PENALE - Decisione quadro 2005/222/GAI del Consiglio dell’Unione Europea.
Nuove responsabilità e sanzioni per le Aziende:
i reati informatici riconducibili ad omesso controllo
- La decisione quadro 2005/222/GAI del Consiglio dell’Unione Europea -
17.03.2005
di Salvatore Frattallone
Gli Stati membri dell’Unione Europea, il 24 febbraio 2005, si sono dotati – con la Decisione Quadro del Consiglio pubblicata nella Gazzetta Ufficiale Comunitaria n. L069, già in vigore dal 17 marzo 2005[1] – di un tassello importante nell’ambito della legislazione contro gli attacchi compiuti dalla criminalità informatica.
Si è stabilito, in modo vincolante per tutte le venticinque Nazioni ora aderenti all’Unione Europea[2], che, al fine di predisporre con urgenza un’adeguata tutela dagli attacchi contro i sistemi di informazione, ciascuno Stato debba armonizzare la propria
normativa in materia penale, introducendo entro il 16 marzo 2007 delle leggi ad hoc, in tema di sicurezza delle reti e dei sistemi di informazione.
Del resto è oramai noto a tutti che, se da un alto, il successo del mondo virtuale di Internet è legato alla facilità d’acquisizione dei mezzi per accedere alla rete, alla semplicità d’uso dei programmi per la connessione, all’esiguo costo per attuare la comunicazione, al carattere transfrontaliero del flusso di informazioni inviate e ricevute in tempo (quasi) reale, alla vastità dei settori interessati (cultura, scienza, svago, informazione, etc.), d’altro lato i danni che possono essere cagionati alle reti telematiche da singoli, se non addirittura dalla criminalità organizzata e dal terrorismo
internazionale, sono d’enormi proporzioni.
Per contrastare la criminalità ad altra tecnologia, quindi, servono leggi innanzitutto con definizioni comuni. In secondo luogo, occorrono incriminazioni omogenee per i vari reati attinenti agli attacchi ai danni di sistemi d’informazione. Necessitano, infine,
sanzioni comuni a tutta l’Europa.
Solo così, s’è stabilito a Bruxelles, è possibile creare i presupposti per realizzare una Società dell’Informazione[3] sicura: oggi giorno, infatti, la libera circolazione e la protezione dei dati personali di individui, enti ed imprese costituisce uno degli elementi
indispensabili per poter garantire uno spazio di progresso, libertà, sicurezza e giustizia per i popoli dell’Unione Europea.
L’attività di coordinamento delle legislazioni verrà attuata a breve termine, mediante l’armonizzazione delle definizioni legali che i vari Stati dovranno predisporre, recependo i contenuti della decisione Quadro, ma anche mediante l’intervento centralizzato dell’Unione Europea, che potrà adottare misure in via sussidiaria ex art. 5 Trattato CE[4]. Tra le suddette “definizioni” spicca quella di “sistema di informazione”, poiché con esso si allude anche ad un singolo computer, oltrechè ad una rete telematica di p.c. interconnessi tra loro: trattasi del medesimo concetto in Italia già utilizzato
dall’art. 615-ter C.P. per reprimere il delitto di accesso abusivo ad un sistema informatico o telematico.
Tre sono, in particolare, i pilastri degli “elementi essenziali” dei reati comuni,
punibili con pene comprese tra 1 e 3 anni di detenzione, che così si possono grosso
modo sintetizzare:
1. “accesso illecito ad un sistema di informazione”:
esso si consuma allorquando, violando le misure di sicurezza, taluno dolosamente
acceda ad un sistema di informazione o ad una sua parte, senza esserne
autorizzato dal proprietario o dall’avente diritto sul sistema o nei casi non
consentiti dalla legge;
2. “interferenza illecita nei sistemi di informazione”:
tale reato si verifica nel caso in cui sia consapevolmente compiuto, senza averne
diritto, un atto che ostacoli gravemente, interrompa il funzionamento di un sistema
di informazione o comunque ne provochi la perturbazione, immettendo,
trasmettendo, danneggiando, cancellando, deteriorando, alterando, sopprimendo
dati informatici o rendendoli inaccessibili;
3. “interferenza illecita per quanto attiene ai dati informatici”:
questo diverso reato è commesso da chiunque, agendo intenzionalmente e senza
diritto, cancelli, danneggi, deteriori, alteri, sopprima o renda comunque
inaccessibili dati informatici in un sistema di informazione.
Aggiungasi che di tali delitti devono venire autonomamente puniti:
4. l’istigazione, 5. il favoreggiamento, 6. la complicità, 7. il tentativo.
Circa gli obiettivi di contrasto della criminalità informatica, è stato previsto che
pene più lievi vadano comminate per i casi più lievi. Per contro, le sanzioni irrogate
saranno più aspre nei casi d’attacchi contro sistemi d’informazione perpetrati nell’ambito
di un’organizzazione criminale o d’attacchi che provochino gravi danni o che colpiscano
interessi essenziali: difatti in tali ipotesi, potranno venire applicate delle circostanze
aggravanti speciali, che comporteranno un aumento della pena detentiva, tra un minimo
di 2 ad un massimo di ben 5 anni di reclusione.
Pertanto, “scatteranno le manette” contro qualsiasi atto commesso nei confronti di
un'infrastruttura informatica ed inteso a distruggere, modificare o alterare le
informazioni contenute nei computer o nelle reti di computer.
Però, il fatto dell’accesso abusivo ad un sistema informatico o telematico (il su
richiamato Art. 615-ter C.P.) è già è punito in Italia. Così pure, le altre condotte oggetto
della previsione europea paiono potersi ricondurre, almeno prima facie, ad altre
fattispecie penali ed altrettanto è a dirsi per la punibilità delle corrispondenti figure
dell’istigatore, del favoreggiatore, del correo nonché per il tentativo[5].
Come già precisato in sede di proposta di decisione[6], né la negligenza grave, né
l'imprudenza saranno punibili, trattandosi di situazioni riconducibili alla colpa e, invece,
rilevando solamente l’elemento soggettivo del dolo, ai fini della punibilità dei suddetti
reati, ovverosia la “consapevolezza” della condotta e dell’evento che ne deriva.
Il quid novi della Decisione Quadro in esame, peraltro, si reputa vada ravvisato
nella previsione d’una responsabilità penale a carico delle imprese (le “persone
giuridiche”, in realtà ricomprendendosi in tale nomenclatura, nel caso di specie,
“qualsiasi entità che abbia tale qualifica ai sensi della legislazione applicabile, eccetto gli
Stati o altri organismi pubblici nell’esercizio dell’autorità statale e le organizzazioni
internazionali"), esplicantesi sostanzialmente su un piano civilistico/amministrativo.
Difatti, le aziende risponderanno dei cennati reati nel caso in cui gli illeciti vengano
commessi a loro vantaggio da chiunque, agendo a titolo individuale od in quanto
membro d’un organo societario, rivesta in seno all’azienda una posizione preminente che
sia basata sul potere di rappresentanza dell’azienda o sul potere di prendere decisioni
per conto della medesima oppure sull’esercizio di poteri di controllo in seno alla stessa.
Le aziende, inoltre, saranno ritenute responsabili dei suddetti reati qualora uno dei
soggetti dianzi citati, omettendo la sorveglianza od il controllo dovuti, abbia reso
possibile la commissione, a beneficio dell’azienda, dei reati su menzionati da parte di
persona soggetta alla sua autorità.
Ovviamente, la responsabilità delle persone giuridiche non escluderà il radicarsi dei
procedimenti penali contro le persone fisiche resesi colpevoli, quali autori, istigatori o
complici, di una delle condotte sopra descritte.
Quanto alle sanzioni che verranno comminate alle aziende, il novero è
abbastanza ampio ed in grado d’incidere significativamente sull’attività economica
da esse svolta, molto più d’una pena tradizionale (quale una condanna alla reclusione
che venga condizionalmente sospesa, a carico del legale rappresentante ritenuto
responsabile del fatto-reato). Esse in particolare consisteranno in:
a) pene pecuniarie, penali o non penali; b) l’esclusione dal godimento di un
beneficio o aiuto pubblico; c) il divieto d’esercitare attività commerciali, in via
temporanea o permanente; d) l’assoggettamento a sorveglianza giudiziaria; e)
provvedimenti giudiziari di scioglimento, d’autorità.
Da un punto di vista procedurale, la giurisdizione a perseguire e punire siffatte
condotte è riconosciuta a ciascuno Stato membro dell’Unione Europea, sul presupposto
che esse siano ascrivibili ad un suo cittadino oppure siano commesse, in tutto od in
parte, sul suo territorio o, ancora, avvantaggino un’azienda avente sede legale nel
territorio dello Stato membro. Inoltre, sia avrà la competenza dello Stato membro anche
nel caso in cui l’autore del reato lo abbia commesso mentre era fisicamente presente nel
territorio ancorché il sistema di informazione contro cui abbia agito non si trovi nel suo
territorio, ed anche nell’ipotesi inversa (reo all’estero, sistema colpito nello Stato
membro). È quanto mai vasto, perciò il campo d’applicazione della nuova normativa, che
mira non soltanto a prevenire gli attacchi perpetrati ai danni degli Stati membri, ma
anche gli atti commessi nel territorio degli Stati membri contro sistemi situati nel
territorio di paese terzo (extra-UE).
Altri criteri sono infine dettati affinché sia assicurata in tutto il territorio europeo la
punibilità dei cittadini dei vari Stati dell’Unione, anche laddove questi non attuino ancora
procedure d’estradizione o di consegna dei responsabili alle altre nazioni straniere e,
altresì, affinché venga decisa la competenza a procedere fra più Stati membri, se essi
rivendichino tutti la propria giurisdizione (si darà la prevalenza, per perseguire tali
crimini, ai criteri preventivi del locus commissi delicti, della cittadinanza e, infine, del
luogo di ritrovamento del reo).
Da ultimo, ma non per importanza, il Consiglio dell’Unione Europea – che già il
28.01.2002 aveva adottato un’apposita Risoluzione nel settore della “sicurezza delle reti
e dell’informazione”, ribadita nel 2003[7] – ha sancito l’utilizzabilità “h24” dei punti
d’accesso già esistenti tra le reti telematiche del vari Stati membri, al fine di contrastare
efficacemente la lotta alla criminalità tecnologica con uno scambio continuo di
informazioni, nel rispetto delle disposizioni a protezione dei dati personali.
Orbene, se può dirsi assodato a tutt’oggi, in Italia, un compiuto (benché
perfettibile) sistema normativo volto alla repressione dei computer crimes (a partire
dalla L. 547/1993), della pirateria del software e delle altre violazioni penali della
proprietà intellettuale (cfr. Art. 171-bis l.d.a. e L. n. 248/2000) nonché delle condotte
lesive delle norme sulla protezione dei dati personali (T.U. Privacy: artt. 167 e ss. D.L.vo
n. 196/2003), non ci si può non stupire della portata realmente innovativa della
Decisione Quadro a commento.
La novella europea, infatti, si pone come una naturale prosecuzione dell’azione di
contrasto attuata a livello comunitario ancora con l’adozione delle Convenzione di
Budapest sul Cybercrime, il 23.11.2001, che impose a tutti gli Stati contraenti, fra cui
l’Italia, di prevedere la responsabilità delle persone giuridiche in relazione a tutte le
fattispecie di reato oggetto della Convenzione[8].
Nel nostro Paese, che solo di recente ha visto sancita la Responsabilità in sede
penale degli enti, per gli illeciti amministrativi dipendenti da reato (per effetto del D.L.vo
n. 231/2001, legge misconosciuta a moltissime aziende), si tratta d’una novità di non
poco momento: il legislatore ha indubbiamente voluto sanzionare l’ente per una propria
responsabilità “diretta ed autonoma”, generata dal reato compiuto dai “soggetti in
posizione apicale”, dai dirigenti o dai suoi dipendenti.
La normativa sinora vigente in Italia[9], infatti, colpisce solo taluni delitti cc.dd.
informatici – in ogni caso restando estraneo al suo campo d’applicazione il caso in cui il
reo abbia agito nell'interesse esclusivo proprio o di terzi (Art. 5) – segnatamente i reati:
- di cui all’Art. 24, di frode informatica commessa a danno dello Stato o di altro
ente pubblico,
- di cui all’Art. 25-quater, d’assistenza a gruppi terroristici mediante fornitura di
strumenti di comunicazione,
- di cui all’Art. 25-quinquieslett.c), sostanziantesi nella divulgazione, cessione o
detenzione di materiale pedopornografico.
I casi, invero, sono quelli oggetto delle odierne incriminazioni rispettivamente di cui
agli Artt. 640-ter C.P. (frode informatica), 270-ter C.P. (fornitura, a taluna delle persone
che appartengono ad associazioni sovversive o con finalità di terrorismo o di eversione,
di strumenti di comunicazione, anche di natura telematica), 600-ter e 600-quater C.P.
(pornografia minorile e detenzione di materiale pornografico prodotto mediante lo
sfruttamento sessuale di minorenni).
La novella comunitaria, invece, “copre” tutti i casi di “attacchi informatici” e,
pertanto, prescinde dalle limitazioni oggettive appena evidenziate: ipotesi quali la
“rivelazione del contenuto di documenti segreti” contenuti su supporto informatico (Art.
621, comma 2°, C.P.) “la rivelazione di segreti scientifici o industriali” appresi
nell’ambito di comunicazioni informatiche o telematiche (combinato disposto degli Artt.
623 e 623-bis C.P.), piuttosto che atti di “fraudolento rialzo e ribasso dei prezzi” (Art.
501 C.P.), di “aggiotaggio bancario” (Art. 138 D.L.vo n. 385/1993), di “sabotaggio di
altrui apparecchi o strumenti destinati alla produzione agricola o industriale“ (connotati
dal consistere in beni ricadenti nella nozione di sistemi informatici o telematici) cadranno
in futuro sotto la “mannaia” penale. Né, per invocare l’impunità, si potrà addurre il mero
rilievo civilistico dell’occorso.
Bisognerà perciò che le aziende e le persone giuridiche tutte sappiano
farvi fronte, attivando efficaci piani di sicurezza e sistematici monitoraggi delle
reti e dei comportamenti in seno all’azienda.
I procedimenti penali occasionati dalla detenzione, in server aziendali, di materiale
di natura pedopornografica, ad esempio, hanno oggi giorno un’incidenza che può
considerarsi degna di attenzione. Vieppiù frequenti però sono destinati a divenire i
processi per carenza di sorveglianza sui computer aziendali, da cui siano
scaturiti condotte che abbiano leso, od anche solo minacciato di pregiudicare,
l’integrità dei sistemi informatici di altre imprese o dei dati in essi riposti o
transitati.
Del resto, resta da vedere se le aziende potranno venire chiamate a rispondere ai
sensi dell’Art. 8 della Decisione Quadro anche nel caso di autore del reato non
identificato, come già avviene in forza dell’Art. 8 D.L.vo n. 231/01: verrà stabilita anche
in Italia questa forma di responsabilità oggettiva?! In ogni caso, ad evitare censure
penali, anche solo per aver omesso il doveroso controllo su coloro che, in qualche
misura subordinati, hanno consapevolmente posto in essere atti d’illegittimo accesso ai
sistemi o d’indebita interferenza agli stessi od ai dati informatici ivi contenuti, poi
riverberatisi a beneficio dell’ente stesso, occorre che ci si ponga in un’ottica di
scrupoloso rispetto della sicurezza e della legalità.
Il riferimento ad un valido modello organizzativo e gestionale quale quello già
imposto dal D.L.vo n. 231/2001 per taluni reati e l’adozione di sicure procedure in
materia di sicurezza, dunque, possono costituire un valido ausilio, forse l’unico baluardo
invocabile in un processo di tale specie. Ciò che andrà incessantemente svolta è una
lecita attività di direzione e di vigilanza, puntuale e penetrante[10] sì da rendere l’azienda
scevra dall’odiosa responsabilità di carattere omissivo voluta dal legislatore comunitario.
Avv. Salvatore Frattallone
Foro di Padova
____________________
[1] La Decisione Quadro n. 2005/222/GAI del Consiglio dell’U.E. é reperibile nel sito ufficiale dell’Unione
Europea, al link http://europa.eu.int/eurlex/lex/lexuriserv/lexuriserv.do?uri=celex:32005f0222:it:html
[2] Sul tema dell’allargamento del paesi dell’Unione Europea, si ricordi che, dal maggio 2004, dieci
sono gli nuovi Stati membri (Cipro, Estonia, Lettonia, Lituania, Malta, Polonia, Repubblica Ceca, Slovacchia,
Slovenia, Ungheria) e ben quattro sono i Paesi candidati all'adesione (Bulgaria, Croazia, Romania, Turchia).
[3] In merito alla “Società dell’Informazione”, vedasi il Piano d'Azione Globale intitolato eEurope,
inteso a sviluppare tutte le possibilità offerte dalle nuove tecnologie e rendere più sicure le reti informatiche:
con Comunicazione 08.12.1999, resa in vista del Consiglio Europeo straordinario di Lisbona del 23/24.03.2000,
si è promossa un'iniziativa politica comunitaria intesa a garantire che l'Unione Europea approfitti dei
cambiamenti che suscita la cultura digitale, adottando numerose misure volte a promuovere la liberalizzazione
delle telecomunicazioni, l'istituzione di un quadro giuridico chiaro per il commercio elettronico e il sostegno alle
industrie e al settore della ricerca e sviluppo, in linea con la rapidità d'evoluzione di tecnologie e mercati.
[4] è sancito, difatti, nella Parte 1a (Principi) del Trattato istitutivo della Comunità Europea (Roma,
25.03.1957), all’Art. 5: “1. La Comunità agisce nei limiti delle competenze che le sono conferite e degli
obiettivi che le sono assegnati dal presente trattato. 2. Nei settori che non sono di sua esclusiva competenza la
Comunità interviene, secondo il principio della sussidiarietà, soltanto se e nella misura in cui gli obiettivi
dell'azione prevista non possono essere sufficientemente realizzati dagli Stati membri e possono dunque, a
motivo delle dimensioni o degli effetti dell'azione in questione, essere realizzati meglio a livello comunitario. 3.
L'azione della Comunità non va al di là di quanto necessario per il raggiungimento degli obiettivi del presente
trattato”.
[5] Meritano qui menzione le fattispecie di cui agli Artt. 392, comma 3°, C.P. (violenza sulle cose
mediante alterazione, modifica o cancellazione in tutto o in parte d’un programma informatico od impedimento
o turbamento d’un sistema informatico o telematico), 420 C.P. (attentato, attuato con danneggiamento o
distruzione di sistemi informatici o telematici o dei dati, informazioni o programmi in esso contenuti o ad esso
pertinenti), 491-bis C.P. (mendacio su documenti, pubblici o privati, di carattere informatico), 615-quater C.P.
(detenzione e diffusione abusiva di codici d’accesso a sistemi informatici o telematici), 615-quinquies C.P.
(diffusione di programmi informatici aventi per scopo o per effetto il danneggiamento di un sistema informatico
o telematico o dei dati o dei programmi in esso contenuti o ad esso pertinenti, o l’interruzione totale o parziale
o l’alterazione del suo funzionamento), 616 C.P. (violazione, sottrazione e soppressione di corrispondenza,
anche informatica o telematica o con ogni altra forma di comunicazione a distanza), 617-
quater/quinquies/sexies C.P. (rispettivamente: intercettazione, impedimento o interruzione illecita di
comunicazioni informatiche o telematiche; installazione delle apparecchiature atte a tali scopi; falsificazione,
alterazione o soppressione del contenuto di comunicazioni informatiche o telematiche), 635-bis C.P.
(danneggiamento di sistemi informatici o telematici), 640-ter C.P. (frode informatica).
[6] La Proposta di decisione-quadro del Consiglio relativa agli attacchi contro i sistemi di informazione
è stata pubblicata in Gazzetta Ufficiale C203E del 27.08.2002.
[7] La Risoluzione del Consiglio del 18.02.2003 è stata pubblicata in G.U.C.E. n. C48/2 del 28.02.2003.
[8] Organised crime: Council of Europe Convention on Cyber Crime, Official Journal L142 of
05.06.1999: la Convenzione di Budapest è stata aperta alla firma degli Stati nel novembre 2001.
[9] Recita l’Art. 6 del D.L.vo n. 231/2001: “Art. 6 (Soggetti in posizione apicale e modelli di
organizzazione dell'ente). 1. Se il reato è stato commesso dalle persone indicate nell'articolo 5, comma 1,
lettera a), l'ente non risponde se prova che: a) l'organo dirigente ha adottato ed efficacemente attuato, prima
della commissione del fatto, modelli di organizzazione e di gestione idonei a prevenire reati della specie di
quello verificatosi; b) il compito di vigilare sul funzionamento e l'osservanza dei modelli di curare il loro
aggiornamento è stato affidato a un organismo dell'ente dotato di autonomi poteri di iniziativa e di controllo;
c) le persone hanno commesso il reato eludendo fraudolentemente i modelli di organizzazione e di gestione; d)
non vi è stata omessa o insufficiente vigilanza da parte dell'organismo di cui alla lettera b). 2. In relazione
all'estensione dei poteri delegati e al rischio di commissione dei reati, i modelli di cui alla lettera a), del comma
1, devono rispondere alle seguenti esigenze: a) individuare le attività nel cui ambito possono essere commessi
reati; b) prevedere specifici protocolli diretti a programmare la formazione e l'attuazione delle decisioni
dell'ente in relazione ai reati da prevenire; c) individuare modalità di gestione delle risorse finanziarie idonee
ad impedire la commissione dei reati; d) prevedere obblighi di informazione nei confronti dell'organismo
deputato a vigilare sul funzionamento e l'osservanza dei modelli; e) introdurre un sistema disciplinare idoneo a
sanzionare il mancato rispetto delle misure indicate nel modello. 3. I modelli di organizzazione e di gestione
possono essere adottati, garantendo le esigenze di cui al comma 2, sulla base di codici di comportamento
redatti dalle associazioni rappresentative degli enti, comunicati al Ministero della giustizia che, di concerto con i
Ministeri competenti, può formulare, entro trenta giorni, osservazioni sulla idoneità dei modelli a prevenire i
reati. 4. Negli enti di piccole dimensioni i compiti indicati nella lettera b), del comma 1, possono essere svolti
direttamente dall'organo dirigente. 5. E' comunque disposta la confisca del profitto che l'ente ha tratto dal
reato, anche nella forma per equivalente”.
[10] Come previsto dal D.L.vo n. 231/2001, in caso di contestazioni in sede penale, graverà sulla
socìetas l’onere di dimostrare la propria estraneità, provando che v’erano in atto tutta una serie di requisiti
concorrenti, in primo luogo, appunto, l’adozione di un modello di controllo e di gestione, e la sua efficace
attuazione, anteriormente alla commissione del fatto-reato per cui si procede.