0
crimini informatici: il quadro normativo in Italia

Crimini Informatici: prevenzione, responsabilità e quadro normativo

L’incremento dell’indebito utilizzo della tecnologia e dell’informatica ha dato vita alla categoria dei c.d. computer crimes (reati informatici), la cui disciplina deriva dall’esigenza di colmare il precedente vuoto normativo circa la mancata tutela e protezione adeguate dei beni dematerializzati.

Con il crescente fenomeno di digitalizzazione del lavoro, la cyber security, il data protection e i modelli di prevenzione dei reati ex D.lgs. 231/2001 sono – in tale assetto normativo – temi strettamente interconnessi.

Il legislatore, con il D.lgs. 231/2001 ha, infatti, previsto la possibilità per gli enti di esimersi dalla responsabilità o di attenuare le conseguenze derivanti dalla commissione di un reato presupposto adottando un modello organizzativo contenente le linee guida e protocolli volti alla loro prevenzione.

In generale, si qualifica come reato informatico quel fatto previsto e punito da una norma penale che si concretizza attraverso l’utilizzo di un sistema informatico o telematico.

Si distinguono i reati informatici in senso lato e in senso stretto.

I primi sono frutto della reinterpretazione di fattispecie penali preesistenti, nei limiti del divieto di analogica in materia penale. Tra questi rientrano i reati a forma libera consumabili anche attraverso l’impiego di strumenti informatici e/o telematici. Ad esempio, la diffamazione, punita all’art. 595 c.p., è concretizzabile con l’utilizzo di internet o dei social network, nonché rientrante nell’ipotesi aggravata di cui al comma 3, data la potenzialità lesiva dei mezzi impiegati atti a raggiungere una vasta platea di individui. Il reato di associazione a delinquere (art. 416 c.p.) può essere finalizzato alla commissione di reati informatici; così anche per l’estorsione (art. 629 c.p.) realizzata mediante minaccia telematica; l’utilizzo di strumenti informatici e/o telematici per commettere atti persecutori (art. 612-bis c.p.) ovvero sostituzione di persona (art. 494 c.p.).

Sono, invece, reati informatici in senso stretto quelle fattispecie penali espressamente introdotte dal legislatore per colmare il vuoto normativo e garantire la tutela ai nuovi interessi di stampo tecnologico-informatico. In tali condotte, infatti, lo strumento informatico o telematico rappresenta un elemento determinante ai fini della qualificazione del fatto di reato.

Le Normative Italiane sui Reati Informatici

Le prime modifiche ed integrazioni all’impianto codicistico sostanziale e procedurale penale sono intervenute dapprima in tema di criminalità informatica con la L. n. 547/1993, la quale ha introdotto gli artt. 615-ter, quater e quinquies del codice penale in tema di delitti contro l’inviolabilità del domicilio informatico, e gli artt. 617-quater, quinquies e sexies del codice penale in materia di delitti contro l’inviolabilità dei segreti.

In seguito, con L. n. 48/2008 – recante la ratifica ed esecuzione della Convenzione del Consiglio d’Europa sulla criminalità informatica di Budapest (2001) – sono stati inseriti i reati informatici nel novero dei reati presupposto.

Di attuale rilevanza è il reato previsto e punito dall’art. 615-ter c.p. riferito all’accesso abusivo ad un sistema informatico o telematico, il quale disciplina la condotta di chi si introduce abusivamente in un sistema protetto da misure di sicurezza ovvero vi si mantenga contro la volontà del gestore titolare dello ius excludendi. La ratio della norma è quella di tutelare i luoghi di dimora intesi anche come proiezione spaziale-immateriale della persona, quale interesse individuale alla tranquillità, sicurezza e riservatezza dei propri sistemi informatici, sanzionando l’accesso virtuale, ossia l’aggressione al sistema tramite l’accesso a distanza su reti telematiche.

Il D.lgs. 231/2001 ha con ciò recepito nel novero dei reati presupposto, i reati informatici disciplinati nel Codice penale.

All’art. 24-bis D.lgs. 231/2001 sono disciplinati i delitti informatici ed il trattamento illecito di dati. Ove all’ente sia ascrivibile la commissione dei delitti in materia di intercettazioni informatiche (artt. 617-quater e quinquies c.p.) ed in materia di danneggiamento informatico (artt. 615, 635-bis, ter, quater e quinquies c.p.), si applica la sanzione pecuniaria da cento a cinquecento quote.

In relazione alla commissione dei delitti in materia di codici di accesso e diffusione di strumenti atti a danneggiare sistemi informatici di cui agli artt. 615-quater e quinquies c.p. si applica la sanzione pecuniaria sino a trecento quote. La sanzione pecuniaria è di quattrocento quote ove all’ente venga attribuita la commissione dei delitti cha abbiamo ad oggetto documenti informatici (art. 491-bis c.p.) e di frode informatica in servizi di certificazione (art. 640-quinquies c.p.).

Sono altresì annoverati tra i reati informatici le ipotesi riconducibili alle condotte di abuso delle valute virtuali.

In materia si era già espressa l’Unione Europea con la direttiva 2019/713 in relazione alla lotta contro le frodi e le falsificazioni di mezzi di pagamento diversi dai contanti, la quale si pone l’obiettivo di apprestare apposita tutela ai consumatori e alle imprese, garantendo il regolare sviluppo del mercato digitale.

All’interno dell’ordinamento italiano sono infatti previste le seguenti fattispecie di reato aventi ad oggetto l’utilizzazione fraudolenta di strumenti di pagamento diversi dai contanti.

A tutela del patrimonio e alla corretta circolazione del credito è punita – all’art. 493-ter c.p. – la condotta di colui che, al fine di trarre profitto per sé o per altri, indebitamente utilizza carte di credito, di pagamento ovvero qualunque altro strumento di pagamento diverso dai contanti, ovvero falsifica o altera tali strumenti, ovvero possiede, cede o acquisisce tali strumenti o documenti di provenienza illecita o comunque falsificati o alterati.

Allo stesso fine, è punita la detenzione e diffusione di apparecchiature, dispositivi o programmi informatici diretti a commettere reati riguardanti strumenti di pagamento diversi dai contanti. L’art. 493-quater c.p. punisce, infatti, quella condotta adottata da colui che – al fine di farne uso o di consentirne ad altri l’uso nella commissione di reati aventi ad oggetto strumenti di pagamento diversi dai contanti – produce, importa, esporta, vende, trasporta, distribuisce, mette a disposizione o in qualsiasi modo procura a sé o ad altri apparecchiature, dispositivi o programmi informatici adatti alla commissione di tali reati.

Per entrambe le fattispecie, in caso di condanna o di applicazione della pena su richiesta delle parti, è rispettivamente ordinata la confisca delle cose che servirono o furono destinate a commettere il reato, nonché la confisca del profitto o del prodotto del reato, dei beni, delle somme di denaro e altre utilità di cui il reo ha la disponibilità per un valore corrispondente a tale profitto o prodotto.

Di seguito, l’art. 25-octies.1 del D.lgs. 231/2001 disciplina le sanzioni pecuniarie applicabili all’ente al quale sia attribuita la commissione di taluno dei delitti in materia di strumenti di pagamento diversi dai contanti, ossia:

a) da trecento a ottocento quote per il delitto di cui all’art. 493-ter;

b) sino a 500 quote per il delitto dicui all’art. 493-quater e 640-ter c.p., nell’ipotesi aggravata dalla realizzazione di un trasferimento di denaro, di valore monetario o di valuta virtuale.

Salvo che il fatto integri altro grave illecito amministrativo, in relazione alla commissione di ogni altro delitto contro la fede pubblica o il patrimonio, quando ha ad oggetto strumenti di pagamento diversi dai contanti, si applicano all’ente sanzioni pecuniarie più elevate.

Prevenzione dei Reati Informatici nelle Aziende

Da ultimo, con l’adozione di un modello organizzativo idoneo alle prescrizioni di legge, il datore di lavoro dovrà attuare protocolli specifici circa la prevenzione dei reati informatici. Una volta identificati i reati astrattamente configurabili all’interno della propria realtà aziendale e tutte le attività sensibili alla commissione dei reati presupposto connessi all’utilizzo di strumenti informatici e telematici, il datore di lavoro dovrà integrare idonee procedure, misure di sicurezza e sistemi di gestione implementati, nonché identificare e documentare gli asset, i processi di sicurezza delle informazioni ed i livelli di autorizzazione agli accessi dei lavoratori, garantendo al contempo la protezione dei dati personali.

L’azienda dovrà altresì adottare un programma di sensibilizzazione sulla sicurezza delle informazioni e dei dati raccolti nell’esercizio delle mansioni lavorative, al fine di rendere i dipendenti e/o i fornitori consapevoli delle loro responsabilità sulle condotte riconducibili alla commissione di reati informatici. Il datore di lavoro è infine tenuto a programmare ed aggiornare in maniera costante le procedure ed i controlli operativi al fine di garantire la continua idoneità, adeguatezza ed efficacia delle misure adottate per la prevenzione dei reati informatici.

1 Star2 Stars3 Stars4 Stars5 Stars (10 votes, average: 4,90 out of 5)
Loading...

Lascia un commento

Your email address will not be published.