In un momento in cui la crisi economica e finanziaria costringe soprattutto l’amministrazione – senza eccezione di quella dell’Interno –, a risparmiare e ad ottimizzare le risorse, è entrata in vigore la legge 15 febbraio 2012, n. 12, recante misure per il contrasto ai fenomeni di criminalità informatica.
Come emerge dai lavori preparatori, diversamente da quanto verificatosi in passato nella medesima materia, per l’adozione della nuova normativa non risulta essere stata pressante l’esigenza di adeguarsi ad indicazioni e raccomandazioni di provenienza internazionale (si ricordino, ad es., la legge 23 dicembre 1993, n. 547: “Modificazioni ed integrazioni alle norme del codice penale e del codice di procedura penale in tema di criminalità informatica”, a cui diede impulso la Raccomandazione del Consiglio d’Europa, del 13 settembre 1989, “On computer-related crime”; nonché, sempre in materia di criminalità informatica, la legge 18 marzo 2008 n. 48: “Ratifica ed esecuzione della Convenzione del Consiglio d’Europa sulla criminalità informatica, fatta a Budapest il 23 novembre 2001, e norme di adeguamento dell’ordinamento interno”)[1]. Anche se, per vero, non può dirsi che, nel caso di specie, la partita si sia completamente giocata in ambito “nazionale”, dato che nella relazione di accompagnamento al disegno di legge viene dato rilievo all’influenza che avrebbe avuto, nella preparazione del testo, la «dichiarazione congiunta» del settembre 2007, in cui i Ministri della giustizia di Italia, Portogallo, Francia, Spagna, Slovenia e Germania avevano sottolineato l’importanza del «rafforzamento della dimensione tecnologica a livello europeo al fine di aumentare l’efficacia della lotta alla criminalità transnazionale».
Comunque sia, è in un tale quadro che va a collocarsi la legge in questione, il cui ordito, composto di soli tre articoli, fa propria una definizione “moderatamente estensiva” del concetto di “crimine informatico”: non limitata, cioè, a poche – per quanto “caratteristiche” – fattispecie di reato (così, ad esempio, fraud and forgery, child pornography, copyright infringements, e security breaches such as hacking, illegal data interception, and system interferences that compromise network integrity and availability, secondo quanto previsto dalla “Council of Europe Convention” [2]) ma idonea a ricomprendere una serie piuttosto cospicua[3] di “condotte criminose” (secondo quanto stabilito, ad es., dallo “United Nations Manual on the Prevention and Control of Computer Related Crime”). La legge, dunque, prevede:
– all’art. 1) la confisca obbligatoria dei beni informatici o telematici utilizzati per la commissione di reati informatici, con l’introduzione, all’art. 240 del c.p., di un terzo caso di confisca obbligatoria (oltre a quelli “delle cose che costituiscono il prezzo del reato”; e delle cose, “la fabbricazione, l’uso, il porto, la detenzione e l’alienazione delle quali costituisce reato, anche se non è stata pronunciata condanna”). Una rilevante (foriera di sicuri problemi) eccezione alla previsione è costituita, tuttavia, dall’ipotesi in cui la cosa o il bene “o lo strumento informatico o telematico appartiene a persona estranea al reato”. Si noti, per diverso aspetto, l’obbligo di procedere alla confisca anche nel caso (ex art. 444 c.p.p.) di applicazione della pena su richiesta delle parti (patteggiamento);
– all’art. 2) l’affidamento in custodia giudiziale con facoltà d’uso, salvo che vi ostino esigenze processuali, agli organi di polizia che ne facciano richiesta per l’impiego in attività di contrasto ai crimini informatici, o ad altri organi dello Stato per finalità di giustizia, dei beni informatici o telematici oggetto di sequestro che, “a seguito di analisi tecnica forense”, risultino essere stati in tutto o in parte utilizzati per la commissione di reati informatici (risultandone, pertanto, modificato l’art. 86-bis alle norme di attuazione del codice di procedura penale, contenute nel d.lgs. n. 271 del 1989). Il legislatore ha, inoltre, previsto che tali beni e strumenti “ove acquisiti dallo Stato a seguito di procedimento definitivo di confisca” siano “assegnati alle amministrazioni che ne facciano richiesta e che ne abbiano avuto l’uso” ovvero, “ove non vi sia stato un precedente affidamento in custodia giudiziale”, agli organi della polizia di Stato “che ne facciano richiesta per l’impiego in attività di contrasto ai crimini informatici ovvero ad altri organi dello Stato per finalità di giustizia”;
– all’art. 3) la destinazione, più specificamente, agli organi di polizia giudiziaria (i quali svolgono, notoriamente, le proprie funzioni alla dipendenza e sotto la direzione dell’autorità giudiziaria, specie per quanto attiene all’esercizio dell’azione penale, e, più in generale, alla realizzazione della pretesa punitiva dello Stato: v., al proposito, gli artt. 55-59 del c.p.p.), che ne abbiano avuto l’uso, dei beni informatici o telematici confiscati (in quanto utilizzati per la commissione dei delitti di cui al libro II, titolo XII, capo III, sezione I, del c.p.: “Dei delitti contro la personalità individuale”).
Tenuto, dunque, conto di quanto appena delineato, si può osservare, come siano due le “previsioni-chiave” della normativa in questione, ovverosia:
1) il sequestro dei beni informatici o telematici che risultino essere stati in tutto o in parte utilizzati per la commissione di reati informatici, a cui può far seguito il loro affidamento in custodia giudiziale con facoltà d’uso agli organi di polizia o ad altri organi dello Stato; e
2) l’eventuale confisca dei medesimi beni, a cui segue la loro definitiva assegnazione alle amministrazioni o, a seconda dei casi, agli organi di polizia, ovvero agli organi di polizia giudiziaria, ovvero ancora ad altri organi dello Stato.
In entrambi i casi, la realizzazione di determinati crimini informatici o telematici, oltre ad essere sanzionata, riuscirebbe profittevole all’ulteriore persecuzione di simili reati in quanto ne potrebbe derivare un rafforzamento della capacità investigativa della polizia giudiziaria, dato che, come si legge nella dianzi citata relazione di accompagnamento, «Oggi assistiamo nella realtà italiana ad un forte squilibrio tecnologico tra le dotazioni informatiche messe a disposizione delle Forze di polizia e quelle comunemente utilizzate dalla criminalità». Ed una tale situazione risulterebbe essersi aggravata a seguito della menzionata Convenzione del Consiglio d’Europa sulla criminalità informatica, dal momento che, alle aumentate competenze delle procure informatiche distrettuali (v., al proposito, l’art. 11 della menzionata legge n. 48 del 2008[4]), «non sono finora seguite – come ci si sarebbe ragionevolmente aspettato – azioni legislative volte ad elevare il livello di conoscenza tecnica e il livello di dotazioni informatiche a disposizione delle Forze di polizia giudiziaria». Anzi, in alcuni casi, a quanto si apprende, «in assenza di adeguate dotazioni d’ufficio, poliziotti, carabinieri e finanzieri mandano avanti le indagini anche grazie a qualche computer comprato di tasca propria (sul quale, peraltro, non possono [essere utilizzati]i programmi dell’ufficio perché il loro caricamento non è autorizzato su computer non dell’amministrazione)» (!). Anche di qui, dunque, la scelta di «prevedere per legge una destinazione dei suddetti beni a soggetti istituzionalmente interessati al loro riutilizzo per finalità meritevoli di tutela» (sulla falsariga, ad esempio, della legislazione in materia di beni sequestrati nell’ambito di attività di contrasto alla pedopornografia, ex art. 9 della legge 16 marzo 2006, n. 146).
Di fronte a tanto apprezzabile intento del legislatore, resta, peraltro, da chiedersi se sia stata compiutamente valutata l’efficacia degli interventi in questione, attuati su beni ad alta decadenza tecnologica e comunque necessitanti di continua manutenzione, di fornitura di programmi adeguati e di upgrade sia dell’hardware, sia del software, talché la disponibilità della strumentazione di base costituisce per solito solo una parte del complessivo investimento economico. E, più in generale, se l’intervento normativo sia di per sé (in mancanza, dunque, di altre meno occasionali strategie “di attacco” ai fenomeni di criminalità informatica) in grado di corrispondere agli auspici del legislatore, con l’incidere «in maniera positiva» sul vigente assetto normativo in materia di contrasto alla criminalità informatica, al fine «di colmare quel divario tecnologico da più parti denunciato» e «di restituire incisività all’azione investigativa ed efficacia alla tutela dei diritti delle persone offese».
[1] Com’è noto, in tal senso sono state modificate/aggiunte numerose fattispecie di reato previste dal codice penale: così, l’art. 392 c.p., l’art. 491-bis, l’art. 495-bis, l’art. 615-ter; l’art. 615-quater; l’art. 615-quinquies; l’art. 616; l’art. 617-quater, l’art. 617-quinquies, l’art. 617-sexies; e, ancora, gli artt. 635-bis e 635-ter e gli artt. 635-quater e 635-quinquies; nonché gli artt. 640-ter e 640-quinquies. Ad esse si sono quindi aggiunte ulteriori fattispecie previste dalla legislazione speciale, come, ad esempio, quelle contenute nella legislazione in materia di dati personali (d. lgs. n. 196 del 2003) ed in materia di diritto d’autore (v. le più recenti modifiche alla legge 22 aprile 1941, n. 633). Ancora, la legislazione ha riguardato anche la procedura penale (v. il comma 1-quinquies dell’art. 51; gli artt. 244, 247, 248, 254, 254-bis, 259, 266-bis, 268 e 352).
[2] Reperibile, tra l’altro, in http://fpc.state.gov/documents/organization/74909.pdf.
[3] Ovverossia:
– accesso abusivo ad un sistema informatico o telematico (art. 615-ter);
– detenzione e diffusione abusiva di codici di accesso ai sistemi informatici o telematici (art. 615-quater);
– diffusione di apparecchiature, dispositivi o programmi informatici diretti a danneggiare o interrompere un sistema informatico o telematico (art. 615-quinquies);
– installazione di apparecchiature atte ad intercettare od impedire comunicazioni o conversazioni telegrafiche o telefoniche (art. 617-bis);
– falsificazione, alterazione o soppressione del contenuto di comunicazioni o conversazioni telegrafiche o telefoniche (art. 617-ter);
– intercettazione, impedimento o interruzione illecita di comunicazioni informatiche o telematiche (art. 617-quater);
– installazione di apparecchiature atte ad intercettare, impedire o interrompere comunicazioni informatiche o telematiche (art. 617-quinquies);
– falsificazione, alterazione o soppressione del contenuto di comunicazioni informatiche o telematiche (art. 617-sexies);
– danneggiamento di informazioni, dati e programmi informatici (art. 635-bis);
– danneggiamento di informazioni, dati e programmi informatici utilizzati dallo Stato o da altro ente pubblico o comunque di pubblica utilità (art. 635-ter c.p.);
– danneggiamento di sistemi informatici e telematici, anche di pubblica utilità (artt. 635-quater e 635-quinquies);
– truffa (art. 640);
– frode informatica (art. 640-ter c.p.);
– frode informatica del soggetto che presta servizi di certificazione di firma elettronica (art. 640-quinquies c.p.).
[4] L’art. 11 della legge n. 48 del 2008 ha modificato l’art. 51 del c.p.p. aggiungendo, in fine, il seguente comma: “3-quinquies. Quando si tratta di procedimenti per i delitti, consumati o tentati, di cui agli articoli 600-bis, 600-ter, 600-quater, 600-quater, 600-quinquies, 615-ter, 615-quater, 615-quinquies, 617-bis, 617-ter, 617-quater, 617-quinquies, 617-sexies, 635-bis, 635-ter, 635-quater, 640-ter e 640-quinquies del codice penale, le funzioni indicate nel comma 1, lettera a), del presente articolo sono attribuite all’ufficio del pubblico ministero presso il tribunale del capoluogo del distretto nel cui ambito ha sede il giudice competente”.
