Topics

Temi penalistici generali del Cybercrime

Corte di Cassazione, sez. II penale, 10 aprile 2020 (ud. 7 novembre 2019), n. 11959/2019 – Pres. Matilde Cammino,  Rel. Sergio Di Paola

Riconoscendo l’attributo della fisicità al dato informatico (per essere un’entitià che occupa fisicamente una porzione di memoria quantificabile), e consdierando la capacità dei files di essere trasferiti tra dispositivi o sistemi nonché di essere “custoditi” in ambienti “virtuali”, la Corte di Cassazione ha affermato il seguente principio di diritto: «i dati informatici (files) sono qualificabili cose mobili ai sensi della legge penale e, pertanto, costituisce condotta di appropriazione indebita la sottrazione da un personal computer aziendale, affidato per motivi di lavoro, dei dati informatici ivi collocati, provvedendo successivamente alla cancellazione dei medesimi dati e alla restituzione del computer “formattato”».

Recognising the attribute of physicality to computer data (entity that physically occupies a quantifiable portion of memory), and considering the capacity of files to be transferred between devices or systems and to be “stored” in “virtual” environments, the Court of Cassation affirmed the following principle of law: «computer data (files) can be qualified as movable property under Criminal Law and, therefore, constitutes misappropriation conduct the removal from a company personal computer, entrusted for work purposes, of computer data placed there, subsequently providing for the deletion of the same data and the return of the “formatted” computer».

In senso conforme: Corte di Cassazione, sez. V penale, sentenza 23 luglio 2015 (ud. 19 febbraio 2015), n. 32383/2015 – Pres. Maurizio Fumo, Rel. Micheli Paolo.

In senso difforme: Corte di Cassazione, sez. IV penale, sentenza 29 gennaio 2004 (ud. 13 novembre 2003), n. 3449/2003 – Pres. Giovanni D’Urso, Rel. Ettore Palmieri; Corte di Cassazione, sez. IV penale, sentenza 21 dicembre 2010 (ud. 26 ottobre 2010), n. 44840/2010; Corte di Cassazione, sez. II penale, sentenza 24 maggio 2016 (ud. 18 febbraio 2016), n. 21596/2016 – Pres. Matilde Cammino, Rel. Sergio Beltrani.

Nota redazionale

Nella sentenza in commento la Corte di Cassazione qualifica il dato informatico quale “cosa mobile” agli effetti della legge penale affermandone la fisicità in quanto i dati informatici sono misurati in bit e byte e possono costituire oggetto di operazioni di trasferimento o custodia, elementi che rappresenterebbeo i presupposti logici della possibilità che il dato informatico sia oggetto di condotte di stottrazione e appropriazione.

Pur avendo riscontrato quale limite di tale assunto la mancanza del requisito dell’apprensione materialmente percepibile del file in sé considerato, esso viene tuttavia superato dai giudici della Corte ritenendo che il difetto del requisito della “fisicità” della detenzione non costituisca elemento in grado di ostacolare la riconducibilità del dato informatico alla categoria della “cosa mobile”.

Infine, l’effetto di definitiva sottrazione del bene patrimoniale (quale è il dato informatico) al titolare del diritto di godimento ed utilizzo dello stesso – elemento che si è sempre ritenuto mancante nelle ipotesi di “furto di informazioni”, poiché il dato informatico resta comunque nella disponibilità materiale e giuridica del titolare, ragione in base alla quale il legislatore del 1993, in sintonia con la dottrina e la giurisprudenza dell’epoca, aveva escluso che la condotta di sottrazione di dati, programmi e informazioni fosse riconducibile alla fattispecie di furto – viene oggi ritenuto sussistente nel caso in cui l’appropriazione venga realizzata dal soggetto agente mediante condotte che mirano non solo all’interversione del possesso legittimamente acquisito dei dati informatici, ma altresì alla sottrazione definitiva dei dati informatici mediante la loro cancellazione, dopo averli duplicati e acquisiti autonomamente su un proprio dispositivo.

La pronuncia della Corte di Cassazione qui riportata solleva alcune osservazioni critiche, in particolare sotto due profili.

In primo luogo, risulta quantomeno arduo qualificare il dato informatico quale “cosa mobile”, come affermato dalla Suprema Corte, tant’è che in passato aveva sempre ritenuto che le condotte di furto, danneggiamento, ricettazione e appropriazione indebita potessero aver ad oggetto non i dati in quanto tali, ma i supporti materiali nei quali gli stessi erano contenuti.

Infatti, se da una parte non si nega che anche i dati informatici posseggano una loro fisicità, per le ragioni riportate nella sentenza in commento, dall’altra essi possiedono una materialità molto diversa da quella che caratterizza la cosa mobile tradizionalmente intesa.

Quest’ultima trova la propria dimensione nella realtà materiale o tuttalpiù meccanica (laddove si tratti di “energia”, che è stata ad essa assimilata con espressa ed estensiva previsione di legge ex art. 624, comma 2, c.p.), mentre il “dato” appartiene al mondo dell’informatica e dell’informazione, la cui sostanza sfugge alle categorie della «sottrazione» o dell’«appropriazione», vale a dire di uno spossessamento o spostamento patrimoniale. Non è infatti possibile “sottrarre un file” o comunque appropriarsene, facendone venir meno con ciò stesso la disponibilità al precedente possessore o titolare: si potrà eventualmente con ulteriori azioni trasferirlo, cancellarlo, o  comunque impedire all’interessato di visionarlo bloccandone l’accesso.

Come si può notare anche nel caso in esame, la condotta dell’agente non si manifesta in una unitaria sottrazione, ma piuttosto nei due diversi momenti del trasferimento (duplicazione delle informazioni) e della cancellazione dei dati contenuti sul portatile aziendale. Difetta, perciò, la condotta tipica di appropriazione, perchè la copiatura dei files consiste in una mera duplicazione degli stessi, che rimangono memorizzati sul medesimo supporto sul quale si trovavano, mentre la successiva cancellazione degli originali è condotta che non rientra nella nozione di impossessamento ed è, semmai, riconducibile al diverso reato di danneggiamento.

Sovrapporre o confondere due entità così differenti tra loro, come sono appunto la “cosa mobile” e il “dato informatico”, rischia di oscurare le diverse e specifiche esigenze di tutela e di regolamentazione di cui lo stesso legislatore, in conformità a molteplici fonti sovranazionali, si è da tempo opportunamente fatto carico, ed apre ad una applicazione analogica in malam partem, espressamente vietata in materia penale.

L’impressione è che per risolvere uno specifico caso concreto nei termini ritenuti opportuni, i Supremi giudici abbiano finito per giungere ad un’affermazione di principio in realtà insostenibile, che si auspica venga al più presto superata, a garanzia di un correttto esercizio dell’essenziale funzione nomofilattica e del sovraordinato principio di stretta legalità in materia penale.

Riferimenti: L. Picotti, Sistematica dei reati informatici, tecniche di formulazione legislativa e beni giuridic tutelati, in L. Picotti (a cura di), Il diritto penale dell’informatica nell’epoca di Internet, 2004, Padova, pp. 60 ss.; I. Salvadori, L’accesso abusivo ad un sistema informatico o telematico. Una fattispecie paradigmatica dei nuovi beni giuridici emergenti nel diritto penale dell’informatica, in L. Picotti (a cura di), Tutela penale della persona e nuove tecnologie, 2013, Padova, pp. 125-161; R. Flor, Riservatezza informatica e sicurezza informatica quali nuovi beni giuridici penalmente protetti, in V. Militello, A. Spena (a cura di), Mobilità, sicurezza e nuove frontiere tecnologiche, 2018, Torino, pp. 463-482; ID., Cybersecurity ed il contrasto ai cyber-attacks a livello europeo: dalla CIA-Triad Protection ai più recenti sviluppi, in Diritto di Internet, 2019, n. 3, pp. 453-467; L. Picotti, Cybersecurity: Quid Novi?, in Diritto di Internet, 2020, n. 1, pp. 11-15.

Si rimanda inoltre ai materiali presenti all’interno dei topic dedicati all’accesso abusivo e ai danneggiamenti informatici.

Principali orientamenti della Procura Generale sulla risoluzione dei contrasti con riferimento all’attribuzione delle indagini sui reati informatici e cibernetici, a cura di Fulvio Baldi

Si riportano qui i punti salienti del Vademecum diffuso dalla Procura Generale presso la Corte di Cassazione in merito ai criteri adottati per la risoluzione dei conflitti di attribuzione tra Procure territoriali nella fase delle indagini preliminari con riferimento ai reati informatici e cibernetici.

Le truffe on line

Ai fini della determinazione della competenza, rileva:

1) nei casi di pagamento a mezzo vaglia postale, il luogo ove il vaglia viene materialmente riscosso;

2) nei casi di pagamento a mezzo bonifico, il luogo ove ha sede la filiale presso la quale l’autore della condotta ha acceso il conto corrente su cui sono state accreditate le somme tramite bonifico bancario;

3) nei casi di pagamento a mezzo ricarica di carta prepagata (postepay e simili), e ove detta carta sia “appoggiata” su un conto corrente bancario o postale, il luogo ove hanno sede la filiale della banca o l’ufficio postale presso il quale è stato acceso il conto medesimo;

4) nei casi di pagamento a mezzo ricarica di carta prepagata (postepay e simili), e ove detta carta non sia “appoggiata” ad alcun conto corrente, il luogo ove hanno sede l’ufficio o l’esercizio commerciale presso il quale la carta prepagata è stata attivata (identificabile attraverso il cd. codice univoco della carta).

Laddove le indagini non abbiano consentito di acquisire alcuno dei dati di cui ai punti precedenti, ai sensi dell’art. 9 cpv. c. p. p., il luogo di residenza e di domicilio dell’indagato. E’ appena il caso di aggiungere che tali criteri consentono una più agevole concentrazione delle indagini ed un più efficace esercizio dell’azione penale che talora ha una pluralità consistente di persone offese.

Frode informatica ed accesso abusivo ad un sistema informatico (art. 640 ter e 615 ter c.p.)

Ai fini della determinazione della competenza territoriale, nel reato di frode informatica il momento consumativo va individuato nel luogo di esecuzione della attività manipolatoria del sistema di elaborazione dei dati, che può coincidere con il conseguimento del profitto anche non economico. Laddove non si conosca il primo luogo, ci si rivolgerà a quello ove il profitto è stato conseguito (orientamento non pacifico in giurisprudenza: contra v. Cass., Sez. I, n. 40303 del 2013, per cui il luogo di consumazione del delitto di accesso abusivo ad un sistema informatico non è quello in cui vengono inseriti i dati idonei ad entrare nel sistema bensì quello dove materialmente è collocato il server che elabora e controlla le credenziali di autenticazione del cliente).

Stante la connessione e la maggiore gravità rispetto all’altro di cui all’art. 615 ter c.p., sarà questo reato a determinare la competenza.

Il reato di diffamazione via Internet

L’inserimento di frasi offensive o di immagini denigratorie nella rete telematica (internet) dà luogo ad un reato di evento che si consuma nel momento e nel luogo in cui i terzi percepiscono l’espressione ingiuriosa. Quando, tuttavia, non sono noti né il luogo in cui le espressioni, inserite nella rete telematica, lesive della reputazione della persona offesa, sono state percepite da terzi (art. 8 c.p.p.), né il luogo in cui l’agente ha immesso le stesse nel relativo “sito” web, condotta che costituisce una parte dell’azione (art. 9, co. 1 c.p.p.) per l’individuazione del luogo di consumazione del delitto de quo deve farsi ricorso al criterio suppletivo di cui all’art. 9, co. 2 c.p.p., cioè al luogo di residenza, domicilio o dimora dell’indagato, ovvero ancora al criterio suppletivo di cui all’art. 9, comma 3 c.p.p.

Nel ribadire il principio di cui sopra, si è altresì precisato che il diverso luogo nel quale risultano immesse nel web le espressioni ritenute lesive dell’altrui reputazione potrebbero venire in considerazione solo qualora mancasse l’effettiva percezione della notizia, e, quindi, nel caso di reato tentato.

Corte di Cassazione, sez. V penale, sentenza 27 gennaio 2020 (ud. 22 novembre 2019), n. 3236/2020 Pres. Gerardo Sabeone – Rel. Maria Teresa Belmonte

Il reato di installazione di apparecchiature atte ad intercettare, impedire o interrompere comunicazioni informatiche o telematiche di cui all’art. 617-quinquies c.p. è un reato di pericolo concreto, nel quale il pericolo rappresenta un elemento costitutivo della fattispecie incriminatrice, per cui è compito del giudice, in base alle circostanze concrete del singolo caso, accertarne l’esistenza. È, quindi, necessario accertare l’idoneità dell’apparecchiatura installata a consentire la raccolta o la memorizzazione dei dati e ad eludere la possibilità di percezione della captazione da parte dei soggetti tra i quali intercorre la comunicazione.

The crime of installing equipment designed to intercept, prevent or interrupt IT or telematic communications punished by art. 617-quinquies c.p. it is a crime of tangible danger, in which the danger represents a constituent element of the law provision, so the judge must, based on the concrete circumstances of the single case, ascertain its existence. It is therefore necessary to ascertain the suitability of the equipment installed to allow the collection or storage of data and to circumvent the possibility of perception of the collection by the subjects between whom the communication takes place.

Corte di Cassazione, sez. V penale, 20 marzo 2019 (ud. 8 novembre 2018), n. 12546/2019 – Pres. Maria Vessichelli, Rel. Grazia Miccoli

Per superare le perplessità sulla configurabilità di una responsabilità in concorso ex art. 40 e 110 c.p. del blogger nel reato di diffamazione commesso dall’utente, si può fare ricorso alla figura della pluralità di reati, integrati dalla ripetuta trasmissione del dato denigratorio. Il blogger, appreso che sono stati pubblicati da terzi contenuti obiettivamente denigratori, se non si attiva tempestivamente a rimuovere tali contenuti, finisce per farli propri e quindi per porre in essere ulteriori condotte di diffamazione.

To overcome the doubts on the configurability of conspiracy between blogger and user in case of defamatory content online, it is possible to resort to the figure of plurality of crimes, supplemented by the repeated transmission of denigratory data. If the blogger, which have learned that objectively defamatory contents have been published by third parties, does not activate promptly to remove such contents, it ends up making them its own and putting in place further defamation behaviors.

Corte di Cassazione, sez. I civile, 19 marzo 2019 (ud. 21 febbraio 2019), n. 7708 – Pres. Francesco A. Genovese, Rel. Loredana Nazzicone

Secondo il regime delineato dall’art. 16 D.lgs. n. 70/2003, sotto il profilo oggettivo, al prestatore del servizio non “attivo” si rimprovera una condotta commissiva mediante omissione, per avere – dal momento in cui sussista l’elemento psicologico dell’effettiva conoscenza – concorso nel comportamento lesivo altrui a consumazione permanente, non avendo provveduto alla rimozione del dato informatico o al blocco all’accesso.

According to the regime outlined by art. 16 D.lgs. n. 70/2003, a non-active service provider can be held liable for a commissive through omission conduct, which consists in having failed either to remove the illegal data or to block the access. Indeed, the non-active provider is held liable for having – from the moment in which the psychological element of actual knowledge subsists – contributed to others’ harmful behavior, which has to be considered with a “permanent consumption”.

Corte di Cassazione, sez. V penale, 22 marzo 2018 (ud. 11 dicembre 2017) n. 13398 – Pres. Carlo Zaza, Rel. Alfredo Guardiano

La lesione del bene giuridico protetto, nel caso della pubblicazione di un articolo dal contenuto diffamatorio sul Web, non si esaurisce nell’atto della pubblicazione stessa, cioè della materiale inserzione e della diffusione dell’articolo nella realtà telematica, ma continua per tutto il tempo di permanenza dello scritto nel mondo della “Rete”, dove è liberamente consultabile da un numero potenzialmente illimitato di lettori.

The infringement of the protected “legal good”, in case of publication of defamatory article on the Web, does not end with the publication itself, that is to say the material insertion and dissemination of the article within the telematic reality, but continues for as long as the content remains on the “Network” world, where it is freely available to a potentially unlimited number of readers.

Raccomandazione (UE) 2018/334 della Commissione del 1° marzo 2018, sulle misure per contrastare efficacemente i contenuti illegali online

Commission Recommendation (EU) 2018/334 of 1 March 2018 on measures to effectively tackle illegal content online.

Risoluzione del Parlamento europeo del 3 ottobre 2017 sulla lotta alla criminalità informatica (2017/2068(INI))

European Parliament resolution of 3 October 2017 on the fight against cybercrime (2017/2068(INI))

×