Indice
Quadro normativo
L’aumento esponenziale dei crimini informatici è lo specchio dello sviluppo tecnologico che ha consentito a figure tradizionali come quelle del ladro e del truffatore di evolversi in chiave cibernetica; l’ideale politico o ideologico che pareva ispirare i primi hackers si è, infatti, perso ormai da tempo essendo piuttosto il profitto illecito il fine perseguito dai moderni malviventi del web.
L’esigenza di rispondere ad una crescente domanda di certezza e protezione dei sistemi informatici e telematici il cui uso ha “pervaso le principali attività che vengono svolte nella società moderna” (cfr. disegno di legge 1993) si è dapprima tradotta nell’emanazione della legge n. 547 del 23.12.1993 ed attraverso di essa nell’adozione di nuove norme codicistiche; la scelta legislativa di ricondurre i nuovi reati a tipologie di figure delittuose già esistenti è nata proprio dalla considerazione dei crimini informatici quale specializzazione di condotte già in precedenza sanzionate: sono stati, così, introdotti tra i delitti contro l’inviolabilità del domicilio gli artt. 615 ter, quater e quinquies c.p., tra i delitti contro il patrimonio mediante frode gli artt. 640 ter e quinquies c.p., ed è stato inserito l’art. 491 bis c.p. che estende ai documenti informatici pubblici aventi efficacia probatoria le disposizioni dettate in tema di falsificazione di atti pubblici.
Occorrerà attendere quasi quindici anni per un nuovo intervento normativo: nel 2008 la consapevolezza del ricorso sempre maggiore alle tecnologie informatiche da parte della criminalità organizzata convincerà il legislatore italiano a ratificare con la legge n. 48 del 18 marzo la Convenzione del Consiglio d’Europa sulla criminalità informatica, aperta alla firma a Budapest il 23.11.2001 ed entrata in vigore l’1.7.2004; la nuova legge, oltre ad apportare alcune modifiche alle norme introdotte nel 1993, ha aggiunto ai delitti contro il patrimonio mediante violenza già contemplati nel codice penale le condotte e le sanzioni descritte negli artt. 635 bis, ter, quater e quinquies c.p.
La necessità di combattere in modo più efficace i crimini informatici, considerato anche il ruolo fondamentale svolto dal ricorso all’informatica ed alle reti telematiche nella crescita delle aziende e, conseguentemente, nello sviluppo economico del Paese, ha, inoltre, indotto il legislatore ad incentrare le funzioni investigative nell’ufficio distrettuale del pubblico ministero (art. 51, comma 3 quinquies c.p.p. introdotto dall’art. 11 Legge 48/2008).
Si tratta di una lotta che non ammette cedimenti, se, come evidenziato da Accenture, il livello di sicurezza della rete è già inferiore rispetto al livello di sofisticazione raggiunto dalla criminalità informatica e la stima del possibile danno che entro cinque anni le aziende di tutto il mondo potrebbero subire si attesta sui 5.200 miliardi di dollari.
L’Italia, in particolare, si rivela essere una vittima eccellente, addirittura al 4° posto nel mondo per attacchi malware, come evidenziato da Gianni Dragoni nell’articolo pubblicato il 24.9.2019 su “Il sole 24 ore” dal titolo “I crimini informatici costeranno 1000 miliardi di dollari entro il 2021”.
Già l’anno precedente Alessandro Profumo, amministratore delegato di Leonardo, gruppo nazionale attivo nei settori dell’aerospazio, della sicurezza e della difesa, aveva rilevato un aumento dei cyber attacchi di dieci volte negli ultimi due anni rispetto all’anno precedente ed un aumento nel 2018 del 57% dei reati di cyber spionaggio, incluso il furto di proprietà intellettuale.
Cyber Crimes ai danni delle aziende
I cyber crime ai danni di aziende sono per lo più quelli caratterizzati da attacchi a infrastrutture digitali tramite computer viruses, denial of service attacks, malware, diffusi con l’obiettivo di danneggiare un sistema informatico, quasi sempre con scopo di lucro.
I malware che più spesso colpiscono le aziende sono i cryptojacking, che rubano potenze di calcolo per minare nuove monete, i virtual spyware, software utilizzati per raccogliere informazioni dal sistema su cui sono installati e per trasmetterle ad un destinatario interessato, i roothit, di solito utilizzati per mascherare i spyware, i backdoor, che, generalmente diffusi in abbinamento con trojan o worms, consentono un accesso non autorizzato al sistema su cui sono in esecuzione ed i keylogger, che registrano quanto viene digitato su di una tastiera o copia/incollato.
Le condotte delittuose che più frequentemente si configurano ai danni delle aziende sono quelle contemplate dagli articoli 615 ter, quater e quinquies c.p., consistenti rispettivamente nell’accesso abusivo ad un sistema informatico o telematico, nella detenzione o diffusione abusiva di codici di accesso a detti sistemi e nella diffusione di apparecchiature, dispositivi o programmi informatici, intendendosi per tali tutti quelli rientranti nella categoria del malware, diretti a danneggiare o interrompere i sistemi suddetti.
A queste si aggiungono quella contemplata dall’art. 617 bis, che punisce l’installazione di apparecchiature atte ad intercettare od impedire comunicazioni o conversazioni telegrafiche o telefoniche tra altre persone, la tecnica nota con il nome di “sniffing”, finalizzata a carpire i dati e le informazioni che attraversano una rete telematica (art. 617 quater c.p.), nonché l’installazione di apparecchiature atte ad intercettare, impedire o interrompere comunicazioni relative ad un sistema informatico o telematico ovvero intercorrenti tra più sistemi (art. 617 quinquies c.p.).
Un altro delitto che frequentemente ricorre ai danni delle aziende è quello di frode informatica di cui all’art. 640 ter c.p. che consiste nell’alterazione, in un qualsiasi modo, del funzionamento di un sistema informatico o telematico, seguito dall’intervento abusivo con qualsiasi modalità su dati, informazioni o programmi contenuti in un sistema informatico o telematico ad esso pertinenti.
La Corte Suprema (cfr. Cass. Pen. Sez. II Penale sentenza n. 26604/2019 del 29.5.2019) ha fornito una chiave di lettura della norma, specificando che per alterazione deve intendersi ogni attività o omissione che, attraverso la manipolazione dei dati informatici, incida sul regolare svolgimento del processo di elaborazione e/o trasmissione dei suddetti dati e, quindi, sia sull’hardware che sul software; che per sistema informatico o telematico deve intendersi un complesso di apparecchiature destinate a compiere una qualsiasi funzione utile all’uomo, attraverso l’utilizzazione (anche parziale) di tecnologie informatiche, che sono caratterizzate – per mezzo di un’attività di codificazione e decodificazione – dalla registrazione o memorizzazione, per mezzo di impulsi elettronici, su supporti adeguati, di dati, ossia di rappresentazioni elementari di un fatto, effettuata attraverso simboli (bit), in combinazione diverse, e dall’elaborazione automatica di tali dati, in modo da generare informazioni, costituite da un insieme più o meno vasto di dati organizzati secondo una logica che consenta loro di esprimere un particolare significato per l’utente.
Questo delitto può concorrere con quello di cui all’art. 615 ter c.p., essendo diversi i beni giuridici tutelati e le condotte sanzionate, in quanto l’art. 615 ter c.p. tutela il domicilio informatico sotto il profilo dello “ius excludendi alios”, anche in relazione alle modalità che regolano l’accesso dei soggetti eventualmente abilitati, mentre l’art. 640 ter c.p. contempla l’alterazione dei dati immagazzinati nel sistema al fine della percezione di un ingiusto profitto (cfr. Cass. Pen. Sez. II, sentenza n. 26604 del 29.5.2019).
Il reato di cui all’art. 615 ter c.p. può concorrere anche con quello di violazione della corrispondenza previsto dall’art. 616 c.p., se il soggetto agente acquisisce il contenuto di corrispondenza e con quello di danneggiamento di dati informatici contemplato dall’art. 635 ter c.p., se l’abusiva modificazione delle credenziali di accesso comporta l’inutilizzabilità della casella di posta da parte del titolare (cfr. Cass. Pen. Sez. V, sentenza n. 18284 del 25.3.2019)
Cyber Crimes ai danni delle società sportive
Neppure il settore sportivo, in particolare quello del calcio, è rimasto indenne agli attacchi informatici: ne sono rimasti vittima gli account del Barcellona, presi di mira da un gruppo che si definisce “OurMine”, che, attraverso l’annuncio del ritorno di Neymar, ha voluto denunciare il basso livello di sicurezza del gruppo e la Lazio, bersaglio nel 2016 di un hacker che è riuscito ad appropriarsi di una somma considerevole, quantificata in circa due milioni di euro, corrispondente all’ultima tranche per l’acquisto del difensore Stefan de Vrij dal Feyenoord.
Il ransomware
Più raro ma non meno dannoso è il cosiddetto “ransomware”, un attacco informatico che può essere effettuato attraverso banner pubblicitari, e-mail di phishing, software da scaricare che contengono malware e siti compromessi, che consiste nell’impedire l’accesso, criptandoli, a dati personali o sistemi informatici e che viene accompagnato da una richiesta di riscatto.
Una ricerca condotta da “Il sole 24 ore” all’inizio del 2018, relativa ai costi medi per un’azienda manifatturiera con 120 milioni di euro di ricavi annui, ha calcolato in 20 milioni di euro l’esborso cui la società deve far fronte in caso di attacco ransomware o con altro virus che riesca a bloccare l’attività informatica.
La compagnia petrolifera di Stato messicana “Pemex” l’11.11.2019 rimase vittima di un attacco ransomware che mise fuori uso i server della società; le venne richiesto un riscatto che non venne pagato ma per ripulire i sistemi vennero spesi 70 milioni di dollari.
Analoga sorte toccò all’azienda bolognese Bonfiglioli Riduttori, specializzata nella componentistica meccanica di precisione, che nel giugno scorso subì un attacco con un “cryptolocker” che ha criptato alcuni file chiave per l’azienda alla quale è saltato chiesto un riscatto di 350 Bitcoin, corrispondenti a 2,4 milioni di euro: anche in questo caso l’azienda non cedette al ricatto rivolgendosi alla Polizia Postale che ha messo in atto immediate operazioni di bonifica.
Tra i delitti configurabili, oltre a quelli informatici già indicati, può ravvisarsi quello di estorsione.
Quando il soggetto agente è il dipendente
A chiusura di questo breve intervento non può non menzionarsi tra le figure di criminali informatici quella del dipendente dell’azienda che acceda abusivamente al sistema informatico, rendendosi così responsabile del già menzionato reato di cui all’art. 615 ter c.p.
Il delitto in esame si configura, infatti, non solo quando difetta l’abilitazione all’accesso, ma anche quando vengono violate le prescrizioni dettate dal titolare dal sistema per delimitarlo oppure quando si accede o si rimane nel sistema per ragioni ontologicamente estranee a quelle per le quali l’accesso è consentito (Cass. Pen. Sez. U, sentenza n. 41210 del 18/05/2017); ad essere punita è la condotta di chi, pur essendo abilitato, accede o permane in un sistema informatico o telematico protetto violando le condizioni o i limiti risultanti dal complesso delle prescrizioni impartite dal titolare del sistema o dalla prassi aziendale per delimitarne oggettivamente l’impiego, rilevando dunque l’estraneità dell’utilizzo alla ratio del conferimento del relativo potere.
E’, ad esempio, il caso oggetto della sentenza n. 48895/2018 con la quale la Corte di Cassazione ha confermato la condanna di un dipendente che all’atto delle dimissioni aveva copiato su supporti informatici dati ingegneristici e di progettazione che aveva poi cancellato dal database aziendale.
In una recentissima pronuncia, depositata il 13 aprile scorso (Cfr. Cass. pen. Sez. II, sentenza n. 11959), la Suprema Corte, innovando rispetto al contrario orientamento maggioritario, ha ravvisato nella dianzi descritta condotta anche il reato di appropriazione indebita di cui all’art. 646 c.p. sul presupposto che i dati informatici, contenenti file, siano qualificabili come “cose mobili”. Secondo la Cassazione “il file, pur non potendo essere materialmente percepito dal punto di vista sensoriale, possiede una dimensione fisica costituita dalla grandezza dei dati che lo compongono , come dimostrano l’esistenza di unità di misurazione della capacità di un file di contenere dati e la differente grandezza dei supporti fisici in cui i file possono essere conservati e elaborati”.