I nuovi crimini informatici nel codice penale
Reati informatici, prevenzione ed interventi alla luce del Dlgs. 231/2001
Il 2017 sarà probabilmente un anno strategico per il cybercrime, perché ci attende il recepimento della direttiva europea sulla sicurezza dei sistemi delle reti e dell’informazione, il primo insieme di regole sulla sicurezza informatica che accomuna l’Unione Europea. Ogni Stato dovrà dotarsi di una sicurezza nazionale, che individui specifiche misure protettive e incentivi la cooperazione tra settore pubblico e privato. La direttiva parla nello specifico di "protezione dei dati", quasi a evidenziare che la normale tutela della privacy non basta più in un mondo in cui il patrimonio dei dati personali, che ormai appartiene al digitale, è diventato il tallone d’Achille della riservatezza individuale. I rischi per un’impresa sono tanti, si pensi al furto dati dei clienti, alla reputazione aziendale e alla sottrazione di denaro; nel mondo nei primi sei mesi del 2015, i cyber attacchi sono aumentati del 30% rispetto al 2014, nell’ultimo trimestre del 2016 le frodi informatiche sono cresciute del 22,5% rispetto all’ultimo semestre, in media gli utenti attaccati da cyber criminali dichiarano di perdere circa 436 euro, il 52% delle vittime di attacchi di tal genere non hanno ottenuto alcun risarcimento dalla banca relativamente alle cifre perse. Le statistiche sono importanti perché aiutano a predisporre misure in grado di argine tale dilaniante problema, che si espande a macchia d’olio in tutte le parti del mondo.
Dal punto di vista legale sono due le linee direttrici da seguire:
a) nel caso in cui l’attacco si sia già perpetrato, allora si deve intervenire in senso riparatorio, ad esempio con indagini difensive o con l’avvio di procedimenti giudiziari che coinvolgano i propri assistiti.
b) in senso preventivo attraverso la corretta individuazione e qualificazione dei rischi corsi dal clienti seguiti dalla messa in sicurezza dei relativi sistemi informatici e dell’organizzazione.
Secondo il testo della Legge 48/2008 si possono identificare tre gruppi distinti di reati presupposto, ai fini della configurazione della responsabilità amministrative degli enti ex Dlgs 231/2001 per ognuno dei quali si specificano le sanzioni irrogabili, sia pecuniarie che interdittive:
1. il primo gruppo comprende gli articoli 615 ter, 617 quater, 617 quinquies, 635 bis, 635 ter, 635 quater e 635 quinquies del codice penale. La caratteristica comune ai reati previsti dagli articoli citati consiste nel punire il danneggiamento di hardware, di software e di dati: viene punito l'accesso abusivo ad un sistema e l'intercettazione o l'interruzione di dati compiute attraverso l'installazione di appositi software o hardware e viene punita come aggravante la commissione degli stessi reati in sistemi informatici di pubblica utilità;
2. il secondo gruppo di reati è costituito dagli artt. 615 quater e 615 quinquies del codice penale: tali articoli puniscono la detenzione e la diffusione di software e/o di attrezzature informatiche atte a consentire la commissione dei reati di cui alla precedente lett. a);
3. il terzo gruppo di reati comprende i reati di cui agli artt. 491 bis e 640 quinquies del codice penale: viene punita la violazione dell'integrità dei documenti informatici e della loro gestione attraverso la falsificazione di firma digitale (elettronica).
Non tutti i reati informatici sono stati presi in considerazione dalla Legge 48/2008 e, pertanto, non figurano fra i reati presupposti ex d.lgs.231/01: si tratta di condotte direttamente collegate a quelle invece prese in considerazione, come ad esempio la violenza esercitata su programmi informatici attraverso l'introduzione di un virus o la loro alterazione (art. 392 del codice penale). Esiste poi una serie di reati che vengono compiuti per commettere un altro reato informatico: ad esempio, la sostituzione di persona (art. 494 del codice penale); infatti è assolutamente normale nella commissione di un reato informatico che chi lo commette utilizzi abusivamente l'identità informatica di chi ha diritto all'accesso ad un sistema per poter realizzare un accesso abusivo.
Dal punto di vista legale sono due le linee direttrici da seguire:
a) nel caso in cui l’attacco si sia già perpetrato, allora si deve intervenire in senso riparatorio, ad esempio con indagini difensive o con l’avvio di procedimenti giudiziari che coinvolgano i propri assistiti.
b) in senso preventivo attraverso la corretta individuazione e qualificazione dei rischi corsi dal clienti seguiti dalla messa in sicurezza dei relativi sistemi informatici e dell’organizzazione.
Secondo il testo della Legge 48/2008 si possono identificare tre gruppi distinti di reati presupposto, ai fini della configurazione della responsabilità amministrative degli enti ex Dlgs 231/2001 per ognuno dei quali si specificano le sanzioni irrogabili, sia pecuniarie che interdittive:
1. il primo gruppo comprende gli articoli 615 ter, 617 quater, 617 quinquies, 635 bis, 635 ter, 635 quater e 635 quinquies del codice penale. La caratteristica comune ai reati previsti dagli articoli citati consiste nel punire il danneggiamento di hardware, di software e di dati: viene punito l'accesso abusivo ad un sistema e l'intercettazione o l'interruzione di dati compiute attraverso l'installazione di appositi software o hardware e viene punita come aggravante la commissione degli stessi reati in sistemi informatici di pubblica utilità;
2. il secondo gruppo di reati è costituito dagli artt. 615 quater e 615 quinquies del codice penale: tali articoli puniscono la detenzione e la diffusione di software e/o di attrezzature informatiche atte a consentire la commissione dei reati di cui alla precedente lett. a);
3. il terzo gruppo di reati comprende i reati di cui agli artt. 491 bis e 640 quinquies del codice penale: viene punita la violazione dell'integrità dei documenti informatici e della loro gestione attraverso la falsificazione di firma digitale (elettronica).
Non tutti i reati informatici sono stati presi in considerazione dalla Legge 48/2008 e, pertanto, non figurano fra i reati presupposti ex d.lgs.231/01: si tratta di condotte direttamente collegate a quelle invece prese in considerazione, come ad esempio la violenza esercitata su programmi informatici attraverso l'introduzione di un virus o la loro alterazione (art. 392 del codice penale). Esiste poi una serie di reati che vengono compiuti per commettere un altro reato informatico: ad esempio, la sostituzione di persona (art. 494 del codice penale); infatti è assolutamente normale nella commissione di un reato informatico che chi lo commette utilizzi abusivamente l'identità informatica di chi ha diritto all'accesso ad un sistema per poter realizzare un accesso abusivo.
Articolo del: