Riservatezza informatica

Diritto on line (2017)

Roberto Flor

Abstract

La vulnerabilità informatica della società moderna è dovuta a fenomeni criminosi caratterizzati da nuove modalità di offesa, che sfruttano le esponenziali potenzialità delle nuove tecnologie e di internet. Al contempo si avvertono crescenti esigenze di tutela di nuovi interessi giuridici – quali la riservatezza e la sicurezza informatiche, la libertà e confidenzialità delle comunicazioni informatiche e la nuova dimensione della privacy in rete – “originati” dallo stesso sviluppo tecnologico e dallo svolgersi dei rapporti personali, economici, sociali e giuridici, nello “spazio informatico” globale. Il lavoro è incentrato sull’analisi di tali nuove esigenze di tutela penale, anche alla luce delle recenti e delicate problematiche legate all’uso di strumenti di indagine ad “alto contenuto tecnologico”.

Premessa

La vulnerabilità tecnologica della società moderna, connotata dall’inarrestabile evoluzione-rivoluzione informatica e telematica – non solo nei rapporti personali, ma anche in quelli economici, politici, sociali e di rilievo giuridico in genere – è in gran parte dovuta a fenomeni criminosi caratterizzati da nuove modalità di offesa, che sfruttano proprio le potenzialità offerte dalle Information and Communication Technologies (ICTs).

Il cyberspace viene oggi descritto come un “wild west” della globalizzazione del crimine. Le espressioni metaforiche che lo caratterizzano evocano il superamento della concezione meramente «tecnica» di internet – ossia quale o, meglio, quali reti o spazi globali di interconnessione di computers – per abbracciare una dimensione sociologica, basata sulla loro forza riconfigurativa della società e delle esperienze personali degli utenti, influenzate in modo determinante dai nuovi modi di comunicazione e da relazioni dinamiche, transnazionali ed interattive (Sandywell, B., On the globalisation of crime: the Internet and new criminality, in Jewkes, Y., Yar, M. (ed.), Handbook of Internet Crime, London-New York, 2010, 38 ss.; Flor, R., Nuove tecnologie e giustizia penale in Europa tra esigenze di accertamento e prevenzione dei reati e quelle di tutela della riservatezza: il ruolo “propulsore” della Corte di Giustizia, in Studi in onore di Maurizio Pedrazza Gorlero, Napoli, 2014, 247 ss.).

L’attuale assetto sociale è reso maggiormente complesso dalle articolate esigenze di tutela penale di interessi meritevoli di una più specifica protezione, nonché dalla nascita di nuovi beni giuridici – quali la riservatezza informatica, la libertà e la confidenzialità delle comunicazioni informatiche, la nuova dimensione della privacy in rete e la sicurezza informatica (v. infra, par. 2 e 3) – “originati” dallo stesso sviluppo tecnologico e dallo svolgersi dei rapporti personali e giuridici nello “spazio informatico” globale (Picotti, L., Sistematica dei reati informatici, tecniche di formulazione legislativa e beni giuridici tutelati, in Picotti, L., a cura di, Il diritto penale dell’informatica nell’epoca di Internet, Padova 2004, 21 ss.).

L’innovazione-rivoluzione informatica offre però anche nuovi strumenti e mezzi a «contenuto tecnologico» per la ricerca delle prove e, più in generale, per la prevenzione e l’accertamento dei reati, che invadono sensibilmente la sfera della riservatezza della persona (Flor, R., Investigazioni ad alto contenuto tecnologico e tutela dei diritti fondamentali della persona nella recente giurisprudenza del Bundesverfassungsgericht: la decisione del 27 febbraio 2008 sulla Online Durchsuchung e la sua portata alla luce della sentenza del 2 marzo 2010 sul data retention, in Ciberspazio e dir., 2, 2010, 359 ss.). La questione risulta essere assai complessa sia sul piano sociale, perché riguarda i profili distopici che talvolta si vogliono attribuire a internet, proprio quale “wild west” della globalizzazione del crimine portato a estremi apocalittici, sia per tutto il sistema di giustizia penale, in quanto coinvolge le delicate problematiche relative al necessario bilanciamento fra le esigenze di prevenzione e di accertamento dei reati e quelle di tutela dei diritti fondamentali.

La tutela penale della riservatezza informatica

Il dibattito sulla nascita di un nuovo bene giuridico individuabile nella riservatezza informatica è nato, in Italia, all’indomani della l. 23.12.1993, n. 547 – di attuazione della Raccomandazione R(89)9 del 13 settembre 1989 del Comitato dei Ministri del Consiglio d’Europa sulla criminalità informatica – che ha introdotto nel codice penale nuove fattispecie incriminatrici. Si tratta del primo intervento sistematico in subiecta materia. Il legislatore, infatti, ha inserito le nuove disposizioni incriminatrici, da inquadrare nella categoria dei cd. reati informatici propri, ricalcando struttura e contenuto di quelle vigenti seguendo il parametro guida del bene giuridico protetto (Picotti, L., Sistematica, cit., 21 ss.; Picotti, L., voce Reati informatici, in Enc. giur. Treccani, Aggiornamento, VIII, Roma, 2000, 1 ss; Pica, G., voce Reati informatici e telematici, in Dig. pen., Aggiornamento, IV, Torino, 2000, 521 ss.; Pecorella, C., Diritto penale dell’informatica, Padova, 2006, I). Infatti gli artt. 615 terAccesso abusivo a sistemi informatici o telematici») e l’art. 615 quaterDetenzione e diffusione abusiva di codici di accesso a sistemi informatici o telematici») c.p. sono stati collocati fra i delitti contro l’inviolabilità del domicilio, dopo gli artt. 614, 615 e 615 bis c.p. Anche gli artt. 617 quaterIntercettazione, impedimento o interruzione illecita di comunicazioni informatiche o telematiche»), 617 quinquiesInstallazione di apparecchiature atte a intercettare, impedire o interrompere comunicazioni informatiche o telematiche») e 617 sexiesFalsificazione, alterazione o soppressione del contenuto di comunicazioni informatiche o telematiche») c.p., che riguardano le comunicazioni «fra sistemi informatici», seguono i precedenti artt. 617, 617 bis e 617 ter c.p. i quali, già introdotti nel codice dalla l. 8.4.1974, n. 98, hanno ad oggetto la tutela della riservatezza e della libertà e segretezza delle comunicazioni «fra persone».

La fattispecie fulcro del sistema di tutela penale della riservatezza informatica è quella di cui all’art. 615 ter c.p. Proprio i problemi applicativi ed interpretativi che l’hanno caratterizzata hanno aperto il dibattito sulla natura del bene giuridico protetto, la cui fondamentale importanza è riconosciuta dalla Decisione quadro dell’Unione europea 2005/222/GAI contro gli attacchi ai sistemi d’informazione (in specie artt. 2, 3 e 4), oggi sostituita dalla Direttiva europea 2013/40/UE (artt. 3, 6 e 7) in conformità alle “priorità” già fissate, nella gerarchia delle esigenze di armonizzazione, dalla cd. Convenzione Cybercrime del Consiglio d’Europa del 2001 (Convenzione di Budapest sulla criminalità informatica: artt. 2, 3 e 6).

Dall’entrata in vigore dell’art. 615 ter c.p. si sono susseguite diverse tesi riguardanti il suo oggetto giuridico. È stato sostenuto che la fattispecie tutelasse la privacy, intesa non più solo nel significato riduttivo di «the right to be let alone» (Warren, S.D., e Brandeis, L.D., The Right to Privacy, in Harvard L. Rev., 4, 5, 1890, 193 ss.), il domicilio informatico, ovvero configurasse un reato plurioffensivo, a tutela anche dell’integrità del sistema, dei programmi, dei dati e delle informazioni (Mantovani, M., Brevi note a proposito della nuova legge sulla criminalità informatica, in Crit. dir., 1994, 17 ss.; Galdieri, P., Teoria e pratica nell'interpretazione del reato informatico, Milano, 1997; Nunziata, M., La prima applicazione giurisprudenziale del delitto di «accesso abusivo ad un sistema informatico» ex articolo 615 ter c.p., in Giur. mer., 1998, 711 ss.; Mucciarelli, F., in Legisl. pen., 1996, 99 ss. Il riferimento al «domicilio informatico» si rinviene ancora nella giurisprudenza di legittimità più recente: Cass. pen., S.U., 7.2.2012, n. 4694, con articolato commento di Flor, R., Verso una rivalutazione dell'art. 615 ter c.p.? Il reato di accesso abusivo a sistemi informatici o telematici fra la tutela di tradizionali e di nuovi diritti fondamentali nell'era di Internet, in Dir. pen. cont., fasc. 2, 2012, 126 ss.; Cass. pen., S.U., 24.4.2015, n. 17325, con commento di Flor, R., I limiti del principio di territorialità nel cyberspace. Rilievi critici alla luce del recente orientamento delle Sezioni Unite, in Dir. pen. e processo, 2015, 1296 ss., cui si rinvia per ulteriori riferimenti bibliografici e giurisprudenziali). Il nostro legislatore, con la l. 18.3.2008, n. 48, di ratifica della citata Convenzione Cybercrime, non ha ritenuto necessario modificare la formulazione originaria dell’art. 615 ter c.p., confermando pertanto le scelte di politica criminale degli anni ’90. L’individuazione dell’oggetto giuridico tutelato deve, dunque, avvenire attraverso l’interpretazione sistematica e teleologica di questa fattispecie da porre in relazione proprio ai reati di cui agli artt. 615 quater, 617 quater, 617 quinquies e 617 sexies c.p., anch’essi immodificati dalla l. n. 48/2008. Una parte della dottrina ha ritenuto che il “nuovo” bene giuridico protetto dovesse essere considerato diverso rispetto all’“area della privacy” e del “domicilio tradizionale”, pur se legato all’espansione ideale della riservatezza di pertinenza del titolare dello ius excludendi alios (Picotti, L., Sistematica, cit., 21 ss). Viene in rilievo il diritto ad una sfera esclusiva di riservatezza informatica quale nuovo bene giuridico della persona, nascente dallo svolgersi di relazioni e attività di ogni tipo nel Cyberspace. Si tratta di un ambito da tenere ben distinto da quello del segreto e dell’inviolabilità della corrispondenza e del domicilio, con cui peraltro confina e sembra talora confondersi. Il legislatore del 1993, infatti, seguendo il criterio dell’analogia sopra segnalato ha tentato di legare il nuovo delitto di accesso abusivo ad un sistema informatico al modello tradizionale della violazione di domicilio (art. 614 c.p.), richiamando – quale condivisibile fondamento costituzionale della tutela penale – l’art. 14 Cost. In tal senso il sistema informatico costituisce una «espansione ideale dell’area di rispetto pertinente al soggetto interessato, garantita dall’art. 14 Cost. e penalmente tutelata nei suoi aspetti più essenziali e tradizionali dagli art. 614 e 615 c.p.» (relazione al d.d.l. n. 2773 presentato al Senato il 26 marzo 1993 e trasferito alla Camera l’11 giugno 1993. In giurisprudenza Cass. pen., VI sez., 4.10.1999, n. 3067, in Cass. pen., 2000, 2990 con note di Aterno, S., Sull’accesso abusivo a un sistema informatico o telematico, ivi, 2994 ss. e Cuomo, L., La tutela penale del domicilio informatico, ivi, 2998 ss.) Pur valorizzando il significato intrinseco del predetto richiamo, occorre superare il condizionamento di una concezione strettamente analogica dei beni giuridici da proteggere rispetto a quelli tradizionali, riconoscendo la peculiare novità ed autonomia di quelli oggetto della tutela in esame. Si tratta, infatti, di una sfera speciale di protezione, che ha ad oggetto l’interesse all’esclusività dell’accesso ad uno o più spazi informatici, a prescindere dalla natura dei dati e delle informazioni ivi archiviati, nonché alla loro disponibilità rispetto ad illegittime interferenze da parte di terzi soggetti (Flor, R., Verso una rivalutazione, cit., 126 ss., cui si rinvia per gli ulteriori riferimenti bibliografici e giurisprudenziali). Di recente è stata prospettata una «teoria assiomatica» anziché «concentrica» delle aree di tutela della riservatezza, che va oltre l’originaria contrapposizione fra la sfera individuale e quella privata, intese quali «componenti del generale diritto della personalità». La ricerca di simile schema concettuale parte dall’analisi critica dell’elaborazione dogmatica tedesca sulla Strafschutz des Privatlebens (Flor, R., Phishing, identity theft e identity abuse. Le prospettive applicative del diritto penale vigente, in Riv. it. dir. proc. pen., 2007, 899 ss., cui si rinvia per gli opportuni rinvii alla citata dottrina tedesca), per la presenza di aree di pertinenza dell’individuo, ovvero di “spazi informatici” di manifestazione della sua personalità, che coincidono con l’interesse sostanziale alla protezione di informazioni, siano esse riservate o non riservate, ed al loro controllo nello svolgimento di rapporti giuridici e personali on-line e off-line, o in altri “Cyberspaces”. Ma nell’era dell’interconnessione e della comunicazione globale, nonché dell’accessibilità e della fruibilità delle risorse attraverso la rete e qualsiasi strumento di comunicazione mobile, il sistema informatico è passato da una dimensione privata o singola ad una “dimensione pubblica”. In altri termini all’interesse del singolo si affianca quello super-individuale o di natura collettiva a che l’accesso a sistemi informatici ed alla stessa rete avvenga per finalità lecite e in modo tale da essere regolare per la sicurezza degli utenti. Per cui, da un lato, è innegabile che una componente di tale “area riservata” riguardi la facoltà, il potere, il diritto del titolare di gestire in modo autonomo le utilità e le risorse del sistema informatico, nonché i contenuti delle comunicazioni informatiche (o telematiche), indipendentemente dalla loro natura; dall’altro lato, appare indispensabile un bilanciamento con le esigenze connesse alla “sicurezza informatica”. Sia quest’ultima che la “riservatezza informatica”, dunque, contribuiscono a delineare un livello anticipato e preventivo di protezione rispetto al momento dell’effettiva lesione dell’integrità delle informazioni, dei programmi o dei sistemi informatici, nonché alla presa di cognizione dei contenuti dei dati ivi archiviati o trattati. Simile prospettiva di tutela, che valorizza i profili funzionali della sicurezza informatica, è direttamente rafforzata da dati normativi, espliciti ed autonomi. In primis, l’art. 615 ter c.p. offre protezione penale solo ai sistemi protetti da «misure di sicurezza». Le diverse tesi interpretative sul “ruolo” di tale elemento costitutivo convergono su almeno una argomentazione comune e insuperabile: la legge penale non definisce la natura delle misure protettive e non richiede che esse siano efficaci e idonee. A tali misure, dunque, il legislatore ha affidato il compito di manifestare lo ius excludendi alios del titolare dello spazio informatico (in argomento v. già Flor, R., Art. 615 ter c.p.: natura e funzioni delle misure di sicurezza, consumazione del reato e bene giuridico protetto, in Dir. pen. e processo, 2008, 106 e ss.). In secondo luogo, l’art. 615 ter, co. 2, n. 3, c.p. prevede un aumento della pena e la procedibilità d’ufficio se dal fatto derivi la «distruzione o il danneggiamento del sistema o l’interruzione totale o parziale del suo funzionamento, ovvero la distruzione o il danneggiamento dei dati, delle informazioni o dei programmi in esso contenuti». La dottrina ha già rilevato che quest’ultima disposizione assume importanza sul piano sistematico, stabilendo una stretta connessione fra riservatezza, da un lato, ed integrità e sicurezza informatiche, dall’altro, offese o messe in pericolo dalle condotte previste dall’art. 615 ter c.p. Ma il rapporto funzionale e strumentale fra tali beni emerge anche da un altro punto di vista. Nella disciplina a tutela della privacy, di cui al d.lgs. 30.6.2003, n. 196, la contravvenzione ex art. 169 sanziona l’omessa adozione di misure di sicurezza minime tutelando, quindi, la “sicurezza informatica” quale bene strumentale a garanzia sia della “riservatezza informatica” che della privacy e dell’ “integrità” dei contenuti personali, quali sotto-insiemi più ristretti (Picotti, L., Sistematica, cit. 76 e 77. Pecorella, C., Diritto penale dell’informatica, cit., 306 e 319 ss.). L’elemento comune o, se si vuole riprendere proprio il linguaggio della “teoria degli insiemi”, l’area di intersezione fra dimensione individuale e dimensione collettiva del bene tutelato, è costituita dall’interesse a non subire indebite interferenze nella sfera di rispetto e disponibilità di “spazi informatici”, indipendentemente dalla qualità (natura) o dalla quantità di dati e informazioni o dalla natura o dimensione dello spazio informatico di pertinenza di uno o più soggetti “titolari”, ovvero dal potere di determinare, in sé, il “destino” di tali aree informatiche in cui si manifesta la personalità umana.

Il rafforzamento della tutela penale della riservatezza e sicurezza informatiche è assicurata sia dalla fattispecie ostacolo di cui all’art. 615 quater c.p. – che sanziona condotte prodromiche all’accesso abusivo ad un sistema informatico o telematico tramite una decisa anticipazione della punibilità – sia dalla norma di cui all’art. 615 quinquies c.p. – la quale, collocata sistematicamente fra i delitti contro la libertà individuale, dopo la modifica operata dall’art. 4 l. n. 48/2008 anticipa a sua volta la tutela della riservatezza e dell’integrità dei dati e dei sistemi, sanzionando una serie di condotte, riconducibili alla cd. “diffusione di dispositivi atti a danneggiare o interrompere un sistema”, caratterizzate dal dolo specifico dello «scopo di danneggiare illecitamente un sistema informatico o telematico, le informazioni i dati o i programmi in esso contenuti o ad esso pertinenti, ovvero di favorire l’interruzione, totale o parziale, o l’alterazione del suo funzionamento» – sia, infine, dalle disposizioni di cui agli artt. 617 quater, 617 quinquies e 617 sexies, che riguardano le comunicazioni informatiche o telematiche intercorrenti fra sistemi, senza alcuna rilevanza della conversazione e a prescindere dal loro contenuto (privato o meno). Queste ultime fattispecie incriminatrici tutelano la riservatezza e la sicurezza delle comunicazioni informatiche, da intendersi quale bene giuridico “personale” maggiormente delimitato o ristretto, contenuto nel più ampio “insieme” della “riservatezza e sicurezza informatiche”. Si tratta, infatti, dell’interesse dell’individuo a non subire intercettazioni o interferenze illecite nelle proprie comunicazioni informatiche, pur se non dirette a persone determinate, anche se prive di contenuto personale, segreto o riservato, andando oltre la tradizionale sfera di protezione dei segreti e della corrispondenza (cd. segreto epistolare). Tale interesse è di per sé riconducibile ad una libertà fondamentale (ex art. 10 CEDU e art. 11 Carta dei diritti fondamentali dell’Unione europea).

La “concezione” dell’area di intersezione fra dimensioni individuale e collettiva è molto vicina alle definizioni del diritto di autodeterminazione informativa e dell’interesse all’integrità e riservatezza dei sistemi informatici che traspaiono dalla lettura di un importante filone interpretativo della Corte costituzionale tedesca.

Riservatezza e sicurezza informatiche e diritti della personalità

Il diritto all’autodeterminazione informativa (Recht auf informationelle Selbstbestimmung) e l’interesse all’integrità e riservatezza dei sistemi informatici (Integrität und Vertraulichkeit informationstechnischer Systeme) costituiscono una innovativa forma di espressione del “tradizionale” diritto fondamentale riconducibile, in particolare, alle manifestazioni dei diritti della personalità. Questo collegamento è stato effettuato dal Bundesverfassungsgericht in una epocale sentenza (BVerfG 370/2007-595/2007, 27/02/08; vedi Flor, R., Brevi riflessioni a margine della sentenza del Bundesverfassungsgericht sulla c.d. Online Durchsuchung, in Riv. trim. dir. pen. econ., 2009, 695 ss.; Flor, R., La tutela dei diritti fondamentali della persona nell’epoca di Internet. Le sentenze del Bundesverfassungsgericht e della Curtea Constituţională su investigazioni ad alto contenuto tecnologico e data retention, in Picotti, L.-Ruggieri, F., a cura di, Nuove tendenze della giustizia penale di fronte alla criminalità informatica, Torino, 2011, 32 ss.) che ha avuto importanti riflessi in Europa, dalla quale emerge la pericolosità delle condotte di accesso non autorizzato a sistemi informatici o telematici, anche se poste in essere da organismi investigativi al fine di accertare i reati, che possono comportare gravi rischi non solo a dati riservati, ma a tutti i programmi e le informazioni che si trovano nel sistema o in uno spazio informatico. La Corte costituzionale tedesca ha dichiarato incostituzionale il § 5, co. 2, n. 11, del Gesetz über den Verfassungsschutz in Nordrhein-Westfalen – VSG – come modificato il 20 dicembre 2006, in materia di raccolta e trattamento dei dati degli utenti in/da sistemi informatici ed attraverso la rete e, in specie, lo strumento investigativo dell’accesso segreto a sistemi informatici da parte di un’autorità statale di intelligence, da utilizzare nel rispetto di alcuni (inadeguati) parametri legali (cd. Online Durchsuchung. Vedi Iovene, F., Le c.d. perquisizioni online tra nuovi diritti fondamentali ed esigenze di accertamento penale, in Dir. pen. cont., fasc. 3-4, 2014, 329 ss.; Marcolini, S., Le cosiddette perquisizioni online (o perquisizioni elettroniche), in Cass. pen., 2010, 2855 ss.; Cajani, F., Odissea del captatore informatico, in Cass. pen., 2016, 4143 ss.; v. altresì BVerfG 966/09 – 1140/09. 20/04/16 con commento di Venegoni, A.-Giordano, L., La Corte Costituzionale tedesca sulle misure di sorveglianza occulta e sulla captazione di conversazioni da remoto a mezzo di strumenti informatici, in www.penalecontemporaneo.it, 8 maggio 2016). I giudici hanno riconosciuto la rilevanza costituzionale, da un lato, del «diritto di autodeterminazione informativa», che conferisce alla persona, in linea di principio, il potere di determinare, in sé, la divulgazione e l’utilizzo dei suoi dati, ampliando la tutela del diritto fondamentale alla libertà della vita privata; dall’altro lato del “nuovo” «diritto all’integrità e riservatezza dei dati e dei sistemi informatici», quali manifestazioni analoghe dell’allgemeine Persönlichkeitsrecht. Si tratta pertanto di diritti e libertà riconducibili ai diritti della personalità garantiti dall’art. 2 del Grundgesetz (GG), in quanto derivazione diretta della dignità della persona umana (Menschenwürde) di cui all’art. 1, da leggere in combinazione con l’ art. 10 GG (segretezza delle comunicazioni) e l’art. 13 GG (inviolabilità del domicilio). L’analogia con le definizioni di “riservatezza informatica” e “sicurezza informatica” appare tanto chiara quanto il collegamento, oltre che con le disposizioni costituzionali interne, con l’art. 8 CEDU del 4 novembre 1950, l’art. 12 della Dichiarazione universale dei diritti dell’uomo del 10 dicembre 1948 e gli artt. 7 e 8 della Carta dei diritti fondamentali dell’Unione europea (la quale ultima, ex art. 6 del Trattato sull’Unione europea, ha lo stesso valore giuridico dei Trattati). In questo senso, all’interesse all’esclusività dell’accesso ad uno o più spazi informatici, che costituiscono, nell’odierna società di internet, un’espansione ideale ed una evoluzione naturale dell’area afferente alla sfera personale dell’individuo, si affianca naturalmente l’interesse all’affidabilità e fiducia della collettività nella sicurezza dello svolgimento dei rapporti giuridici on-line e off-line, che si instaurano attraverso l’uso di strumenti tecnologici e di spazi informatici. A prescindere dalle funzioni che si vogliono attribuire alla tutela penale della sicurezza informatica – positiva e negativa (sulla delimitazione della nozione di “sicurezza informatica” cfr. Adams, S.-Brokx, M.-Dalla Corte, L.-Galic, M.-Kala, K., Koops, B.J.-Skorvánek, I., The governance of cybersecurity: A comparative quick scan of approaches in Canada, Estonia, Germany, the Netherlands and the UK, Tilburg 2015; nella dottrina italiana cfr. Picotti, L., Sicurezza informatica e diritto penale, in Donini, M., a cura di, Sicurezza e diritto penale, Bologna, 2011, 217 e ss.) – comunque orientate ad assicurare la tutela dell’interesse alla riservatezza informatica ed alla generale correttezza dello svolgimento dei rapporti giuridici, essa deve trovare un bilanciamento con l’esigenza di garantire la libertà di circolazione dei dati e delle informazioni, nonché con la loro libera accessibilità e fruibilità. Tale bilanciamento risulta essere più complesso per la crescente vulnerabilità dei sistemi informatici, dei dati e delle informazioni in essi archiviati, dovuta a forme di aggressione sia “tradizionali” che “tecnologiche” che si evolvono con lo stesso sviluppo tecnologico. La tutela penale della sicurezza informatica non corrisponde ad una esigenza costruita artificialmente, ma esprimerebbe la necessità «di assicurare una condizione condivisa nella società dell’informazione» (Picotti, L., Sicurezza , cit., 231-232). Ne è una emblematica dimostrazione l’attacco hacker del 12 maggio 2017 denominato “Ransomware/WannaCry” che ha colpito, in più di 150 paesi, enti pubblici e grandi aziende private installandosi all’interno dei sistemi informatici criptando ogni file salvato sull’hard disk e su eventuali periferiche, chiedendo il pagamento di un riscatto in bitcoin (moneta elettronica molto diffusa soprattutto nel deepweb) per poter riavere i dati, nonché le piene funzionalità dei sistemi operativi (v. EC3: www.europol.europa.eu).

Appare ora necessaria una ulteriore precisazione, di carattere non solo terminologico. L’uso di concetti e “metafore spaziali” ha assunto negli ultimi anni un’importanza crescente, in particolare per definire l’“ambiente virtuale” nel quale utenti, programmi, dati e sistemi, connessi fra loro attraverso una rete telematica, possono “muoversi” ed interagire. È grazie a questa metafora che il linguaggio può trascendere la propria fisicità. Il suo valore simbolico, in particolare, dipende dallo scarto fra “parola” e “realtà”, nel senso che la parola non è sempre in grado di esprimere la totalità delle determinazioni concrete (Barcellona, P., La parola perduta. Tra polis greca e cyberspazio, Bari, 2007, 113 ss.). A fenomeni “in movimento” dovrebbero corrispondere, da un lato, settori dell’ordinamento ad elevato coefficiente di adattamento e, dall’altro lato, un diritto giudiziale flessibile. In campi nuovi o “sperimentali”, come viene considerato quello delle ICTs, queste caratterizzazioni del sistema giuridico potrebbero, al contempo, trasmettere un senso di instabilità e di irritazione (espressione tratta da Hassemer, W., Diritto giusto attraverso un linguaggio corretto? Sul divieto di analogia nel diritto penale, in Ars Interpretandi, 1997, 171 ss.). Ma proprio la specificità di tali campi o settori necessita del ricorso ad una semantica tecnica che possa riempire termini “tradizionali”, comprensibili al giurista ed all’opinione pubblica, con contenuti adattabili al nuovo contesto tecnologico, attenendosi quanto più fedelmente possibile sia al testo redatto dal legislatore, sia ai significati correnti di un termine attribuiti dalla realtà o, meglio, dalla regola tecnologica. Nell’ambito delle ICTs la concezione dello “spazio”, inteso quale “area” fruibile dall’utente per il trattamento di dati e informazioni, si basa sull’immaterialità dell’ambiente, che non sempre può essere delimitato entro ambiti fisici (server, singolo sistema o device, smartphone ecc.) o territoriali. Esso può assumere una duplice dimensione. La prima può essere definita “globale” o “pubblica” e viene tendenzialmente utilizzata per descrivere internet o, meglio, il World Wide Web, ossia ambiti “aperti” a tutti gli utenti. La seconda, invece, è di carattere “individuale” o “privato” e identifica un’area riservata ad uno o più soggetti legittimati ad accedervi attraverso diverse modalità di autenticazione. L’interpretazione del bene giuridico “riservatezza informatica” e, in stretta connessione quale componente descrittiva della “sicurezza informatica”, ben si sposa con questa seconda dimensione, essendo costruita sull’interesse all’esclusività dell’accesso ad uno o più “spazi informatici” – dunque “ambiti” immateriali e potenzialmente aterritoriali – a prescindere, vale la pena ribadirlo, dalla natura dei dati e delle informazioni ivi archiviati. Evidente appare, dunque, la conferma della connessione funzionale fra “riservatezza” e “sicurezza” informatiche, essendo la prima pregiudicata anche da aggressioni che possono danneggiare, disperdere od alterare i dati e le informazioni, o le relative misure di protezione, oltre che da mirati accessi abusivi che possono consentire a soggetti non legittimati di introdursi, interferire, operare nello spazio altrui, pur senza venire a conoscenza effettiva di specifici contenuti informativi riservati o segreti, la cui violazione va eventualmente distinta da quella del diritto in esame (Picotti, L., La tutela penale della persona e le nuove tecnologie dell’informazione, in Picotti, L., a cura di, Tutela penale della persona e nuove tecnologie, Padova, 2013, 29 ss.).

Indagini ad alto contenuto tecnologico

L’innovazione-rivoluzione tecnologica offre anche nuovi strumenti e mezzi per la ricerca delle prove, e consente di perseguire altresì fini “preventivi”, rispondendo alla concreta esigenza di misure efficaci di contrasto a gravi forme di criminalità, sia tradizionale che informatica o cibernetica.

Le cd. perquisizioni online, ovvero le attività investigative poste in essere tramite applicativi software/malware per accedere segretamente a sistemi informatici o telematici rappresentano un ibrido di difficile inquadramento giuridico, oggetto di crescente attenzione a livello europeo ed internazionale (Flor, R., Investigazioni ad alto contenuto tecnologico, cit. 359 ss.; Iovene, F., Le c.d. perquisizioni online, cit., 329 ss.; Marcolini, S., Le cosiddette perquisizioni online, cit., 2855 ss.; Cajani, F., Odissea del captatore informatico, cit., 4143 ss.; Giordano, L., Dopo le Sezioni Unite sul «captatore informatico»: avanzano nuove questioni, ritorna il tema della funzione di garanzia del decreto autorizzativo, in www.penalecontemporaneo.it, 20 marzo 2017; v. altresì Gaito, A. e Fùrfaro, S., Le nuove intercettazioni “ambulanti”: tra diritto dei cittadini alla riservatezza ed esigenze di sicurezza per la collettività; Cisterna, A., Spazio ed intercettazioni, una liaison tormentata. Note ipogarantistiche a margine della sentenza Scurato delle Sezioni unite; Filippi, L., L’ispe-perqui-intercettazione “itinerante”: le Sezioni unite azzeccano la diagnosi, ma sbagliano la terapia (a proposito del captatore informatico), tutti in Arch. pen., 2, 309 ss. Si tratta di certo di mezzi di ricerca della prova che, dovessimo proporre un paragone con il sistema processuale italiano, non trovano una loro contro figura definita, nemmeno dopo la L. n. 48/2008, di ratifica della Convenzione Cybercrime. Questo strumento investigativo, infatti, presenta caratteri di innovatività ed “originalità” tali da non poter consentire un “parallelismo”, per analogia, con i mezzi tipici di ricerca della prova, in quanto non sembra riconducibile né alla disciplina delle perquisizioni, né a quella delle ispezioni né, infine, a quella delle intercettazioni, configurando piuttosto un tertium genus. Il carattere segreto della perquisizione online potrebbe indurre, per il vero, ad applicare la disciplina dell’intercettazione informatica o telematica (art. 266 bis c.p.p.). In realtà, le intercettazioni hanno ad oggetto l’apprensione occulta e real time di comunicazioni, che comporti uno scambio di dati digitali determinato da un’attività umana, ossia un’attività di comunicazione o di altro genere riconducibile ad una persona (Iovene, F., Le c.d. perquisizioni online, cit., 329 ss.; Marcolini, S., Le cosiddette perquisizioni online, cit., 2855 ss.; Marcolini, S., Le indagini atipiche a contenuto tecnologico nel processo penale: una proposta, in Cass. pen., 2015, 760 ss.). Ne deriva che lo strumento in esame potrebbe essere utilizzato per l’acquisizione di messaggi scritti (come, ad esempio, le e-mail), di conversazioni via chat ovvero, ma non certo pacificamente, per la captazione di collegamenti con siti web o l’attivazione della webcam o del microfono di un device (laptop, smartphone ecc.). È ad ogni modo escluso che possa essere utilizzato per monitorare le attività dell’utente o per effettuare ricerche da remoto nel sistema oggetto di indagine. I rischi connessi a tali ultime operazioni possono derivare da fattori temporali (se si tratta di un monitoraggio a lungo termine e privo di un meccanismo di verificabilità oggettiva delle operazioni svolte), preselettivi (in quanto lo strumento investigativo potrebbe non permettere una selezione tecnica dei dati, in base alla loro natura, da trattare e/o archiviare) ed invasivi (che potrebbero comportare la manipolazione delle informazioni o l’accesso non autorizzato da parte di terzi, con grave pregiudizio alla riservatezza informatica ed alla sicurezza informatica). Malgrado tali criticità, che già di per sé sembrerebbero rendere evidente ed indispensabile un intervento del legislatore, dopo i due casi maggiormente noti affrontati dalla giurisprudenza di legittimità – in cui si è fatto uso di tecniche di indagine a contenuto tecnologico e, più in particolare, del cd. captatore informatico (Cass. pen., V sez., 14.10.2009, n. 16556 e Cass. pen., IV sez., 17.4.2012, n. 19618; v. Aterno, S., Le investigazioni informatiche e l’acquisizione della prova digitale, in Giur. merito, 2013, 955 ss.) – sono intervenute le Sezioni Unite (Cass. pen., S.U., 28.4.2016, n. 26889) con una decisione in parte discutibile. Esse non hanno affrontato la delicata questione sulla “copertura legale”, ma hanno espresso i seguenti principi di diritto: «deve escludersi la possibilità di compiere intercettazioni nei luoghi indicati dall’art. 614 c.p., con il mezzo indicato in precedenza [captatore informatico], al di fuori della disciplina derogatoria per la criminalità organizzata di cui all’art. 13 d.l. n. 152 del 1991, convertito in legge n. 203 del 1991, non potendosi prevedere, all’atto dell’autorizzazione, i luoghi di privata dimora nei quali il dispositivo elettronico verrà introdotto, con conseguente impossibilità di effettuare un adeguato controllo circa l’effettivo rispetto del presupposto, previsto dall’art. 266, co. 2, c.p.p., che in detto luogo «si stia svolgendo l’attività criminosa»; «è invece consentita la captazione nei luoghi di privata dimora ex art. 614 c.p., pure se non singolarmente individuati e se ivi non si stia svolgendo l’attività criminosa, per i procedimenti relativi a delitti di criminalità organizzata, anche terroristica, secondo la previsione dell’art. 13 d.l. n. 152 del 1991»; «per procedimenti relativi a delitti di criminalità organizzata devono intendersi quelli elencati nell’art. 51, co. 3-bis e 3-quater, c.p.p. nonché quelli comunque facenti capo a un’associazione per delinquere, con esclusione del mero concorso di persone nel reato». In estrema sintesi, le Sezioni Unite hanno ritenuto assimilabile l’uso del captatore informatico per attivare il microfono e/o la camera di un device ad una intercettazione e, più in dettaglio, ad una intercettazione di conversazioni o comunicazioni tra presenti.

Lo strumento investigativo di per sé non è illegittimo. Data l’impossibilità, però, di considerare queste attività di indagine a contenuto tecnologico un mezzo atipico di ricerca della prova, per il loro carattere innovativo e originale che le distingue dai mezzi tipici previsti dal nostro ordinamento, dovrebbe essere compito del legislatore intervenire, dettando una disciplina specifica, che raggiunga un equo bilanciamento, alla luce del principio di proporzionalità, tra i diritti fondamentali, anche nelle loro nuove manifestazioni (riservatezza informatica e sicurezza informatica) ed il perseguimento di un interesse generale legato ad esigenze penali (probatorie, repressive e preventive). Tale disciplina dovrebbe individuare i presupposti, i casi e i modi dell’intromissione in un sistema informatico, anche attraverso un elenco di gravi reati presupposto che, per giustificare la compressione dei diritti fondamentali, devono essere posti a tutela di importanti e predominanti beni giuridici (quali possono essere la vita, l’incolumità fisica e la libertà dei singoli, nonché quelli della collettività), il tipo di provvedimento motivato dell’autorità giudiziaria (per ipotesi del giudice su richiesta del pubblico ministero), le modalità dell’intromissione e di svolgimento dell’attività di indagine, nonché i parametri tecnici da osservare anche in relazione alla tipologia di software usato. Dovrebbero essere introdotte, infine, specifiche garanzie a tutela dei dati personali irrilevanti per le indagini e apposite sanzioni di inutilizzabilità del materiale probatorio acquisito illegittimamente o irrilevante.

De jure condito, invece, l’uso del captatore informatico darebbe vita, a causa della grave compressione dei diritti fondamentali, ulteriormente aggravata dalla segretezza dell’accesso, ad una «prova inutilizzabile in quanto incostituzionale», o «inammissibile» se si accoglie l’idea fatta propria dalla Cassazione nella nota sentenza Prisco (Cass. pen., S.U., 28.7.2006, n. 26795; v. Marcolini, S., Le cosidette perquisizioni, cit., 2861 ss.; Iovene, F., Le c.d. perquisizioni online, cit., 341 ss.). Una parte della dottrina processualistica aveva già rilevato, infatti, che se le cd. perquisizioni online «fossero effettuate in un procedimento penale italiano, [esse] dovrebbero essere dichiarate inammissibili come prova perché, non previste dalla legge, verrebbero ad incidere su di un bene giuridico … la cui lesione, alla luce del nuovo combinato costituzionale-sovranazionale … esige la previa determinazione, da parte del legislatore ordinario, dei casi e dei modi di aggressione di quel bene» (Marcolini, S., Le cosiddette perquisizioni, cit., 2861 ss.).

Queste riflessioni conclusive – e critiche relativamente all’intervento delle Sezioni Unite – trovano oggi riscontro positivo nei tentativi di disciplinare l’utilizzo di tale modalità di indagini ad alto contenuto tecnologico. Una prima proposta era già stata presentata, senza successo, nel corso dei lavori parlamentari per la conversione del d.l. 18.2.2015, n. 7, «Misure urgenti per il contrasto del terrorismo, anche di matrice internazionale», convertito con modificazioni dalla l.17.4.2015, n. 43. Dopo tale tentativo devono essere segnalati: la proposta di legge C. 3470 («Modifica all'articolo 266-bis del codice di procedura penale, in materia di intercettazione e di comunicazioni informatiche o telematiche»), la proposta di legge C. 3762, («Modifiche al codice di procedura penale e alle norme di attuazione, di coordinamento e transitorie del codice di procedura penale, in materia di investigazioni e sequestri relativi a dati e comunicazioni contenuti in sistemi informatici o telematici», che andrebbe a modificare l’art. 266 bis c.p.p.), nonché il d.d.l. n. 2067 («Modifiche al codice penale e al codice di procedura penale per il rafforzamento delle garanzie difensive e la durata ragionevole dei processi nonché all'ordinamento penitenziario per l'effettività rieducativa della pena») (v. Giordano, L., Dopo le Sezioni Unite, cit.; cfr. anche lo speciale dedicato in Dibattiti/Focus, in Parola alla Difesa, 9, 2016, 159-194).

La proposta di legge è stata approvata il 14 giugno 2017 (A.C. 4368). L’art. 84, lett. e) disciplina le intercettazioni tra presenti tramite l’uso di captatori informatici. Tali previsioni sono limitate all’intercettazione, nonostante le ulteriori potenzialità funzionali dei dispositivi tecnologici. Lasciano perplessi i rinvii generici ai requisiti tecnici non solo dei programmi, ma anche relativi alle loro modalità di utilizzo e rimozione. Sarà necessario attendere i decreti legislativi di attuazione ed il d.m. di cui al n. 5, lett. e), per meglio verificare il rispetto degli standard giuridici, nonché di affidabilità, sicurezza e efficacia.

L’auspicio è che vengano affrontate in tempi rapidi le principali questioni controverse appena riportate, a partire dalla stessa ridefinizione di “intercettazione”. Sul piano del diritto penale sostanziale, infatti, il nostro legislatore ha introdotto la distinzione fra intercettazioni non autorizzate o installazione di apparecchi atti ad intercettare abusivamente comunicazioni fra persone (artt. 617-617 ter c.p.) e intercettazioni non autorizzate o installazione di apparecchi atti ad intercettare abusivamente comunicazioni relative ad un sistema informatico o telematico ovvero fra sistemi informatici o telematici (artt. 617 quater-617 sexies c.p.). Tale distinzione, che opera sul piano sostanziale, sembra superare l’ancoraggio al tradizionale aspetto comunicativo fra persone.

Fonti normative

Artt. 615 ter, 615 quater, 615 quinquies, 617 quater, 617 quinquies, 617 sexies c.p.; d.lgs. 30.6.2003 n. 196; art. 8 CEDU; art. 12 Dichiarazione universale dei diritti dell’uomo del 10.12.1948; artt. 7 e 8 della Carta dei diritti fondamentali dell’Unione europea.

Bibliografia essenziale

Aterno, S., Le investigazioni informatiche e l’acquisizione della prova digitale, in Giur. mer., 2013, 955 ss.; Cajani, F., Odissea del captatore informatico, in Cass. pen., 2016, 4143 ss.; Flor, R., Nuove tecnologie e giustizia penale in Europa tra esigenze di accertamento e prevenzione dei reati e quelle di tutela della riservatezza: il ruolo “propulsore” della Corte di Giustizia, in Studi in onore di Maurizio Pedrazza Gorlero, Napoli, 2014, 247 ss.; Flor, R., Brevi riflessioni a margine della sentenza del Bundesverfassungsgericht sulla c.d. Online Durchsuchung, in Riv. trim. dir. pen. econ., 2009, 695 ss.; Flor, R., Investigazioni ad alto contenuto tecnologico e tutela dei diritti fondamentali della persona nella recente giurisprudenza del Bundesverfassungsgericht: la decisione del 27 febbraio 2008 sulla Online Durchsuchung e la sua portata alla luce della sentenza del 2 marzo 2010 sul data retention, in Ciberspazio e dir., 2, 2010, 359 ss.; Flor, R., Verso una rivalutazione dell'art. 615 ter c.p.? Il reato di accesso abusivo a sistemi informatici o telematici fra la tutela di tradizionali e di nuovi diritti fondamentali nell’era di Internet, in Dir. pen. cont., fasc. 2, 2012, 126 ss.; Flor, R., I limiti del principio di territorialità nel cyberspace. Rilievi critici alla luce del recente orientamento delle Sezioni Unite, in Dir. pen. e processo, 2015, 1296 ss.; Flor, R., Phishing, identity theft e identity abuse. Le prospettive applicative del diritto penale vigente, in Riv. it. dir. proc. pen., 2007, 899; Giordano, L., Dopo le Sezioni Unite sul «captatore informatico»: avanzano nuove questioni, ritorna il tema della funzione di garanzia del decreto autorizzativo, in www.penalecontemporaneo.it, 20 marzo 2017; Iovene, F., Le c.d. perquisizioni online tra nuovi diritti fondamentali ed esigenze di accertamento penale, in Dir. pen. cont., fasc. 3-4, 2014, 329 ss.; Marcolini, S., Le cosiddette perquisizioni online (o perquisizioni elettroniche), in Cass. pen., 2010, 2855 ss.; Marcolini, S., Le indagini atipiche a contenuto tecnologico nel processo penale: una proposta, in Cass. pen., 2015, 760 ss.; Pecorella, C., Diritto penale dell’informatica, Padova, 2006; Picotti, L., voce Reati informatici, in Enc. giur. Treccani, Aggiornamento, VIII, Roma, 2000, 1 ss; Picotti, L., Il diritto penale dell’informatica nell’epoca di Internet, Padova, 2004; Picotti, L.-Ruggieri, F., Nuove tendenze della giustizia penale di fronte alla criminalità informatica, Torino, 2011; Picotti, L., a cura di, Tutela penale della persona e nuove tecnologie, Padova, 2013; Seminara, S., Internet (dir. pen.), in Enc. dir., Annali, VII, Milano, 2014; Venegoni, A.-Giordano, L., La Corte Costituzionale tedesca sulle misure di sorveglianza occulta e sulla captazione di conversazioni da remoto a mezzo di strumenti informatici, in www.penalecontemporaneo.it, 8 maggio 2016.

CATEGORIE