Il tema della sicurezza informatica ha assunto da tempo un considerevole rilievo, sia nel dibattito teorico, sia nella legislazione. Tanto è vero che a livello europeo, a partire dal 2004, è stata istituita un’apposita “Agenzia per la sicurezza delle reti”. La questione appare inscindibilmente connessa allo sviluppo della società dell’informazione. Quello di “società dell’informazione”, come è noto, è un concetto forgiato – intorno agli anni sessanta – per indicare alcune connotazioni peculiari delle società contemporanee. In particolare, i diversi autori hanno inteso mettere in luce che in tali società la ricchezza deriva in gran parte da beni e servizi di tipo informativo, che la presenza della tecnologia ha assunto una dimensione assorbente[1], che, in ultima analisi, il bene “informazione” ha acquistato un valore economico e strategico sempre crescente[2]. In tale contesto, le tecnologie informatiche (o tecnologie ICT, Information and Communication Technology) rappresentano i principali veicoli di raccolta, trattamento ed organizzazione dei dati e delle informazioni da parte di singoli individui, aziende e pubbliche amministrazioni. Si pensi, solo per fare alcuni esempi, all’e-commerce, alla finanza on line, ai sistemi telematici di gestione delle reti energetiche e di trasporto. L’intera organizzazione complessiva della società dell’informazione appare imperniata sui sistemi telematici[3]. Tutti questi sistemi non soltanto sono (evidentemente) vulnerabili, ma possono, se usati impropriamente, rappresentare strumenti di attacco ad altri sistemi connessi alla rete internet. Di qui l’esigenza di assicurare ai consociati una situazione di sicurezza in merito all’uso delle tecnologie ICT, da intendere non in senso assoluto ma come un equilibrio tra la fiducia nell’uso dei sistemi e il rischio accettabile della loro violazione[4].
Prima di addentrarci negli aspetti di tutela della sicurezza informatica rinvenibili nella recente legge n. 48 del 2008, di ratifica della Convenzione di Budapest sul
Cybercrime del 23 novembre 2001, non sembra inopportuno evidenziare come il termine “sicurezza” (non solo informatica) presenti una costitutiva ambiguità. Esso infatti può designare, da una parte, l’interesse di ciascun individuo alla tutela della riservatezza e dell’integrità del proprio sistema informatico. Ma può, dall’altra, servire ad esprimere anche l’interesse dello Stato, con il primo potenzialmente in conflitto, ad esercitare penetranti controlli ai fini della prevenzione e della repressione di atti illeciti, quali la diffusione di materiale pedopornografico in rete e le azioni di
cyberterrorismo. Basti por mente alle tecnologie della sorveglianza implementate negli Stati Uniti dopo gli attacchi dell’11 settembre: esse rappresentano efficaci strumenti di investigazione telematica, ma al contempo hanno sollevato questioni di rispetto dei principi costituzionali per la loro capacità di invadere la libertà e la riservatezza dei cittadini
[5]. Per evitare tale ambiguità, vi è chi ha proposto di utilizzare termini diversi per indicare la sicurezza dei cittadini e quella dello Stato
[6].
Ciò premesso, la sicurezza dei sistemi informatici si articola su diversi livelli
[7]: quello dell’
integrità, che consiste nella non alterabilità dei dati e delle informazioni, quello della
disponibilità, ovvero la possibilità di accedere e disporre delle informazioni solo da parte dei soggetti autorizzati, e quello della
confidenzialità, ossia la possibilità di conoscenza dell’informazione solo da parte degli aventi diritto. Qualora poi il sistema sia connesso ad internet, la sicurezza include anche i profili dell’
autenticità (la certezza, da parte del destinatario, dell’identità del mittente) e del
non ripudio (la proprietà per cui, quando viene inviato un messaggio, il mittente non può negarne l’invio ed il destinatario non può negarne la ricezione).
La materia della sicurezza informatica si può certamente considerare oggetto specifico dalla legge n. 48 del 2008, con cui è stata ratificata la Convenzione di Budapest sul Cybercrime. È bene sottolineare, innanzi tutto, come la legge predetta si collochi idealmente a fianco della legge n. 547/1993 (“Modificazioni ed integrazioni alle norme del codice penale e del codice di procedura penale in tema di criminalità informatica”), tra i principali interventi organici del nostro Parlamento in materia di crimini informatici. Infatti, la legge di ratifica ha provveduto ad inserire nel codice penale diverse nuove figure di reati informatici e a riscrivere diverse disposizioni dello stesso codice; ha previsto – attraverso puntuali interventi sul codice di procedura penale – strumenti e modalità di indagine informatica; ha ampliato i casi di responsabilità amministrativa, in caso di commissione di reati informatici, a carico degli enti (di cui al D.lgs n. 231 del 2001); ha aggiunto al Codice della privacy regole concernenti la conservazione e l’acquisizione dei dati del traffico telematico, ai fini di investigazioni preventive e repressione di specifici reati informatici.
Le disposizioni della legge di ratifica della Convenzione di Budapest sul Cybercrime riguardano pressoché tutti i livelli di sicurezza informatica poco sopra individuati. In questa sede ci limiteremo a soffermarci sulle norme di diritto penale sostanziale di cui alla legge n. 48.
Il legislatore del 2008 ha tutelato l’integrità e la non alterabilità dei sistemi e dei dati attraverso la previsione di quattro figure di danneggiamento informatico (articoli da 635 bis a 635 quinquies del codice penale) e la modifica dell’art. 491 bis c.p. (“Documenti informatici”). In particolare, con i nuovi articoli 635 bis e 635 ter c.p. vengono puniti i fatti di distruzione, danneggiamento, cancellazione, alterazione o soppressione di informazioni, dati o programmi informatici altrui, privati e pubblici. Gli articoli 635 quater e 635 quinquies c.p. invece proteggono, da analoghe condotte di danneggiamento, i sistemi informatici o telematici, privati e pubblici. Queste quattro fattispecie di reato sostituiscono ora il “vecchio” reato di danneggiamento informatico di cui al previgente art. 635 bis c.p. Quest’ultima norma era entrata nel codice ad opera della legge 547 del 1993, la quale aveva in questo modo preso atto, da una parte, della crescente importanza dei beni informatici e, dall’altra, della circostanza che poteva essere difficoltoso applicare al danneggiamento di beni immateriali, quali le informazioni memorizzate nel sistema o i programmi, il tradizionale reato di danneggiamento dell’art. 635 c.p., che tutela le “cose”, intese nell’accezione di beni materiali. Peraltro, la legge n. 48 non ha ratificato l’articolo della Convenzione che definisce il concetto di sistema informatico. Secondo i primi commentatori, si è trattato di una scelta consapevole
[8], motivata dall’opportunità che sia la giurisprudenza ad occuparsi della questione, a fronte della rapida evoluzione della tecnologia. Quanto all’art. 491 bis c.p., che rende punibili le falsificazioni aventi ad oggetto gli atti informatici, è mutata la nozione di documento informatico. Esso, nel novellato art. 491 bis c.p., non è più costituito dal «supporto informatico contenente dati o informazioni aventi efficacia probatoria». Infatti, la legge del 2008 ha abrogato il comma recante la definizione citata, con la conseguenza che occorre ora fare riferimento al Codice dell’Amministrazione Digitale, secondo cui è documento informatico la rappresentazione informatica di atti, fatti o dati giuridicamente rilevanti. La natura immateriale del bene informazione ha suggerito, in altri termini, di eliminare il riferimento ad un eventuale supporto materiale.
I livelli della disponibilità e della non alterabilità appaiono tutelati dall’art. 615 quinquies c.p. (“Diffusione di apparecchiature, dispositivi o programmi informatici diretti a danneggiare o interrompere un sistema informatico o telematico”), sostanzialmente riformato dalla legge di ratifica. Con tale disposizione (che amplia le categorie di condotte rilevanti, rispetto al precedente art. 615 quinquies c.p.) sono stati incriminati tutti i possibili comportamenti prodromici al danneggiamento, all’interruzione o all’alterazione di un sistema informatico
[9], posti in essere in relazione a virus,
malware o apparecchiature
hardware che si prestino allo scopo illecito. Perché il fatto assuma rilevanza penale, è comunque sempre necessario che il soggetto agente abbia la specifica finalità del danneggiamento illecito dei dati, delle informazioni o dei programmi o dell’alterazione o interruzione del funzionamento del sistema. In questo modo, risulta non punibile la mera creazione di virus o
malware a scopo di ricerca o di attività commerciale.
In merito al requisito dell’autenticità, essa risulta protetta, tra l’altro, in forza della formulazione di due nuove figure di reato, ovvero l’art. 495 bis c.p. (“Falsa dichiarazione o attestazione al certificatore di firma elettronica sull’identità o su qualità personali proprie o di altri”) e l’art. 640 quinquies c.p. (“Frode informatica del soggetto che presta servizi di certificazione di firma elettronica”). Il delitto di falsa dichiarazione o attestazione al certificatore è rivolto a garantire la genuinità di quello strumento di identificazione informatica dato dalla firma elettronica e a punire anche il furto di identità elettronica (c.d. phishing), ravvisabile in ogni atto di fraudolenta appropriazione e di abuso delle altrui credenziali telematiche. La condotta punita è quella di chiunque dichiara o attesta falsamente al certificatore «l’identità o lo stato o altre qualità della propria o dell’altrui persona». Infine, la legge di ratifica ha disegnato una fattispecie di truffa “qualificata” (il suddetto art. 640 quinquies c.p.), commessa, in violazione degli specifici obblighi in materia e per un fine illecito, da un soggetto (il certificatore) il cui ruolo gli consente di porre in essere comportamenti particolarmente insidiosi. Le due citate disposizioni potranno avere, evidentemente, ampia applicazione soprattutto in sede di tutela della sicurezza dell’e-commerce.
In chiusura a queste brevi note sulla protezione della sicurezza informatica ad opera della legge penale, è bene non dimenticare che la sicurezza stessa si pone quale obiettivo “multidimensionale” nel senso che, accanto all’emanazione di norme giuridiche
ad hoc, richiede misure tecnologiche, organizzative, di carattere economico
[10] e, in ultima analisi, una vera e propria cultura – interdisciplinare – della sicurezza.