Nella GU del 4 aprile 2008 è stata pubblicata la legge n. 48 del 18 marzo 2008, di “Ratifica ed esecuzione della Convenzione del Consiglio d’Europa sulla criminalità informatica”, fatta a Budapest il 23 novembre 2001. In questo modo si conclude un percorso cominciato nel 1993, quando, seguendo le indicazioni della raccomandazione del Consiglio d’Europa, n. R(89)9, con la legge 23 dicembre 1993 n. 547, erano stati inseriti nel codice penale, nuovi reati per arginare l’emergente fenomeno della criminalità informatica. La stessa legge prevedeva, inoltre, modifiche nell’ambito della procedura penale, tali da offrire agli organi inquirenti validi strumenti in sede di accertamento del reato.
La Convention on Cybercrime, è ispirata alla convinzione che, tenendo conto della dimensione transnazionale dei crimini informatici, questi possano essere contrastati efficacemente solo attraverso un’armonizzazione delle legislazioni.
Con la legge di ratifica, attraverso la modifica di numerosi articoli del codice penale, codice di procedura penale e codice in materia di protezione dei dati personali, sono state introdotte norme penali idonee a sanzionare determinate condotte, disposizioni processuali capaci di rendere effettivamente punibili i reati previsti, previsioni normative che contemplano finalmente una responsabilità delle aziende per reati informatici commessi al loro interno.
Per quanto riguarda il diritto sostanziale, l’art. 615-bis (Diffusione di apparecchiature, dispositivi o programmi informatici diretti a danneggiare o interrompere un sistema informatico o telematico) è volto a punire “chiunque, al fine di procurare a sé o ad altri un profitto o di arrecare ad altri un danno, si procura, riproduce, importa, diffonde, comunica, consegna o, comunque, mette a disposizione di altre apparecchiature, dispositivi o programmi informatici aventi per scopo o per effetto il danneggiamento di un sistema informatico o telematico, delle informazioni, dei dati o dei programmi in esso contenuti o ad esso pertinenti, ovvero l’interruzione, totale o parziale, o l’alterazione del suo funzionamento”. Nello specifico le ipotesi di danneggiamento informatico sono:
– il danneggiamento di informazioni, dati e programmi informatici (art.635 bis);
– il danneggiamento di informazioni, dati e programmi informatici utilizzati dallo Stato o da altro ente pubblico o comunque di pubblica utilità (635 ter);
– il danneggiamento di sistemi informatici e telematici (635 quater).
Le novità più rilevanti riguardano la disciplina penale del documento informatico e della firma digitale. Prima di tutto va segnalata la sostituzione della definizione di documento informatico introdotta dalla legge 547 del 93 (“supporto informatico contenente dati o informazioni aventi efficacia probatoria”) con la definizione contenuta nel regolamento di cui al DPR del 10 novembre 1997, n. 513 e ripresa dal Codice dell’amministrazione digitale: “La rappresentazione informatica di atti, fatti o dati giuridicamente rilevanti”. Sono poi stati introdotti i reati di falsa dichiarazione o attestazione al certificatore sull’identità o su qualità personali proprie o di altri (art.495 bis) e di truffa del certificatore di firma elettronica (art.640 quinquies).
In ambito processuale la legge chiarisce ciò che gli organi inquirenti possono fare nella fase dell’accertamento del reato. L’autorità giudiziaria può disporre, in sede di ispezione, rilievi e altre operazioni tecniche sui sistemi, perquisire gli stessi anche se protetti da misure di sicurezza, esaminare presso le banche anche i dati, le informazioni ed i programmi informatici.
E’ contemplata altresì una disciplina sulle modalità di acquisizione dei dati oggetto di sequestro presso i fornitori di servizi informatici e telematici o di telecomunicazioni, nonché un provvedimento che permetta il congelamento temporaneo ed urgente dei dati personali. Viene prevista, infine, la concentrazione della competenza per i reati informatici presso gli uffici di procura distrettuali al fine di facilitare il coordinamento delle indagini e la formazione di gruppi di lavoro specializzati in materia.
Nel codice di procedura penale, viene introdotta la possibilità di costituire veri e propri pool di magistrati con competenze specifiche.
Infine, la legge istituisce un fondo per finanziare il Centro nazionale per il contrasto della pedopornografia su Internet e per finanziare l’organo del Ministero dell’interno per la sicurezza e per la regolarità dei servizi di telecomunicazione per le esigenze relative alla protezione informatica delle infrastrutture critiche informatizzate di interesse nazionale. Il fondo avrà una dotazione di 2 milioni di euro annui a decorrere dall’anno 2008.
Le difficoltà che permangono riguardano principalmente l’interpretazione delle norme penali informatiche, ancora condizionate dal diverso modo di leggere il significato dei termini e dal diverso modo di interpretare le tecnologie e il contesto ove la norma trova applicazione. Questo perché le norme penali informatiche utilizzano termini sino a poco tempo fa non presenti nell’ordinamento penale.
Fabiana Cammarano