (ad es. concernenti registrazioni di identiche attività da parte di pubblici ufficiali svolgenti eguali operazioni) soltanto differenziate per lo strumento documentale utilizzato (informatico o cartaceo).
La soluzione che si è ritenuto di privilegiare, allora, è stata quella di fare riferimento alle disposizioni sulle falsità di atti disponendone l'applicazione anche alle ipotesi in cui le rispettive previsioni riguardino un documento informatico. In tal modo si raggiunge un duplice obiettivo: quello di non mutare la struttura della fattispecie in funzione della sola diversità dell'oggetto materiale e quello di sottoporre ad identico regime sanzionatorio fatti criminosi che non si differenziano sul piano dell'oggettività giuridica ovvero della natura dell'interesse violato".
L'economia di questo lavoro non consente purtroppo di approfondire oltre l'argomento del documento informatico, che, data la sua ampiezza ed importanza, necessita di una trattazione specifica. Rinviamo in argomento, in particolare, a Borruso, Profili penali dell'informatica cit., 13 ss., nonché a Petrone, Le recenti modifiche del codice penale in tema di documento informatico: problemi e prospettive, in Dir. Inform. Informat., 1995, 259.
Un concetto diverso di documento informatico è offerto dall'art. 621, come modificato dall'art. 7 della legge 547/1993, il cui secondo comma chiarisce che "agli effetti della disposizione di cui al primo comma è considerato documento anche qualunque supporto informatico contenente dati, informazioni o programmi".
L'ottica dell'art. 621 c.p. è diversa, poiché mira a tutelare la riservatezza delle persone, e quindi il concetto di documento in esso accolto è ben più ampio di quello dotato di efficacia probatoria di cui all'art. 491-bis c.p. Oggetto della condotta illecita (di abusiva cognizione e rivelazione del relativo contenuto) può essere qualsiasi documento informatico il cui contenuto debba rimanere segreto, indipendentemente dalla efficacia e rilevanza giuridica del documento stesso.

7. La tutela dei sistemi informatici dagli accessi non autorizzati.
L'art. 4 della legge n. 547/1993 ha introdotto nel codice penale due nuove fattispecie di reato, collocate fra i "delitti contro la inviolabilità del domicilio": l'art. 615-ter, che concerne l'accesso abusivo ad un sistema informatico o telematico, e l'art. 615-quater, che prevede comportamenti strumentali all'accesso abusivo.
La collocazione fra le fattispecie rivolte "contro la inviolabilità del domicilio", si spiega nella Relazione ministeriale, è scaturita dalla considerazione che "i sistemi informatici o telematici costituiscono un'espansione ideale dell'area di rispetto pertinente al soggetto interessato, garantito dall'art. 14 della Costituzione e penalmente tutelata nei suoi aspetti più essenziali e tradizionali agli artt. 614 e 615 del codice penale".
Come si evince dalla precisazione "sistema informatico o telematico protetto da misure di sicurezza", e come sottolinea la stessa Relazione ministeriale, la tutela penale offerta dalle norme in esame è limitata ai sistemi informatici o telematici protetti da misure di sicurezza "perché, dovendosi tutelare il diritto di uno specifico soggetto, è necessario che quest'ultimo abbia dimostrato, con la predisposizione di mezzi di protezione sia logica che fisica (materiale o personale) di voler espressamente riservare l'accesso e la permanenza nel sistema alle sole persone da lui autorizzate".
Se non è dubbio che l'aggiramento di barriere elettroniche protettive di un sistema informatico è indice certo della specifica volontà di penetrare all'interno del sistema e di accedere ai dati in esso contenuti, tuttavia non appare convincente l'asserzione che per poter tutelare il "diritto di uno specifico soggetto è necessario che quest'ultimo abbia dimostrato, con la predisposizione di mezzi di protezione sia logica che fisica di voler riservare l'accesso al sistema".
Non sembra infatti esatto supporre che la mancata predisposizione di mezzi di protezione dagli accessi indesiderati equivalga a volontà di consentire il libero accesso a chiunque. Per restare nella "materia" della tutela del domicilio, cui il legislatore ha creduto di fare riferimento, l'asserto equivale ad affermare che nei casi in cui si lasci aperta, per qualsiasi motivo, la porta di casa, debba ritenersi che il soggetto abbia inteso autorizzare chiunque ad accedervi: ci sembra evidente la precarietà logica di un tale assunto.
In tal modo si tagliano fuori dalla protezione penale una serie di archivi "individuali" o "personali", per i quali, pur non avendo fatto ricorso a sistemi di protezione (ad es. non ritenuti convenienti o possibili per ragioni di costo, o strutturali del sistema), il proprietario può avere, e normalmente ha, comunque interesse ad una tutela dall'altrui accesso indesiderato.
La genesi delle fattispecie in esame si radica, a seguito della diffusione di massa delle tecnologie telematiche, nell'insorgere del fenomeno dei c.d. hackers. Attraverso le prime, infatti, i sistemi informatici hanno smesso di essere delle monadi isolate, divenendo ciascuno parte potenziale di un sistema di intercomunicazione e di scambio di informazioni e messaggi, la cui ipotetica ampiezza è pari al massimo punto raggiungibile dall'impulso elettronico che pone in comunicazione fra loro due sistemi: quindi teoricamente ben può superare anche l'ambito terrestre, se altrove nello spazio vi sia un sistema in grado di "colloquiare" elettronicamente e di ricevere e scambiare segnali e informazioni.
L'espressione hackers designa, nel campo informatico quei soggetti che, in possesso di particolari conoscenze e capacità inerenti alle tecnologie informatiche, accedono ai sistemi informatici altrui attraverso le reti telematiche, aggirando le protezioni (elettroniche) create dai proprietari di tali sistemi per tutelarsi dagli accessi indesiderati.
Sorto probabilmente come una gara di bravura, sia pur distorta, fra i primi utenti informatici, per dimostrare la capacità di ciascuno di utilizzo delle tecnologie informatiche, anche superando le barriere elettroniche poste a tutela di ciascun sistema, il fenomeno degli hackers si è rapidamente evoluto in funzione delle finalità che di volta in volta il singolo hacker persegue, assumendo spesso connotazioni e giustificazioni pseudo-filosofiche o pseudo-politiche, ovvero finalità emulative ed esibizionistiche, ma sfociando a volte ben oltre la semplice dimostrazione di capacità tecnica, nello spionaggio economico, industriale, militare, od anche solo personale, ovvero nell'intenzione di danneggiamento del contenuto dei sistemi altrui, per puri scopi vandalici, a volte supportati da deboli motivazioni di ordine ideologico (v. in tema, Sarzana, 83 ss.).
Può ipotizzarsi che alla introduzione della necessità del sistema di protezione non siano forse estranee considerazioni relative alla prova del fatto, e valutazioni dettate dall'intento di semplificarne l'accertamento, eludendo la complessa verifica della illecita volontà di accedere al sistema altrui, nella speranza di tagliare fuori o di rendere meno complessa la verifica sui rapporti psicologici fra agente e proprietario del sistema, e sulla volontà di costui di escludere l'agente dall'accesso.
Ma se tale era l'intento, non può dirsi raggiunto. La abusività dell'accesso può sempre essere esclusa, pur in presenza di una attività di "aggiramento" del sistema di protezione, attraverso la dimostrazione dell'esistenza del consenso (anche tacito) del titolare del sistema all'accesso altrui, e l'indagine sul profilo psicologico non si presenta di certo di minor rilievo che in altre fattispecie criminose.
Il bene tutelato dalla norma, infatti, è senz'altro ritenuto dal legislatore disponibile da parte del soggetto titolare di esso (che è il proprietario o possessore del sistema), com'è confermato altresì dalla punibilità a querela, ed il consenso quindi ben può operare come causa di esclusione dell'antigiuridicità del fatto, e quindi dell'esistenza del reato, ai sensi dell'art. 50 c.p., richiedendo dunque una verifica caso per caso dei rapporti fra le parti. Ad esempio, il consenso può sussistere nel caso in cui il titolare del sistema sfidi un terzo ad accedere ad esso nonostante le misure di protezione (magari per testare in tal modo la validità di queste), ovvero nel caso in cui un dipendente o collaboratore, autorizzato all'accesso, acceda con sistemi formalmente non regolari, avendo dimenticato la chiave di accesso software o smarrito la chiave di accesso hardware, etc.
D'altro lato, la stessa presenza dell'avverbio "abusivamente", che qualifica la condotta di "accesso", ed ancor più la presenza dell'espressione "contro la volontà espressa o tacita di chi ha il diritto di escluderlo", che qualifica la condotta del "mantenersi all'interno del sistema", rendono sempre indispensabile per l'inquirente la verifica delle posizioni "soggettive" dei soggetti.
Si è osservato "che l'esistenza del mezzo di protezione (anche se in concreto scarsamente efficace) ha la semplice funzione di rendere esplicito ed inequivoco che si è in presenza di un divieto di accesso al sistema informatico" (D'Aietti, in Borruso ed altri, Profili penali dell'informatica, cit., 72). Ma l'argomento non appare di pregio, essendo sufficiente l'altruità del sistema (come lo è l'altruità del domicilio) a rendere abusivo l'accesso al sistema, che avvenga contro la volontà del proprietario, indipendentemente dall'approntamento di qualsiasi misura di protezione. La sfera della altrui privacy è comunque lesa, anche se ci si introduce in un sistema "non protetto" contro la volontà del proprietario.
L'aggiramento delle misure di protezione avrebbe piuttosto potuto costituire un aggravante, essendo indice, oltre che della consapevolezza di introdursi in un sistema contro la volontà del proprietario, (già insita a ns. avviso nella consapevolezza della altruità del sistema), anche di particolare intenzionalità illecita e capacità tecnica pericolosa in quanto utilizzata a fini illeciti, mentre ci sembra che l'ipotesi base del reato avrebbe dovuto necessariamente abbracciare ogni sistema informatico, anche non protetto.
Allo stato, comunque, se l'introduzione di cui parla l'art. 615-ter, primo comma, avviene in un sistema "non protetto", il fatto non rientra nella fattispecie di reato in esame, e non costituisce reato, salvo che risultino applicabili le fattispecie della frode informatica (art. 640-ter c.p.) ovvero del danneggiamento di sistemi informatici (art. 635-bis c.p.), le quali prescindono dall'esistenza della protezione, ma richiedono altri e più articolati elementi.
Il reato di accesso abusivo è incentrato sulle condotte di "introduzione" in un sistema informatico o telematico e di "mantenersi" al suo interno "contro la volontà espressa o tacita di chi ha il diritto di escluderlo".
La condotta di "introduzione" nel sistema informatico consiste nell'accedere all'interno del sistema, attraverso la sua stessa tecnologia, per prendere visione dei dati esistenti al suo interno. Si tratta quindi di una "introduzione elettronica" che avviene sia con l'utilizzazione della tecnologia hardware, sia del software, cioè dei programmi che consentono di leggere i contenuti del sistema ed eventualmente agire su di essi.
La condotta di "mantenersi" nel sistema informatico è stata prevista per colpire quei casi in cui l'introduzione è legittima, in quanto effettuata con il consenso o l'autorizzazione del proprietario, ma l'accesso al sistema diviene illegittimo nel corso di esso, per il superamento ad esempio della fascia oraria di accesso consentito (ad es., vi sono molti sistemi che offrono servizi agli utenti graduati per costi e valore, e ciascun cliente è abilitato ad accedere sino ad una determinata soglia, in base al contratto stipulato), o per il superamento del tempo di accesso pattuito e consentito, etc.
Il soggetto agente accede al sistema informatico ponendosi in comunicazione con esso, mediante la sua stessa tecnologia: ci troviamo quindi di fronte ad un reato commesso per mezzo di sistemi informatici, ed avente come oggetto materiale della condotta altri sistemi informatici.
Benché, come accennato prima, la norma penale trovi origine nel fenomeno degli hackers, e cioè in fatti di accesso "a distanza", da parte di soggetti ignoti, la delineazione delle condotte in termini di "introduzione" ovvero di "mantenersi" nel sistema, non esclude dalla operatività della norma i fatti di accesso al sistema compiuto "da vicino", cioè direttamente utilizzando le altrui apparecchiature di sistema, o una altrui stazione di lavoro fisicamente collegata con il sistema. Anche in tal caso, ove l'accesso superi la soglia di protezione, aggirando le misure protettive del sistema, sussisterà l'ipotesi di reato di cui all'art. 615-ter c.p.
Deve ritenersi quindi che l'accesso abusivo possa avvenire sia mediante contatto diretto del soggetto agente con il sistema, e ciò si verifica appunto ogni qualvolta questi adoperi fisicamente e direttamente il terminale dello stesso sistema informatico altrui per accedervi; sia a distanza, attraverso un altro sistema informatico, che per via telematica (cioè attraverso un modem ed utilizzando la linea telefonica), si colleghi al sistema altrui in cui si vuole accedere. Perché sia possibile l'accesso abusivo a distanza, è però necessario che il sistema informatico altrui sia collegato con una linea telefonica a mezzo di apparecchio "modulatore-demodulatore", appunto il mo-dem, (che trasforma gli impulsi elettrici emessi dal computer in segnali acustici da inviare sulla linea telefonica, e "demodula" gli impulsi acustici inviati dal computer remoto in segnali elettronici comprensibili dal computer che li riceve, ovvero si trovi in collegamento con una rete telematica, che consiste in un sistema di comunicazione, via cavo o anche via etere, gestito da un computer e con tecnologie elettroniche: tali due metodi di comunicazione (che esprimono in realtà due diversi livelli di una medesima tecnologia) consentono, a richiesta di terzi, alle condizioni che il proprietario del sistema che "si offre" in comunicazione ai terzi ha voluto stabilire (ad es., in particolari orari, o ininterrottamente), di entrare in comunicazione con il sistema.
Se il sistema informatico altrui non è collegato con alcuna rete telefonica o telematica, l'accesso abusivo ÿÿ non è possibile "a distanza", e può essere compiuto soltanto con manipolazione diretta del sistema da parte della persona.
La condotta illecita contemplata dalla norma in esame è indipendente dalle finalità di essa, avendo il legislatore ritenuto che l'introduzione abusiva è da punire in quanto tale: e ciò costituisce un ulteriore motivo di perplessità per il fatto che l'introduzione abusiva sia punita solo nei confronti dei sistemi che abbiano dei mezzi di protezione, risultando come accennato egualmente violata la altrui privacy anche in caso di accesso a sistemi altrui non protetti.
Al di là dell'accennata incongruenza della limitazione della tutela penale ai sistemi "protetti", in relazione all'esigenza generale di tutela della privacy, va sottolineato che la previsione di tale elemento nella fattispecie penale comporta diversi problemi per l'interprete.
In primo luogo, si pone il problema della individuazione del momento consumativo del reato, dovendosi appurare il ruolo che il superamento delle misure di sicurezza gioca nella struttura del reato.
In secondo luogo, in quanto elemento della fattispecie, e specificamente integrante una qualità dell'oggetto materiale della condotta, tale elemento deve rientrare nell'oggetto del dolo, e la mancata conoscenza dell'esistenza di misure di protezione comporta l'esclusione il reato.
Ma innanzi tutto occorre chiarire cosa deve intendersi per "misure di sicurezza".
L'espressione usata dal legislatore è per la verità poco tecnica, non solo sul piano giuridico, ove essa ha usualmente tutt'altro significato, ma appare portatrice di più significati anche nel linguaggio comune, mentre sul piano delle discipline informatiche il concetto è espresso con l'utilizzazione di espressioni non solo lessicalmente ma anche concettualmente differenti, quali "chiavi d'accesso, hardware o software", "passwords", "sistemi di protezione", etc. D'altro lato, tenuto conto che la fattispecie non è limitabile nella sua operatività ai soli accessi abusivi per via telematica, ma appare, non si sa se per scelta consapevole o meno del legislatore, orientata a tutelare anche gli accessi abusivi "da vicino", potrebbe indurre a ritenere che non siano escludibili a priori dall'ampia nozione di misure di sicurezza anche tutte quelle misure di sicurezza "fisiche" esterne al sistema informatico, quali porte blindate, sistemi di allarme per i locali ove sono allocati i sistemi, videovigilanza, etc.
La presenza fra le aggravanti di cui al secondo comma, della violenza a cose, che ben potrebbe attagliarsi ai casi di forzatura, con danneggiamento o meno, di tali sistemi di protezione esterni, non sembra escludere che anche tali forme di aggiramento di misure di sicurezza integrino l'elemento di cui al primo comma. Del resto, la lettera della norma non parla di "elusione", "aggiramento", od altra specifica azione compiuta sulle misure di sicurezza, ma soltanto richiede che il sistema sia "protetto da misure di sicurezza", e tale dizione appare suscettibile della più ampia interpretazione. Quanto alla "violenza a cose", va ricordato che l'art. 1 della legge 547/1993, come accennato in precedenza, ha esteso il relativo concetto altresì ai casi in cui "un programma informatico viene alterato, modificato o cancellato in tutto o in parte ovvero viene impedito o turbato il funzionamento di un sistema informatico o telematico", e quindi l'aggravante opererà anche se viene modificato o alterato il programma software che funge da sistema di protezione interno al sistema.
Nel caso degli accessi abusivi "a distanza", il riferimento alle "misure di sicurezza" deve necessariamente leggersi con riferimento alle misure di protezione di tipo software, proprie ed interne alle tecnologie informatiche, per definizione incorporate nel sistema.
Sono mezzi di protezione software degli insiemi di impulsi elettronici, di solito sotto forma di combinazioni di lettere e/o numeri, conosciute soltanto da chi è autorizzato ad accedere al sistema (e memorizzate nel sistema), che vanno comunicate ad esso, prima di utilizzarlo, altrimenti il sistema non gli consente di accedere ai suoi contenuti. Benché si sia ritenuto che per "misure di sicurezza" si debba intendere qualcosa di più della semplice password (Ceccacci, Computer crimes etc., arguendolo dal plurale dell'espressione), l'assunto non ci sembra da condividere, non solo perché il plurale di "misure di sicurezza" non sta ad indicare la necessaria presenza contestuale nel sistema di più forme di protezione, ma è solo indicativo della molteplicità dei mezzi di protezione esistenti ed applicabili, ma anche perché una tale limitazione di operatività della norma sarebbe in contrasto sia con la ratio di tutela, e sia con le ordinarie modalità di aggressione a distanza dei sistemi informatici, (che invece il legislatore ben ha avuto presenti), le quali avvengono tutte attraverso l'aggiramento delle c.d. barriere software, e cioè dei codici di accesso o passwords.
La violazione, cioè il superamento abusivo, delle misure software, per quanto complessi siano, è effettuabile sia con accessi da vicino, cioè operando direttamente sul terminale del sistema altrui, sia a distanza, attraverso l'invio di impulsi per via telematica.
Nei casi più sofisticati, gli hackers per oltrepassare le barriere software utilizzano la stessa tecnologia informatica, sotto forma di appositi programmi progettati per testare successivamente, con la velocità del computer, tutte le possibili combinazioni, finché non trovano quella esatta. Ad evitare ciò, i sistemi più evoluti sono programmati per disattivarsi e rifiutare il contatto con gli accessi che operino più di un certo numero di invii erronei di codici di accesso, sul presupposto che l'utente autorizzato è in possesso del codice esatto, e può anche errare a digitarlo una o più volte, ma non è normale che lo invii attraverso innumerevoli tentativi. E' anche a volte previsto che il sistema remoto conservi in memoria le operazioni eseguite dall'ignoto soggetto che si è introdotto, o ha tentato di introdursi, con tentativi non ortodossi, per consentire, se possibile, di individuarlo.
In molti casi i sistemi più complessi prevedono una serie di molteplici e successivi livelli di barriere, sì da poter graduare l'accesso del pubblico autorizzato a livelli differenti, e proteggere meglio il cuore del sistema, e le informazioni più riservate, oltreché nel contempo anche per offrire al pubblico tipologie di servizi di diversa complessità e costo.
Ma è certo che nessun sistema di protezione software, per quanto complesso sia, può dirsi inviolabile, essendo soltanto questione di tempo, e di livello tecnologico del soggetto che abusivamente vi accede, il superamento di tutte le barriere frapposte dal titolare del sistema informatico. Per cui nelle banche dati più evolute si ricorre a molteplici sistemi indiretti di controllo elettronico degli accessi. Mentre nel caso di banche dati militari, si ricorre alla variazione periodica dei codici di accesso, con costi immaginabili.
Per quanto riguarda le misure di protezione di tipo hardware, cioè consistenti in mezzi fisici di chiusura ed isolamento del sistema (ad es. chiavi che escludono l'accensione dell'apparecchio, interrompono l'afflusso della corrente, etc.), essendo queste integrate nella struttura materiale del sistema, ed impedendo del tutto il funzionamento della macchina, se non attivati, è evidente che la loro forzatura o manomissione non può avvenire se non da vicino, manipolando direttamente l'impianto, e quindi non sono aggirabili attraverso le comunicazioni telematiche.
Con riguardo al momento consumativo del reato, il fatto che il legislatore abbia incentrato la fattispecie sulla esistenza di misure di protezione, lasciando intendere che non vi sarebbe quindi violazione della privacy negli accessi ai sistemi non protetti pone dei problemi all'interprete. E' infatti da verificare se il reato debba ritenersi consumato soltanto allorché l'agente è riuscito a superare le barriere di protezione, ovvero già allorché è entrato in comunicazione con il sistema altrui, anche se non ha ancora materialmente visionato i suoi contenuti protetti.
Sul piano della realtà concreta, l'accesso nell'altrui sistema altrui può dirsi già avvenuto sia quando l'agente ha fisicamente acceso e, operando direttamente, da vicino, con la tastiera, ha iniziato a dialogare con il computer, sia quando le stesse operazioni ha iniziato ad effettuarle da lontano, attraverso il proprio computer e la rete telematica, anche se ancora non ha superato le barriere di protezione. Il solo fatto cioè, di aver posto in comunicazione il proprio computer con quello altrui integra un accesso al sistema altrui. Pur tuttavia, l'agente che non sia riuscito a superare la protezione non è in grado di accedere ai dati contenuti nell'archivio elettronico del sistema, e quindi teoricamente non può aver ancora violato alcuna privacy.
Sul piano, invece, della fattispecie in esame l'"introduzione" di cui parla il legislatore, anche in virtù del riferimento alle misure di protezione, sembra correttamente identificabile con il momento in cui l'agente ha oltrepassato abusivamente, e quindi illegalmente, le barriere di protezione dei dati. Per cui non può ritenersi consumato il reato allorché il soggetto ha iniziato a colloquiare con il sistema altrui, ma non è ancora riuscito ad oltrepassare le barriere di protezione (software), dal momento che, se è vero che l'accesso può dirsi già iniziato, tuttavia l'introduzione "nei dati" del sistema altrui non è ancora avvenuta.
Il reato sarà consumato soltanto allorché il soggetto agente sia riuscito ad eludere la protezione e ad accedere ai dati contenuti nel sistema. Sembra invece che debba ritenersi sussistere il tentativo in tutti i casi in cui l'agente cerchi di aggirare le protezioni ma non vi riesca. In tale ottica, che appare consona alla ratio di tutela della norma, che non si preoccupa certo di impedire l'accesso fisico al sistema, bensì l'accesso ai suoi contenuti, non può ritenersi sussistere il reato di cui all'art. 615-ter c.p. nel caso in cui il soggetto si ponga in comunicazione con il sistema altrui, ma si arresti al momento in cui si avveda che l'ulteriore accesso è protetto da misure che lo riservano solo a chi è abilitato.
Tale soluzione risulta coerente sia con la limitazione della fattispecie ai sistemi protetti, e sia con le procedure di accesso con tali sistemi, identificabili con tutte le specie di banche dati esistenti, pubbliche o private, civili o militari, operano nella realtà.
Tutte le banche-dati pubbliche o private sono costituite per essere utilizzate da terzi, secondo un più o meno ampio criterio di selezione, che in molti casi può ben fondarsi su valutazioni di tipo economico. Il proprietario o gestore della "banca-dati", cioè, intende offrire un servizio al pubblico, per il quale è previsto un prezzo, ed in mancanza del pagamento di questo egli ha diritto di escludere dall'accesso chiunque non sia, per altri motivi abilitato.
Ma di regola, il blocco dell'accesso non scatta immediatamente, bensì solo dopo oltrepassata una prima "soglia" del sistema, nella quale il sistema è aperto a chiunque si ponga in comunicazione con esso, ed in tale fase comunica al pubblico tipologie e costi dei servizi offerti, ed ogni altra modalità utile per accedere ad esso: entro tale limite non v'è alcun accesso abusivo, ed anzi l'introduzione è (e deve presumersi) autorizzata dallo stesso titolare, al fine di far conoscere al pubblico i propri servizi.
L'essenza dell'antigiuridicità del fatto non sta nel comunicare con un sistema protetto, ma nell'introdurvisi oltre, ed aggirando, la soglia di protezione, senza essere autorizzati ("abusivamente"). La tipicità della fattispecie è quindi realizzata dal momento in cui l'agente si introduce nei contenuti del sistema, oltre la soglia di protezione, oppure, pur essendovi acceduto legittimamente, vi si trattiene poi ulteriormente oltre il tempo o i limiti di accesso concessigli.
E', ad esempio, diffusissima oggi la tecnica di offrire al pubblico, gratuitamente per un tempo limitato, la possibilità di comunicare con banche dati, sì da far conoscere possibilità ed utilità di esse, ed eventualmente procurarsi nuovi "clienti". E' evidente che non sono questi gli accessi sanzionabili, anche se le banche-dati siano munite di misure di protezione: mentre ben sussisterebbe il reato ove colui che ha fruito di un accesso gratuito per un certo tempo, continuasse ad accedere illecitamente o mantenersi "in colloquio" con la banca-dati abusivamente, oltre il periodo autorizzato.
La logica della norma è polarizzata verso la tutela del diritto del titolare del sistema di escludere chiunque dall'accesso, e ne è conferma la previsione della punibilità a querela, che, oltre ad essere coerente con le altre norme relative alla inviolabilità del domicilio, ha lo scopo anche di lasciare alla valutazione del titolare del sistema la gravità del fatto e di decidere se sia opportuno o meno richiedere l'intervento dell'Autorità giudiziaria.
Se in tal modo viene tutelato il diritto del titolare del sistema di escludere chiunque dall'accesso ad esso, si profila però l'esigenza di tutela dei terzi, i cui dati siano inseriti negli archivi elettronici del sistema, e siano appresi da chi illecitamente vi accede. Una prima parvenza di tutela, assai limitata, è offerta dalla modifica dell'art. 621 c.p., cui la legge n. 547/1993 ha aggiunto un secondo comma, che equipara i supporti informatici contenenti "dati, informazioni o programmi" ai documenti di cui il primo comma dell'art. 621 c.p. statuisce il divieto di impiego a proprio profitto o di rivelazione.
Ma la pena risulta troppo blanda, anche per l'alternatività della reclusione con la multa, dimostrando che in realtà per il legislatore la privacy delle persone vale ben poco: soprattutto resta del tutto impregiudicato il problema della liceità delle banche-dati contenenti dati personali, dei limiti dell'accesso ad esse, e della tutela dei diritti di coloro che inconsapevolmente sono divenuti "informazioni" schedate nelle altrui banche-dati. Il problema è assai grave, poiché l'utilizzazione, anche lecita, delle banche-dati personali moltiplica inverosimilmente il rischio, per il singolo individuo, di vedere minacciata la propria sfera privata, di vedere rese pubbliche notizie private che tempi addietro ben difficilmente si sarebbero potute apprendere e diffondere, con evidente compromissione dei suoi rapporti interpersonali.
Se appare lecita la raccolta di dati che ciascuno faccia per propri fini personali leciti, in funzione della propria attività lavorativa, o delle sue relazioni intersoggettive, è ancora del tutto da verificare la ammissibilità, e la compatibilità con la tutela dei diritti fondamentali dell'individuo, delle raccolte di dati personali a fine di cessione a terzi, poiché indubbiamente le nuove tecnologie ingigantiscono le possibilità di diffusione di notizie. La semplice logica del "prezzo", in base al quale tali informazioni possono essere apprese e consultate da altri, indifferenziati, non può soddisfare le esigenze di tutela dell'individuo, esponendo comunque i terzi a cui si riferiscono le informazioni a qualsiasi imprevedibile utilizzo dei loro dati personali.
Ritornando al reato di accesso abusivo, non va sottovalutato che l'accertamento dell'avvenuto aggiramento delle misure di protezione costituirà, in fatto, un problema in tutti i casi in cui il sistema violato non sia in grado di conservare tracce dell'avvenuta violazione, ovvero conserverà tracce non significative (come accade nella maggioranza dei casi), e quindi non potrà offrire elementi per individuare se e chi abusivamente si è introdotto nel sistema.
Per come è costruita la fattispecie, con la esistenza di misure di protezione posta come elemento della stessa, in quanto qualità essenziale del sistema informatico oggetto materiale dell'azione, è evidente che l'agente deve sapere (in precedenza, o apprenderlo al momento in cui inizia a colloquiare con il sistema altrui) che il sistema è protetto da misure di protezione e che l'accesso ad esso non è libero per chiunque. Per l'esistenza del reato, in altri termini, il dolo deve abbracciare la condotta e l'oggetto materiale di essa, con le qualità che questo deve rivestire, e cioè l'altruità del sistema informatico, e l'esistenza della protezione.
La punibilità è a querela, nel caso dell'ipotesi semplice di cui al primo comma, mentre diviene procedibile d'ufficio il reato nelle ipotesi aggravate previste dai commi secondo e terzo.
Tra le aggravanti previste, il n. 2 prevede l'ipotesi della violenza sulle cose, o alle persone, o del caso in cui l'agente sia palesemente armato.
Si è già chiarito come l'art. 392, terzo comma, c.p. abbia esteso il relativo concetto ai casi di manomissione del software: tuttavia va sottolineato che tale tipo di violenza a cose non è necessaria nè indispensabile per accedere ai contenuti di un sistema informatico, ma costituisce un'ipotesi meramente eventuale. Quanto agli altri due casi, essi presuppongono che il soggetto operi da vicino, intendendo cioè accedere al sistema informatico direttamente dal suo terminale, e non a distanza per via telematica.
Uno dei comportamenti prodromici all'accesso abusivo agli altrui sistemi informatici è costituito dall'abusivo procacciamento dei codici di accesso ai sistemi "protetti".
Al riguardo, l'art. 615-quater c.p. (introdotto dall'art. 4 l. 547/1993) incrimina "chiunque, al fine di procurare a sé o ad altri un profitto o di arrecare ad altri un danno, abusivamente si procura, diffonde, comunica o consegna codici, parole chiave o altri mezzi idonei all'accesso ad un sistema informatico o telematico, protetto da misure di sicurezza, o comunque fornisce indicazioni o istruzioni idonee al predetto scopo".
Per la sussistenza del reato occorre il dolo specifico di profitto o di danno, e non basta la mera acquisizione o diffusione del codice di accesso.
La presenza del dolo specifico è evidentemente connessa all'esigenza di salvaguardare tutti i casi in cui la ricezione dei codici di accesso sia finalizzata ad attività lecite, e che nella realtà possono essere assai variegati: si pensi ad esempio ad esigenze di studio e sperimentazione, per la ricerca di nuove soluzioni tecniche, da offrire sul mercato delle tecnologie informatiche.
La funzione della norma è quella di prevenire ed impedire le condotte prodromiche alla effettuazione dell'accesso abusivo illecito, non quella di colpire ogni attività di progettazione e sperimentazione informatica, e la sola previsione dell'elemento dell'abusività dell'attività non è apparso (a ragione) sufficiente a ridurre il rischio di applicazioni incongrue della fattispecie.
Resta da valutare il rapporto che può intercorrere tra le due fattispecie dell'accesso abusivo e dell'abusiva apprensione di codici di accesso. Pur essendo i comportamenti individuati dall'art. 615-quater c.p. prodromici di quelli tipicizzati dall'art. 615-ter c.p., ci sembra che le due fattispecie possano tra loro concorrere, per la diversità strutturale e di tutela delle stesse.
L'art. 615-ter tutela il diritto di ciascun titolare di sistema informatico di escludere chiunque altro dall'accesso al proprio sistema.
L'art. 615-quater tutela invece la riservatezza dei codici di accesso, che sono "chiavi" abilitative dell'accesso al sistema rilasciate personalmente a ciascun soggetto autorizzato, e di regola intrasmissibili e non utilizzabili da altro soggetto: e per le quali v'è il rischio che si crei un vero e proprio mercato sommerso per offrirle a soggetti che possono utilizzarle per le finalità più imprevedibili.
E' quindi chiaro il rischio assai più grave che da tali fatti può derivare per la collettività, e si presenta ben individuabile una diversità ontologica di finalità di tutela fra le due norme, che consente di porle in rapporto di concorso di illeciti, anziché di concorso apparente di norme.
Oltretutto va sottolineato che mentre la prima è punibile a querela, la seconda è punibile d'ufficio, e tale differenza evidenzia ancor più la diversa rilevanza dei due fatti nell'ottica del legislatore.
Pertanto, nei casi, ipotizzati antea, in cui l'hacker utilizzi la stessa tecnologia informatica, per tentare ripetutamente di aggirare le protezioni di un sistema, ed in tal modo si procuri illecitamente un codice di accesso ad esso, non al fine di accedere nel sistema per apprenderne informazioni, bensì per apprenderne semplicemente la "chiave d'accesso", da offrire poi a terzi, sarà applicabile l'art. 615-quater c.p., e non l'art. 615-ter (nella forma tentata): mentre sussisterà concorso dei due reati, ove l'agente, oltre a procurarsi in tal modo il codice di accesso, si sia anche introdotto una o più volte nel sistema altrui.
Il problema concreto di maggior rilievo concerne la possibilità di individuare il soggetto che per via telematica accede abusivamente al sistema altrui. L'obbiettivo non è impossibile, e si collega alla individuabilità di una serie di "tracce" che l'hacker lascia nel mentre percorre i vari gradi dell'accesso abusivo (che spesso, in America, avviene passando per più sistemi diversi fra loro interconnessi): ma il miglioramento delle possibilità di controllo esige la diffusione di tecnologie di comunicazione che consentano ai sistemi destinatari degli accessi di identificare non soltanto la persona di chi accede (attraverso il codice di accesso o password) ma il sistema tecnologico che accede, ad esempio riconoscendo e memorizzando il numero dell'utenza telefonica. Analoga tecnologia dovrebbe essere prevista per le comunicazioni via cavo che operino indipendentemente dalla linea telefonica.

8. La tutela della riservatezza informatica e telematica.
Con il diffondersi delle nuove forme di archiviazione e consultazione di dati e informazioni, e di comunicazione delle stesse, per via telematica, a mezzo di apparati informatici distanti, era necessario ampliare la tutela penale già esistente per la riservatezza delle comunicazioni, e limitata soltanto alla corrispondenza ed alle tradizionali forme di comunicazione telefonica o telegrafica, tenendo ovviamente conto delle peculiarità delle tecnologie di cui si doveva garantire il corretto uso.
Ove si considerano i sistemi informatici nel loro aspetto statico, come strutture tecnologiche isolate, contenenti dati raccolti ed immessi in esso dal proprietario o gestore, la prima forma di tutela in favore della privacy di questi è costituita dal divieto, e conseguente repressione, degli accessi indesiderati al sistema, di cui ci siamo già occupati.
Un profilo affine è costituito dalla esigenza di salvaguardia della riservatezza dei dati inerenti a terze persone, ed esistenti all'interno di ciascuna banca-dati, al fine di garantire il rispetto della privacy anche di questi soggetti, le cui informazioni sono, a loro insaputa o meno, state raccolte in sistemi informatici.
Ove si considerano le nuove tecnologie sotto il profilo dinamico, e cioè nel momento della comunicazione di dati fra sistemi informatici, sorge l'esigenza di tutelare la libertà e la riservatezza delle nuove forme di comunicazione, allo stesso modo di come sono tutelate le tradizionali forme di comunicazione e di corrispondenza, in omaggio ai principi costituzionali di libertà dell'individuo.
A tal fine la legge 547/1993 ha seguito varie strade.
Nell'art. 616 c.p., relativo al reato di violazione, sottrazione e soppressione della corrispondenza, è stato, ad opera dell'art. 5 L. 547/1993 cit., sostituito il quarto comma, con l'ampliamento del concetto di "corrispondenza", oltre a quella epistolare, telegrafica, e telefonica, già previste, anche a quella "informatica o telematica ovvero effettuata con ogni altra forma di comunicazione a distanza": formula quest'ultima con cui il legislatore ha voluto tagliar corto ad ogni dubbio sulla tutelabilità di nuove forme di comunicazione, attuali o future, che non potessero inquadrarsi fra le tecnologie informatiche o telematiche stricto sensu intese.
In virtù di tale modifica la portata di tutte le fattispecie incluse fra i delitti contro la inviolabilità dei segreti è estesa alla corrispondenza elettronica. In questa rientra la c.d. posta elettronica, consistente in un servizio offerto dalle grandi banche dati telematiche, per mezzo del quale ciascun "cliente" può, a pagamento, ottenere la assegnazione di una casella postale elettronica, nella quale lasciare messaggi diretti a terzi e ricevere messaggi da terzi.
I messaggi giungono e partono per via telematica, e restano archiviati nella casella del destinatario per tempi concordati con il gestore del servizio, a disposizione del consumatore. Può trattarsi di messaggi e comunicazioni di lavoro o personali, ma in ogni caso essi costituiscono corrispondenza, e la loro riservatezza va tutelata come ogni altra forma di corrispondenza.
Con l'art. 6, la L. 547/1993 ha introdotto nel codice penale gli articoli 617-quater, 617-quinquies, e 617-sexies, specificamente orientati a tutelare le comunicazioni informatiche e telematiche, tenuto conto che "gli strumenti esistenti rappresentavano indubbiamente forme embrionali o limitate di tutela, in quanto riferibili solo a fatti commessi dal pubblico ufficiale (e categorie assimilabili), ovvero oggettivamente all'uso illecito dei dati contenuti nel solo archivio informatico del Centro Elaborazione Dati del Ministero dell'Interno, (ex art. 12 L. 121/1981), o ancora ristretti ai casi di accesso abusivo operato da chi avesse possibilità di accedere all'archivio informatico per concrete ragioni di ufficio", ma che restava "invece privo di qualsiasi tutela il settore generale delle attività private e dei sistemi informatici privati" (Relazione ministeriale cit.).
L'art. 617-quater punisce "chiunque fraudolentemente intercetta comunicazioni relative ad un sistema informatico o telematico o intercorrenti tra più sistemi, ovvero le impedisce o le interrompe, è punito con la reclusione da sei mesi a quattro anni". L'avverbio fraudolentemente, inserito in analogia al disposto dell'art. 617 c.p., appare eccessivo in relazione alla funzione della fattispecie, potendo costituire nella realtà un ostacolo all'applicazione della norma. Ci sembra che, attese le esigenze di tutela, ad esso possa soltanto attribuirsi il significato di azione compiuta "all'insaputa dell'utente della linea di comunicazione": ciò che più interessa per una corretta tutela della privacy individuale è la repressione di qualunque altrui intercettazione abusiva, non autorizzata né giustificata dalla legge, ed a tal fine l'espressione abusivamente sarebbe stata più indicata.
Il secondo comma estende la pena a chiunque rivela, mediante qualsiasi mezzo di informazione al pubblico, in tutto o in parte, il contenuto delle comunicazioni di cui al primo comma.
La punibilità è a querela dell'offeso, in omaggio al principio di disponibilità della riservatezza personale, lasciando all'interessato la valutazione del danno subito e della opportunità di evitare un maggior clamore derivante dal processo, ovvero di richiedere comunque la punizione del colpevole:
E' prevista la procedibilità d'ufficio, ed una pena più grave, se il fatto è commesso
a) in danno di un sistema informatico o telematico utilizzato dallo Stato o da altro ente pubblico o da impresa esercente servizi pubblici o di pubblica necessità;
b) da un pubblico ufficiale o da un incaricato di un pubblico servizio, con abuso dei poteri o con violazione dei doveri inerenti alla funzione o al servizio, ovvero con abuso della qualità di operatore del sistema;
c) da chi esercita anche abusivamente la professione di investigatore privato.
Per intercettazione deve intendersi la effettiva cognizione del contenuto dell'altrui comunicazione, non importa se sia stata registrata o meno, mentre non è tale la verifica della durata della comunicazione, o la registrazione dei numeri chiamati, a fine di documentazione, controllo e contabilizzazione del traffico telefonico (cfr. Cass. sez. I, 27-5-1986 n. 1689, in relazione all'art. 617 c.p.); quindi, nel caso della posta elettronica, la registrazione dei dati elettronici che individuano la casella chiamata, e l'utente chiamante, per l'addebito del costo del servizio, o anche, come avviene in America, per la conservazione della documentazione a fini di indagini penali, non costituisce il reato, se non comporta anche la presa di conoscenza del contenuto della conversazione o comunicazione.
L'art. 617-quinquies punisce l'installazione, fuori dei casi consentiti dalla legge, di apparecchiature atte ad intercettare, impedire od interrompere comunicazioni relative ad un sistema informatico o telematico, ovvero intercorrenti tra più sistemi. Il fatto è giustamente perseguibile d'ufficio, trattandosi di un comportamento prodromico alla intercettazione, che si colloca in una fase anteriore alla vera e propria intercettazione, per il quale, essendo ancora incerta l'identità della persona in danno della quale le intercettazioni abusive potrebbero avvenire, da un lato non è possibile indicare un titolare del potere di querela, e dall'altro è opportuno intervenire d'ufficio proprio per l'ampia potenzialità lesiva del fatto.
L'art. 617-sexies punisce il fatto di chi, al fine di procurare a sé o ad altri un vantaggio o di arrecare ad altri un danno, forma falsamente ovvero altera o sopprime, in tutto o in parte, il contenuto, anche occasionalmente intercettato, di taluna delle comunicazioni relative ad un sistema informatico o telematico o intercorrenti tra più sistemi, è punito, qualora ne faccia uso o lasci che altri ne faccia uso, con la reclusione da uno a quattro anni.
Dalla descrizione della norma appare sufficientemente chiaro il fatto concreto che la norma vuole reprimere, mentre possono sorgere dubbi sulla ratio di tutela e sui rapporti dell'art. 617-sexies con altre norme in materia informatica, ed in particolare con la frode informatica.
Sulla base della sua collocazione sistematica, l'articolo in esame sembrerebbe (correttamente) rivolto a difendere e tutelare la "genuinità" delle comunicazioni informatiche e telematiche, cioè la effettiva corrispondenza (su cui i soggetti che comunicano fanno legittimo affidamento) tra i dati trasmessi dal sistema remoto e quelli ricevuti dal sistema che con esso si è posto in comunicazione, e ad impedire che il flusso dei dati sia alterato o modificato durante la sua trasmissione, con l'effetto di far pervenire al ricevente dati e informazioni alterate, o ridotte, comunque non corrispondenti ai dati contenuti nel sistema trasmittente e da questo inviati.
La presenza però del dolo specifico "al fine di procurare a sé o ad altri un vantaggio o di arrecare ad altri un danno", indubbiamente ripreso dal testo dell'art. 617-ter c.p., (introdotto nel codice penale nel 1974, per le comunicazioni telegrafiche e telefoniche) appare forse eccessiva ed ultronea rispetto al vero scopo di tutela, e rischia di spostare l'ottica della norma, come già nel caso dell'art. 617-ter cit., al di là della mera attenzione per la riservatezza della comunicazione. In particolare pone problemi di sovrapposizione con la fattispecie di frode informatica di cui all'art. 640-ter c.p.
In quest'ultima, infatti, lo strumento di commissione della frode è, in primo luogo, "l'alterazione del funzionamento di un sistema informatico o telematico", (che appare attuabile anche intervenendo sul momento dell'emissione dei dati), ma soprattutto l'"intervento senza diritto con qualsiasi modalità su dati, informazioni o programmi contenuti in un sistema informatico o telematico o ad esso pertinenti". Il profitto ed il danno costituiscono l'evento materiale del reato di frode informatica, come in altri reati contro il patrimonio, e quindi sono necessariamente oggetto del dolo. Ne deriva che il fatto richiesto per la commissione dell'art. 617-sexies c.p. appare sovrapponibile all'ipotesi tentata del delitto di cui all'art. 640-ter c.p.
La differenza fra i due fatti può probabilmente individuarsi nel fatto che, secondo la previsione dell'art. 640-ter c.p. l'intervento sui dati deve operarsi in un momento statico all'interno del sistema informatico o telematico che li contiene; mentre nel caso dell'art. 617-sexies c.p. l'intervento modificatore, soppressore o falsificatore, dei dati, avviene nel momento dinamico della loro trasmissione da un sistema ad un altro. Ma non può sfuggire che si tratta di distinzioni che alla prova dei fatti, pur sulla base delle sofisticate tecnologie elettroniche disponibili, possono essere di difficile accertamento.
Anche la presenza dell'ulteriore inciso "qualora ne faccia uso o lasci che altri ne facciano uso", non contribuisce alla chiarezza sulla logica della norma: anche tale elemento è stato pedissequamente trasposto dal testo dell'art. 617-ter c.p., il quale a sua volta era stato costruito sulla falsariga del reato di falsità materiale in scrittura privata (art. 485 c.p.), incentrando sull'uso la consumazione del reato.
Ma appare evidente che altro è la modifica di una "scrittura", altro è la falsa formazione, la alterazione o la soppressione del "contenuto" di una comunicazione relativa ad un sistema informatico o telematico (peraltro anche l'espressione "relativa al" appare assai infelice, mal centrando l'oggetto dell'azione illecita).
Nel caso della comunicazione telematica o informatica, qualora l'intervento falsificatore avvenga mentre la comunicazione è in corso, è evidente che, avvenendo al trasmissione dei dati fra soggetti in tempo reale, l'uso del "contenuto" falsificato si realizza già nel mentre esso è comunicato dai sistemi (e contemporaneamente modificato dal reo). Per cui non appare congruo il riferimento ad un ipotetico uso che in realtà è già avvenuto durante l'attuazione del fatto illecito. Se poi con il riferimento al "contenuto" la norma dell'art. 616-sexies vuole considerare la attuazione della condotta illecita in un momento precedente o successivo alla comunicazione, ma non contemporaneo ad essa, e dunque non incidente sulla comunicazione "in atto", allora sorgono ben altri problemi di coordinamento con le altre fattispecie di illecito informatico, poiché ogni intervento illecito su dati già esistenti (e nel caso della comunicazione telematica, già pervenuti ed archiviati) nel sistema informatico si colloca, a seconda delle finalità, nelle altre fattispecie già esaminate: e d'altro lato, si vanifica la funzione di tutela della "libertà" di comunicazione, che appare l'obbiettivo primario della norma in esame.
Le problematiche accennate meriterebbero un più compiuto approfondimento, che non è possibile soddisfare in questa sede.
Infine con l'art. 7, è stato inserito un secondo comma nell'articolo 621 del codice penale, ampliando, come si è già accennato, il concetto di documento ai fini della tutela della riservatezza dei documenti "segreti", con l'inserimento anche del concetto di documento informatico, individuato in "qualunque supporto informatico contenente dati, informazioni o programmi".

9. La tutela dei sistemi informatici dalle forme di danneggiamento.
La legge n. 547/1993 ha affrontato il problema del danneggiamento dei sistemi informatici introducendo due nuove fattispecie: quella dell'art. 635-bis c.p., che considera specificamente tale fenomeno, collocato fra i reati contro il patrimonio, e quella dell'art. 615-quinquies c.p., che considera il fenomeno della diffusione dei c.d. programmi-virus, quest'ultima stranamente collocata fra le norme a tutela dell'inviolabilità del domicilio, laddove invece si prevedono in essa certamente fatti inerenti o prodromici al mero danneggiamento dei sistemi.
Che l'esigenza di una adeguata tutela dei sistemi informatici fosse avvertita ormai da tempo, non tanto per quanto concerne la fisicità apparente, visibile, del sistema, che de plano già rientrava nella tutela dell'art. 635, quanto piuttosto per il complesso di dati ed informazioni che il sistema informatico contiene, è dimostrato dalla diffusa e contrastante produzione giurisprudenziale, che in questi casi ha dovuto affrontare una svariata casistica di aggressioni alle tecnologie informatiche.
Il problema di fondo della tutelabilità dei sistemi informatici presentava varie sfaccettature, tra cui, relativamente ai casi di mero danneggiamento, emergeva dalla pratica la difficoltà di far rientrare il software, e cioè il programma, o il complesso di programmi residenti all'interno del computer, per i quali non era agevole riscontrare una ben definita fisicità, tra i beni tutelati dal reato ex art. 635 c.p.
A fronte di una giurisprudenza, piuttosto isolata (v. Pret. Torino 23-10-1989, FI 1990, II, 462, nt. Caso; Trib. Torino, 12-12-1983, GI, 1984, II, 352, nt. Figone), e di parte della dottrina (Corrias Lucente, Informatica e diritto pen., 531; Marini, Condotte di alterazione del reale etc., 385), che ritenevano pienamente applicabile l'art. 635 c.p., o anche l'art. 420 c.p. (Trib. Firenze, 27-1-1986, Foro It, 1986, II, 359, nt. Rapisarda, e Dir. Inform. Informat., 1986, 962, nt. Picotti), altra giurisprudenza e dottrina ritenevano invece inapplicabili (v., ad es., Picotti, Dir. Inform. Informat., 1986, 962, cit.; Proc. Rep. Trib. Torino, 23-11-1983, Basile, Giur. Piem., 1984, 647, nt. Barbuto) tali norme, non ravvisando nel software quelle caratteristiche di fisicità, cioè di materialità, che sono proprie dei beni oggetto di tutela da parte dell'art. 635 c.p.
Per la verità l'esclusione dell'applicabilità dell'art. 635 c.p. appare oggi erronea, dal momento che la modifica del supporto magnetico del computer, con cancellazione parziale o totale dei programmi, o dei dati, certamente comporta un danneggiamento, più o meno grave, della funzionalità della macchina, ma soprattutto del funzionamento dello stesso programma, che presenta, in quanto complesso di istruzioni registrate, in linguaggio informatico, sul supporto magnetico, una propria materialità.
Tuttavia, era chiaro che già la semplice incertezza, sulla tutelabilità o meno, creava gravissimi problemi, considerata la diffusione e la rilevanza di tali apparecchiature nella organizzazione economica e sociale.
L'introduzione dell'art. 635-bis c.p. ha inteso, dunque, porre un punto fermo sulla sanzionabilità dei fatti di danneggiamento relativi al software, più che all'hardware (cioè al computer strutturalmente inteso).
Può discutersi se fosse necessaria una norma ad hoc, o non fosse sufficiente piuttosto introdurre una nuova ipotesi aggravata dell'art. 635 c.p., vista anche l'identità di trattamento sanzionatorio, ma non sembra dubbio che occorresse un intervento positivo del legislatore per far chiarezza al riguardo.
La condotta illecita prevista dalla nuova fattispecie si incentra sulle azioni di distruggere, deteriorare o rendere, parzialmente o totalmente inservibili i sistemi informatici o telematici, ovvero i programmi, le informazioni e i dati in essi registrati ed esistenti.
Con riferimento all'hardware, cioè al computer inteso come apparecchiatura, come complesso di componenti elettrici, elettronici, ottici e meccanici, il significato di tali condotte è di intuitiva comprensione, abbracciando qualsiasi danneggiamento della macchina nel suo complesso, ovvero del componente o della parte di essa, e sono pienamente utilizzabili al riguardo i risultati interpretativi raggiunti dalla giurisprudenza in tema di art. 635 c.p.
Con riferimento alle apparecchiature elettroniche, poiché il danneggiamento può non essere totale, nel concetto di inservibilità parziale della macchina deve farsi rientrare qualsiasi atto che renda non più utilizzabile una singola funzione dell'apparecchio, anche se per il resto il sistema continua a funzionare.
Tale inservibilità può derivare sia dal danneggiamento di un componente elettronico (scheda del microprocessore, schede di interfaccia, etc.), sia dal danneggiamento del software, cioè dalla cancellazione parziale o totale delle istruzioni di uno o più programmi registrati sul disco rigido interno al computer.
L'entità del danno (civilistico) varierà a seconda della complessità del programma danneggiato, (ove trattisi di programma comune reperibile sul mercato, ovvero di programma progettato e realizzato appositamente per quell'apparecchiatura, o per le specifiche esigenze dell'utente, che ovviamente ha un costo maggiore).
Il punto focale della norma è il concetto di "sistema informatico o telematico".
La terminologia utilizzata dalla norma penale, che parla di "sistema", utilizzando un termine che di per sé è puramente astratto, e non individua un bene fisico preciso, necessita di approfondimento, anche perché sulla base del significato che le si attribuisce, può decidersi, nel caso concreto, in caso di azioni di danneggiamento di diverse apparecchiature, della esistenza o meno di una pluralità di reati.
Mentre, infatti, nella realtà concreta sono beni autonomamente individuabili il singolo computer, e le sue parti costitutive (il monitor, il microprocessore, che gestisce il sistema, le unità di registrazione, siano a disco rigido o a dischetti, etc.), nonché i vari apparecchi accessori che operano in uno con il computer (ad es., il modem, la stampante, il plotter, lo scanner, etc.), il "sistema informatico" è espressione vaga, che non presenta una predefinita identità fisica, ma che si presta ad indicare sia il singolo elaboratore, a sua volta inquadrabile, a seconda della potenza e capacità, fra i personal-computers, i minicomputers, i microcomputers, etc., sia un insieme di elaboratori collegati ad una unità centrale (c.d mainframe), sia un sistema produttivo interamente basato su tecnologie informatiche, cioè organizzato con sistemi di automazione guidati da uno o più computers in rete.
Ci sembra che nel concetto di "sistema informatico o telematico" possa rientrare, al minimo, ogni singolo elaboratore, (con annessi apparecchi accessori), che presenti una propria autonomia di funzionamento, indipendentemente dal fatto che sia collegato con altri elaboratori, via cavo (quindi con elaboratori all'interno esistenti nello stesso locale o in altri locali della stessa azienda, ufficio, abitazione, etc.), o via modem (e quindi con elaboratori distanti), ed anche indipendentemente dalla "potenza" del sistema.
Vi rientrano quindi sia il singolo personal computer di uso privato, che l'elaboratore di grandi dimensioni, e con pluralità di posti di lavoro collegati, come pure il sistema di gestione informatizzata del processo produttivo di un'azienda.
Nel caso di danneggiamento di più computers, ciascuno con propria autonomia operativa, pur se esistenti in uno stesso luogo, ufficio, etc., e pur se tra loro collegati, devono ritenersi sussistenti più violazioni della disposizione dell'art. 635-bis, poiché ognuno di essi costituisce un autonomo sistema informatico, con i temperamenti offerti dal ricorso all'art. 81 c.p..
Qualora invece i singoli computers danneggiati non costituiscano altro che dei terminali, (anche se occasionalmente utilizzabili autonomamente) di un unico sistema informatico, aziendale, di ufficio, etc., allora ci sembra che il collegamento funzionale che lega fra loro le diverse macchine, integrandole in un unico sistema informatico, debba far propendere per ritenere la sussistenza di un unico reato, che è già realizzato e consumato se il danneggiamento attinge anche soltanto una parte dell'intero sistema, in quanto è comunque in tal modo danneggiato il "sistema". L'entità maggiore o minore del danno rileverà in sede di quantificazione della pena.
L'ipotesi dell'art. 635-bis trova applicazione "salvo che il fatto costituisca più grave reato". Costituisce più grave reato, e prevale quindi sull'ipotesi dell'art. 653-bis, il reato di cui all'art. 420 c.p. (v. il _ della Parte I).
Si avrà invece concorso di reati con l'ipotesi dell'art. 392 c.p. (esercizio arbitrario delle proprie ragioni con violenza sulle cose), nel caso (verificatosi nella realtà: cfr. Proc. Rep. Torino, 23-11-1983, Basile, Giur. Piem., 1984, 647, nt. Barbuto, e la sent., nel medesimo proc. del Trib. Torino, 12-12-1983, Basile ed altro) in cui il tecnico produttore del software effettui, artatamente ed all'insaputa del cliente, la cancellazione del programma dal computer di questi, per reazione ad un presunto inadempimento del cliente.
Il danneggiamento è una figura classica di reato contro il patrimonio, ed il legislatore del 1993, nell'affrontare una forma di danneggiamento, pur se specifica in relazione alle cose su cui esso è compiuto, cioè le strutture informatiche, ha ritenuto di doverla inserire immediatamente dopo l'art. 635 c.p., nella medesima sistematica della figura tradizionale di danneggiamento.
E' ben vero che il danneggiamento in esame incide "fisicamente" su beni materiali, i quali hanno un indubbio valore patrimoniale.
Ma nel caso dei sistemi informatici e telematici, rilievo ben maggiore acquista la funzione dagli stessi svolta nell'ambito delle attività professionali, scientifiche, economiche e produttive, rispetto al loro valore patrimoniale intrinseco.
Poiché il sistema informatico costituisce oggi l'anima del processo produttivo, per l'archivio di prestazioni tecnologiche che contiene ed offre all'utente, ovvero l'archivio documentale essenziale per qualsiasi soggetto, (impresa, professionista, artigiano, privato) che operi con necessità di gestione e conservazione di ampio numero di dati, ed in esso racchiude e conserva tutti momenti della propria vita, (tecnico-professionale, economica, contabile, gestionale, fiscale), la distruzione o il danneggiamento dell'archivio informatico può gravemente compromettere la sua produttività, cioè la sua capacità di lavoro, nonché la sua professionalità, e mettere in ginocchio l'attività produttiva o professionale, o comunque produrre dei danni gravissimi, sia sotto forma di ritardi organizzativi, per la necessità di recuperare o ripristinare i dati e le metodologie di lavoro perse o danneggiate, sia sotto forma di perdita definitiva di dati non più recuperabili.
A fronte del danno derivante dalla immobilizzazione, ritardo o paralisi della struttura e della attività produttiva, è evidente che il danno patrimoniale del mero costo dell'impianto, per quanto elevato, appare di gran lunga inferiore, ed in taluni casi, del tutto insignificante. Nella vita dell'impresa il sistema informatico assume la veste di uno strumento della produzione, il cui rilievo può variare a seconda del tipo di attività produttiva oggetto dell'impresa, e del livello economico e tecnologico in cui l'impresa opera.
Anche qualora contenga soltanto i dati amministrativo-contabili sulle entrate e sulle uscite, relative al prodotto (sia esso consistente in beni o in servizi) ed ai corrispettivi ricevuti, e non entri direttamente nella gestione del processo produttivo, il sistema informatico può considerarsi uno strumento di produzione, compiendo esso una serie di attività (conservazione, organizzazione, ricerca ed evidenziazione dei dati) che sostituiscono l'attività di più persone, che altrimenti dovrebbero essere impegnate nella gestione di quei dati.
Allorché poi il sistema informatico assume un ruolo diretto nel processo produttivo stricto sensu inteso, diviene senza alcun dubbio un vero e proprio mezzo essenziale della produzione, come nel caso in cui il sistema informatico è preposto al funzionamento dell'intero processo produttivo, o di sue fasi specifiche: sia organizzando le diverse fasi di lavorazione, sia comandando variazioni e nuove operazioni nel corso di essa, sia compiendo funzioni di verifica, in corso di lavorazione o al suo termine, della qualità del prodotto o della sua corrispondenza agli standards progettuali. Sono di intuitiva evidenza i danni che azioni incidenti sul sistema informatico di impresa o sul suo software possono provocare.
Tali aspetti di rilevanza del danno assumono autonoma considerazione rispetto al mero valore del singolo impianto informatico nell'ipotesi già esaminata dell'art. 420 c.p., che però concerne gli impianti di pubblica utilità. Per tutti gli impianti produttivi privati, però, tale aspetto resta del tutto trascurato e penalmente irrilevante, se non sotto il profilo della entità della pena comminabile.
Forse sarebbe stato opportuno prevedere una specifica aggravante per i casi in cui il danneggiamento attinge strutture produttive ponendo in crisi la produzione, e magari ponendo a rischio anche molti posti di lavoro: anche perché il richiamo alle aggravanti dell'art. 635 c.p. non copre tale ipotesi, neppure nel caso del n. 2, in quanto restano fuori le aggressioni portate da terzi alle strutture di impresa (sul punto cfr. anche Palombi - Pica, Diritto penale dell'economia e dell'impresa, Torino, 1996, in corso di stampa, Parte I, __ 19, 21, e 23).
Il secondo comma dell'art. 635-bis, nel prevedere un aumento di pena, lo collega, da un lato, con eccessiva approssimazione, alla sussistenza delle aggravanti previste dall'art. 635, secondo comma, c.p., e, all'altro, ad una nuova specifica aggravante tipica del reato informatico, prevista espressamente dallo stesso comma. Non pertinente risulta il richiamo al n. 5 del secondo comma dell'art. 635, che focalizza specificamente l'atto di danneggiamento su piante, arbusti, boschi, e quindi non può concerne apparecchiature elettroniche; mentre di scarso rilievo appare anche il richiamo al n. 3 dell'art. 635, anche per la coeva esistenza nel codice penale della fattispecie dell'art. 420 c.p.
Accanto all'ipotesi diretta di danneggiamento del sistema, la nuova legge ha introdotto anche la fattispecie prodromica del danneggiamento, consistente nella diffusione dei c.d. programmi-virus (art. 615-quinquies c.p.). Si tratta di fattispecie del tutto nuova, che recepisce e sanziona penalmente un fenomeno ormai diffusissimo, che arreca danni enormi agli utenti di sistemi informatici.
Si tratta dei c.d. virus informatici, i quali provocano danni, temporanei o definitivi, rimediabili o irreparabili, agli archivi dati ed ai programmi archiviati nei computers.
I virus non sono altro che sequenze di istruzioni (in altre parole, sono dei miniprogrammi), di solito ad autoesecuzione, cioè che si attivano da soli, al momento prestabilito dall'ideatore (momento che può dipendere da fatti eterogenei, quale la semplice scadenza di un termine, ovvero l'utilizzo da parte dell'utente del computer di un determinati comando o programma, etc.), e compiono dall'interno della macchina, operazioni prestabilite sugli archivi magnetici, o sulla memoria del computer, con gli effetti più vari. Si va dai virus che tracciano semplicemente immagini e composizioni grafiche sullo schermo, sovrapponendosi o sostituendosi alle immagini che il programma in uso offriva, a quelli che scompongono improvvisamente l'immagine che l'utente vede, mentre sta lavorando sul monitor del computer, ovvero a virus che incidono direttamente sui dati e sui programmi memorizzati nel sistema informatico, cancellandoli del tutto o modificandoli. Gli unici limiti nella ideazione dei virus sono costituiti dalla fantasia dell'ideatore e dalla complessità di progettazione del programma che li costituisce. limite
Alcuni virus, come i primi indicati, sono innocui per i dati, comportando soltanto un disturbo temporaneo delle operazioni del computer, e quindi un ritardo nel lavoro, ma non incidendo sulla identità e integrità del contenuto dell'archivio elettronico. Altri invece modificano il contenuto del computer, cancellandolo in tutto o in parte, e causando così la perdita dei dati registrati, o dei programmi, e la inservibilità del sistema sino a quando i dati non sono ripristinati.
La condotta del reato previsto dall'art. 615-quinquies consiste nelle azioni di "diffondere, comunicare o consegnare" i programmi nocivi previsti nella fattispecie.
Il legislatore ha utilizzato tre termini che parzialmente si sovrappongono etimologicamente, per abbracciare esaustivamente ogni forma di distribuzione e circolazione dei programmi nocivi.
Si è verificato in passato, ad esempio, che attraverso i bollettini telematici venissero diffuse, a beneficio di chiunque interessato, le istruzioni dettagliate per realizzare da sé dei programmi-virus (cfr. D'Aietti, in Borruso etc., Profili penali dell'informatica, 88), offrendo anche il c.d. listato del programma base, cioè la sequenza ordinata di istruzioni da ricopiare nel programma che ciascuno avesse voluto realizzare. Oggi questo tipo di comportamento costituisce il reato in esame.
Non è, invece, prevista come illecita la semplice creazione dei programmi nocivi. Tale scelta appare dettata, oltreché da considerazioni pratiche di accertamento e di prova del fatto, che avrebbero vanificato l'efficacia di un tale divieto, anche dall'intento di non incidere negativamente su momenti dell'attività umana che restano nella sfera privata di libertà dell'agente, e che non sono di per sé socialmente pericolosi, finché il frutto di tale azione non viene diffuso all'esterno. La costruzione o la ricostruzione di un programma-virus, od analogo, se resta nell'àmbito della sfera privata di ciascuno, oltre che non lesiva di beni apprezzabili altrui, può essere anzi funzionale al lavoro di sperimentazione e ricerca anti-virus, per studiarne rimedi e tecniche di protezione dagli stessi e non va impedita.
Il concetto di "diffusione" va letto ed interpretato in armonia con le tecniche informatiche attraverso cui i programmi nocivi circolano. Esso appare quindi riferito soprattutto alla metodica di diffusione dei programmi nocivi attraverso le reti telematiche, che consentono di porre in comunicazione fra loro computers diversi, e distanti, ed in tal modo permettono il trasferimento tra loro non solo di informazioni e dati, ma anche dei virus, i quali, come accennato, sono costruiti per propagarsi in modo "automatico", con progressivo allargamento del "contagio", né più né meno come un'epidemia di tipo sanitario.
Naturalmente, nel concetto di diffusione rientrano anche le azioni di materiale introduzione di copie del programma nei sistemi informatici, ed è indifferente che tale azione sia compiuta clandestinamente o fraudolentemente, o con violenza, ovvero anche apertamente.
La diffusione e la distribuzione di tali programmi sono illecite di per sé, poiché la semplice esistenza in circolazione di essi rappresenta un pericolo per qualsiasi sistema informatico, ed è irrilevante per la punibilità del fatto che il programma sia stato creato da altra persona diversa da chi lo diffonde.
E' illecita anche la distribuzione fisica, e non elettronica, di tali programmi, mediante la traditio del supporto materiale (dischetto) che lo contiene: è infatti vietata anche la consegna, che rappresenta una condotta generica che include in se ogni tipo di distribuzione e di cessione, gratuita o meno.
La norma non tipicizza le intenzioni dell'agente, non prevedendo alcun dolo specifico, e se tale assenza è spiegabile con la considerazione che il legislatore ha voluto comunque impedire la diffusione dei programmi-virus, pone però il problema di un eccessivo allargamento della fattispecie, soprattutto con il richiamo al concetto di "consegna", che indica una azione individuale, di minor valenza delle azioni di diffusione o comunicazione: astrattamente rientrerebbe quindi nella fattispecie qualsiasi caso di consegna a terzi, anche di programmi-virus creati da altri. Ma in tal modo possono ricadere nell'ipotesi sanzionata anche i casi, frequenti nella realtà e però del tutto giustificabili, e da consentire, in cui il soggetto "vittima" del virus informatico consegna a tecnici programmatori o a centri di ricerca ad es. i dischetti infetti allo scopo che questi studino il programma-virus e ne individuino i rimedi.
Questi casi ben possono essere sottratti alla apparente onnicomprensività della norma sotto il profilo dell'elemento psicologico, che, trattandosi di delitto, deve consistere nel dolo, il quale pur senza essere tipicizzato come "specifico", deve però abbracciare tutti gli elementi della fattispecie, e dunque deve consistere nella volontà e consapevolezza di diffondere o comunicare il virus, e non è ravvisabile nella intenzione di ricercare di rimedi ed "antidoti" elettronici ad esso e di richiedere l'ausilio di terzi a tal fine. Ma occorre applicare la norma con sufficiente attenzione e buon senso, evitando di colpire indiscriminatamente.
Accanto alla diffusione, l'art. in esame prevede la condotta di comunicare: essa in realtà costituisce un minus della diffusione, in quanto la "comunicazione" del programma nocivo dal computer dell'agente ad un altro sistema (che può avvenire sia per via telematica, che attraverso la materiale copia da dischetto del programma nell'apparecchio) costituisce il mezzo della diffusione. La tipicizzazione anche della condotta di comunicare consente di sanzionare altresì il singolo atto iniziale, diretto alla diffusione, prima che il programma nocivo sia effettivamente diffuso fra più sistemi.
Ove il legislatore avesse omesso tale condotta, quindi, sarebbero di certo sorti problemi interpretativi per valutare l'"entità" del contagio da virus, al fine di valutare se ci si trovasse o meno in un'ipotesi di "diffusione".
Per quanto concerne la "consegna", e con i limiti già esposti in cui va valutata tale condotta, la norma nulla precisa in ordine alla consapevolezza in chi riceve la consegna, delle caratteristiche di nocività del programma, ed è quindi indifferente l'atteggiamento psicologico del ricevente ai fini della sussistenza del reato, essendo la fattispecie incentrata sul comportamento dell'agente.
L'oggetto materiale della condotta di diffusione, comunicazione o consegna sono i programmi informatici virus, creati dallo stesso agente o da terzi, che abbiano l'effetto:
a) di danneggiare il sistema informatico o telematico: si tratta di un'ipotesi più rara, poiché il tipo di danno che generalmente i virus sono in grado di arrecare incide sui programmi e sui dati, non sull'hardware.
b) di danneggiare i dati o i programmi in esso contenuti o ad esso pertinenti: ciò può avvenire in molteplici modi, sia con istruzioni di cancellazione dati o di programmi;
c) di interrompere, totalmente o parzialmente, o alterare il funzionamento del sistema: ciò avviene con l'inserimento di istruzioni che interrompono le operazioni di elaborazione in corso nell'apparecchio, o le rallentano o le sospendono per un certo tempo, etc., senza però cancellare dati.

10. Le frodi informatiche.
L'art. 10 della legge 547/1993 ha introdotto nel codice penale una ipotesi di reato (art. 640- ter) del tutto nuova, denominata "frode informatica", collocata fra i reati contro il patrimonio, dopo il reato di truffa.
Con la nuova fattispecie si è inteso tipicizzare una serie di fatti illeciti che sono sostanzialmente riconducibili alla figura della truffa, ma che formalmente non erano apparsi inquadrabili nella fattispecie tipica di tale reato, in quanto si osservava che l'azione rivolta a procurarsi l'indebito lucro era diretta contro il computer, quale mezzo incaricato di gestire determinati rapporti patrimoniali, e non v'era l'induzione in errore di una persona, come richiesto dal primo comma dell'art. 640 c.p. L'identità di oggetto giuridico con il reato di truffa, distinguendosi i due reati soltanto per le modalità di commissione, avrebbero forse suggerito, come migliore soluzione, la modifica del già esistente art. 640 c.p., eventualmente con l'introduzione di un nuovo comma ovvero con la previsione di una ulteriore aggravante.
La denominazione di "frode informatica" si deve soprattutto alle caratteristiche di clandestinità del comportamento illecito, posto in essere quasi sempre all'insaputa del proprietario del sistema informatico, ma conferma la atecnicità, altrove sottolineata, del termine "frode", utilizzato diffusamente dal legislatore.
La condotta, estremamente ampia nella previsione dell'art. 640-ter, si articola in due ipotesi, delle quali la prima consiste nell'alterare "in qualsiasi modo" il funzionamento di un sistema informatico o telematico, e la seconda nell'intervenire senza diritto "con qualsiasi modalità" su dati, informazioni o programmi contenuti in un sistema informatico o telematico o ad esso pertinenti. E' evidente lo sforzo legislativo di abbracciare ogni possibile operazione compiuta abusivamente sul computer altrui, ma il rischio che la fattispecie così latamente costruita finisca per colpire fatti irrilevanti o assai lievi è piuttosto reale, atteso anche l'accezione estremamente ampia con cui il concetto di profitto viene comunemente inteso, anche nel senso di utilità non patrimoniale, benché collegata ad un danno "patrimoniale" per la vittima.
Lo scopo della condotta illecita, non tipicizzato sotto forma di dolo specifico, è il raggiungimento di un profitto ingiusto con altrui danno, come già nello schema della truffa, ed in questo elemento la fattispecie è costruita come le più tradizionali ipotesi di reati contro il patrimonio. L'aspetto più delicato, come già in altri reati contro il patrimonio, della fattispecie risiede nel concetto di ingiustizia del profitto, che dovrebbe intendersi come "utilità che non spetta all'agente per legge, ed a concedere la quale la vittima non potrebbe neppure essere obbligata con le vie legali" (Pica, Violazioni dell'equo canone e reato di estorsione, in Scritti in onore di G.Capozzi, Milano, 1992, vol. II, 533 ss.)
Il reato si consuma con l'acquisizione del profitto, ed il tentativo appare possibile, sussistendo finché questo non è raggiunto ed il danno per la vittima non si è verificato.
Per quanto concerne i sistemi di pagamento elettronici, quali ad es. i c.d. bancomat, occorre verificare se l'agente ha effettivamente alterato il funzionamento del sistema, ovvero se ha utilizzato carte di credito falsificate, o indebitamente sottratte ad altri. In questi ultimi due casi non si versa nel reato di frode informatica, ma trova applicazione l'art. 12 d.l. 3 maggio 1991 n. 143, conv. ex l. 5 luglio 1991 n. 197, ai sensi del quale è punito "chiunque, al fine di trarne profitto per sé o per altri, indebitamente utilizza, non essendone titolare, carte di credito o di pagamento, ovvero qualsiasi altro documento analogo che abiliti al prelievo di denaro contante o all'acquisto di beni o alla prestazione di servizi", nonché "chi, al fine di trarne profitto per sé o per altri, falsifica o altera carte di credito o di pagamento o qualsiasi altro documento analogo che abiliti al prelievo di denaro contante o all'acquisto di beni o alla prestazione di servizi, ovvero possiede, cede o acquisisce tali carte o documenti di provenienza illecita o comunque falsificati o alterati, nonché ordini di pagamento prodotti con essi" (in argomento si rinvia a Palombi - Pica, Diritto penale dell'economia e dell'impresa, Torino, 1996, parte IV, __ 80 - 82).
Per i casi di accesso abusivo ai sistemi informatici, anche se di fatto sorretti da finalità di lucro, provvede, prescindendo da qualsiasi finalità, trova spazio la fattispecie dell'art. 615-ter c.p., già esaminata.
Sui problemi di apparente sovrapposizione tra il fatto descritto dall'art. in esame e quello di cui all'art. 617-sexies c.p. si è già accennato in precedenza. Le due fattispecie, sotto il profilo della oggettività giuridica, ben possono concorrere tra loro.

11. La tutela del software.
L'introduzione dell'art. 171-bis della legge 22 aprile 1941 n. 633, posto specificamente a tutela del software, cioè dei programmi per elaboratori elettronici, è avvenuta con ritardo rispetto alle legislazioni straniere più evolute, anche se non può dirsi che il settore mancasse di qualsiasi tutela, dal momento che già prima della novella legislativa, che ha introdotto l'art. 171-bis, la giurisprudenza, sia di merito che di legittimità (cfr. Cass. sez. III, 24-11-1986, FI, 1987, II, 289, nt. Pardolesi), era giunta ad includere il software fra le opere dell'ingegno a carattere scientifico.
Il d.lgs. 518/1992 ha definitivamente assimilato i programmi per elaboratore alle opere dell'ingegno, estendendo loro la tutela civilistica propria del diritto d'autore, e prevedendo una tutela civile e penale ad hoc.
L'art. 11 del d.lgs. 518/1992 ha introdotto nella l. 633/1941 l'art. 199-bis, per il quale "le disposizioni della presente legge si applicano anche ai programmi creati prima della sua entrata in vigore, fatti salvi gli eventuali atti conclusi e i diritti acquisiti anteriormente a tale data".
A parte le incongruenze tecniche sul piano dei rapporti tra fonti (a cui il legislatore moderno ci ha nostro malgrado assuefatti), dal momento che viene erroneamente inserita nel testo, di una legge di ciquant'anni fa, una disposizione che può avere valore soltanto per le norme nuove, introdotte dal d.lgs. 518/1992, e non per le altre preesistenti (alla cui epoca di emanazione non esisteva neppure l'informatica odierna), e che quindi doveva restare come disposizione propria, ed autonoma, del d.lgs. 518/1992, è evidente, ma giova sottolinearlo, che la retroattività della tutela di legge si riferisce unicamente agli aspetti civili di essa. Non potrebbe mai applicarsi invece la sanzione penale di cui all'art. 171-bis alle duplicazioni e commercializzazioni abusive compiute prima dell'entrata in vigore del d.lgs. 518/1992, per lo sbarramento offerto dall'art. 1 c.p. ed ancòr prima dall'art. 25 cost.
Il d.lgs. 518/1992 ha modificato l'art. 2 l. 633/1941, aggiungendo alla elencazioni delle opere che rientrano nella protezione della legge, il n. 8, il quale menziona "i programmi per elaboratore, in qualsiasi forma espressi purché originali quale risultato di creazione intellettuale dell'autore". La stessa norma precisa che "restano esclusi dalla tutela accordata dalla presente legge le idee e i principi che stanno alla base di qualsiasi elemento di un programma, compresi quelli alla base delle sue interfacce". Nel termine "programma" si comprende anche il materiale preparatorio per la progettazione del programma stesso.
Per l'individuazione dei diritti che rientrano nella tutela offerta all'autore del programma, occorre far riferimento agli artt. 64-bis, 64-ter e 64-quater, della l. 633/1941, riportati in nota all'art. 171-bis.
Sulla base di tali norme, sono attuabili, senza necessità di autorizzazione del titolare dei diritti sul programma, le attività di riproduzione o di modifica del programma, necessarie per poter utilizzare il programma in conformità alla sua destinazione, o per la correzione di errori del medesimo, o per sperimentarne le funzionalità, o ancora per renderlo interattivo con altri programmi dell'utente. E' infine sempre consentita la copia di backup, a fini di conservazione preventiva in caso di danneggiamento della copia principale.
Quanto alla condotta di reato, la norma prevede diverse ipotesi alternative di configurazione del reato, (che nella realtà possono anche cumularsi), e cioè:
a) la duplicazione abusiva di programmi per elaboratore;
b) l'importazione, distribuzione e vendita, nonché detenzione a scopo commerciale, e cessione in locazione di copie non autorizzate di programmi per elaboratore.
La norma prosegue altresì stabilendo che si applica la stessa pena se il fatto concerne qualsiasi mezzo inteso unicamente a consentire o facilitare la rimozione arbitraria o l'elusione funzionale dei dispositivi applicati a protezione di un programma per elaboratore: lasciando intendere che sarebbe vietata la duplicazione, importazione e commercializzazione di strumenti (in realtà si tratta soprattutto di programmi ad hoc) finalizzati ad aggirare le "difese" dei programmi in commercio.
Le condotte devono essere supportate dal dolo specifico, consistente nel fine di lucro. Per "fine di lucro" deve intendersi la volontà di sfruttamento economico della copia illecitamente ottenuta, mentre non vi rientra il mero uso strettamente personale, in quanto pur costituendo esso un vantaggio, non rientra nel concetto tecnico di "fine di lucro".
Si è ritenuto che, poiché il software costituisce opera dell'ingegno, e l'art. 171 l. 633/1941 sanziona l'abusiva riproduzione e commercializzazione dell'opera dell'ingegno altrui "a qualsiasi scopo e a qualsiasi forma", tutti i casi residuali in cui vi sia illecita utilizzazione dei programmi non a fini di lucro, rientrino nella previsione dell'art. 171, c. 1, anche per l'inciso iniziale di riserva dell'applicazione dell'art. 171-bis (Pastore, Software, 1994, 193).
La copia illecita di programmi per uso personale e non a fini di lucro rientrerebbe quindi nella previsione dell'art. 171, primo comma. Mentre i casi di lesione del diritto morale dell'autore ricadono, come già in passato, nella previsione del capoverso dell'art. 171, il quale però richiede l'ulteriore elemento dell'offesa all'onore o alla reputazione dell'autore.



Bibliografia generale
Baragli, Gli illeciti informatici: a proposito di criminalità da "computer", Civiltà Cattolica, 1987, vol. IV, 268; Borruso, Buonomo, Corasaniti, D'Aietti, Profili penali dell'informatica, Milano, 1994; Caso, Criminalità informatica: "bombe logiche" e danneggiamento di software, Foro It., 1991, II, 228; Ceccacci, Computer crimes. La nuova disciplina dei reati informatici, Milano, 1994; Chimienti, La tutela giuridica dei programmi per elaboratore, Milano, 1994; Corbucci, Sicurezza informatica e "special opportunity crimes", con particolare riferimento alla possibilità di ricondurre alle comuni fattispecie di falso documentale le c. d. manipolazioni in senso stretto, Giur. Merito, 1989, 1027; Corbucci, Condotte di accesso abusivo e di uso non autorizzato del computer - Problematiche relative alla loro qualificazione penale, Giur. Merito, 1988, 930, e Riv. Polizia, 1988, 450; Corbucci, Informatica e criminalità con particolare riferimento ai reati propriamente informatici, Riv. Polizia, 1987, 145; Correra - Martucci, L'evoluzione della criminalità informatica: - Nuovi crimini e nuovi criminali, Rass. It. Criminologia , 1991, 319; Corrias Lucente, Informatica e diritto penale: elementi per una comparazione con il diritto statunitense, Dir. inform. informat., 1987, 167 e 519; Fameli, Informatica e documentazione nel diritto penale, Arch. Pen., 1986, 247; Fondaroli, I problemi della c. d. criminalità informatica e la legge francese n. 88-19 del 5 gennaio 1988, Ind. Pen., 1989, 762; Frosini, Informatica e criminalità organizzata, Dir. Inform. Informat., 1993, 75; Frosini, Telematica e informatica giuridica, Enc. Dir., vol. XLIV, Milano, 1992, 60 ss.; Giannantonio, I reati informatici, Dir. Inform. Informat., 1992, 335; Greco, Il furto del software, Giur. Merito, 1988, 705; Mantovani, Brevi note a proposito della nuova legge sulla criminalità informatica, Crit. dir., 1994, 12; Marini, Condotte di alterazione del reale aventi ad oggetto nastri ed altri supporti magnetici e diritto penale, RIDPP, 1986, 381; Mazzei, Appunti sulla repressione penale dei computer-crimes, Riv. Trim. Dir. Pen. Econ., 1992, 693; Merli, Il diritto penale del'informatica: legislazione vigente e prospettive di riforma, Giust. Pen., 1993, II, 117; Militello, Nuove esigenze di tutela penale e trattamento elettronico delle informazioni, Riv. Trim. Dir. Pen. Econ., 1992, 365 ss.; Montoro, La tutela penale del software, in L'intelligenza creativa tra regola e fantasia, Atti del Convegno nazionale (SIAE - Centro Lunigianese Studi giuridici, Pontremoli) del 5-7- giugno 1987, Roma, ediz. SIAE, 1988; Morales Prats, Presupposti politico-criminali per una tutela penale della riservatezza informatica (con particolare riguardo all'ordinamento spagnolo), Dir. Informa. Informat., 1986, 369; Mucciarelli, I computer-crimes nel disegno di legge 1657/1984, Riv. It. Dir. Proc. Pen., 1985, 785; Mucciarelli, Computer (Disciplina giuridica del) nel diritto penale, Dig. It., IV ediz., Disc. pen., Torino, 1988, vol. II, 373 ss.; Novelli, Banca dati ed opere dell'ingegno, in L'intelligenza creativa tra regola e fantasia, Atti del Convegno nazionale SIAE - Centro Lunigianese Studi giuridici cit., Roma, ediz. SIAE, 1988; Pagliaro, Informatica e crimine organizzato, Ind. Pen., 1990, 411; Palaia, Informatica e tutela penale del segreto industriale, Dir. Inform. Informat., 1989, 299; Pastore, Software e diritto d'autore, Riv. Pen. Econ., 1994, 190; Pastore, Le difese penali nel diritto di autore, in L'intelligenza creativa tra regola e fantasia, Atti del Convegno nazionale SIAE - Centro Lunigianese Studi giuridici cit., 1988; Pastore, Ruolo della S.I.A.E. nella protezione del software, Dir. d'Aut., 1993, 78 ss.; Petrone, Banche dei dati e tutela della "privacy" - Riflessi penalistici, Dir. Inform. Informat., 1988, 81; Petrone, Le recenti modifiche del codice penale in tema di documento informatico: problemi e prospettive, in Dir. Inform. Informat., 1995, 259; Picotti, La criminalità informatica: profili di diritto comparato, Crit. Pen., 1989, fasc. 1, 26; Pitrone, I processi informatici e la manipolazione dei dati, Rass. Dir. Civ., 1994, 25; Rinaldi, La disciplina penale del software nel decreto legislativo di attuazione della direttiva 91/250 CE, Legisl. Pen., 1993, 781; Rivalta, Informatica. Appunti sulla tutela penale del software (d.lgs. n. 518/1992), Impr., 1993, 1743; Rossello, La tutela giuridica del software nei primi orientamenti giurisprudenziali italiani, Dir. Inform. Informat., 1985, 103; Rossi Vannini, La criminalità informatica: le tipologie di computer crimes di cui alla legge 547/1993 dirette alla tutela della riservatezza e del segreto, riv. Trim. Dir. Pe. Econ., 1994, 427 ss.; Sarzana, Note sul diritto penale dell'informatica, Giust. Pen., 1984, I, 21; Sarzana, Protezione dei dati personali e del software. Sviluppi normativi, Docum. Giust., 1989, n. 7, 39 ss.; Sarzana, Iniziative nazionali ed internazionali nella lotta alla criminalità informatica, Docum. giust., 1991, n. 99, 53; Sarzana, Informatica e diritto penale, Milano, 1994, p. 215; Sisto, Diritto penale dell'informatica e recupero di modelli tradizionali, Crit. Pen., 1985, fasc. 3, 28; Spreutels, La responsabilità penale connessa ad abusi nella applicazione dell'informatica, Dir. Inform. Informat., 1985, 123; Traversi, La riproduzione abusiva di programmi per elaboratori (c.d. "software piracy") costituisce reato?, Giust. Pen., 1987, 443 ss.

Trani Ius / Novità / Percorsi della giurisprudenza / Leggi / Opinioni / Riforme / Sezioni / Radici / Home page