Il governo italiano sta discutendo la possibilità di inasprire fortemente le pene previste dall’ordinamento per i reati informatici. In questi giorni, infatti, è in discussione il DDL cyber security con il quale sono previsti significativi aumenti delle pene edittali per tutta una serie di reati, oltre all’introduzione di nuove figure di reato, aggravanti specifiche ed altre misure che vanno nella direzione di una forte repressione dei crimini commessi attraverso l’utilizzo di mezzi informatici.
Cosa prevede il DDL Cybersecurity
La pena per chi da pubblico ufficiale, da incaricato di pubblico servizio, da colui che esercita abusivamente la professione di investigatore privato o da chi esercita abuso della propria qualità di operatore del sistema passa dall’attuale range “ 1 – 5 anni di reclusione” alla forbice edittale “2 – 10 anni di reclusione”.
La stessa cornice edittale sarebbe applicata anche a coloro i quali non solo attraverso l’uso di violenza sulle cose ma anche attraverso la minaccia di uso della stessa, ovvero da coloro i quali siano palesemente armati, integrino con le proprie condotte la fattispecie prevista dall’art. 615 ter c.p..
Medesima pena (2 – 10 anni di reclusione) anche per coloro i quali, attraverso l’accesso abusivo a sistema informatico o telematico, non solo causino la distruzione o il danneggiamento del sistema ma anche per chi, effettuando l’accesso abusivo, provochi “la sottrazione, anche mediante riproduzione o trasmissione, o l’inaccessibilità al titolare” del sistema informatico o telematico.
Le pene per le condotte punite dal terzo comma dell’art. 615 ter c.p. passerebbero dall’attuale previsione “da uno a cinque anni e da tre a otto anni” a “da tre a dieci anni e da quattro a dodici anni”.
Inoltre, è prevista l’aggiunta di un secondo periodo al terzo comma dell’art. 615 ter c.p. con il quale si stabilisce che per le condotte punite dal summenzionato comma, laddove sussistano anche le circostanze previste dal numero 3 del secondo comma del medesimo articolo, non possono essere riconosciute la quasi totalità delle circostanze attenuanti in misura prevalente o equivalente alle summenzionate aggravanti, salvo che per le circostanze attenuanti previste dagli artt. 89, 98 e 623 quater c.p. (quest’ultimo di nuova introduzione).
In sostanza, laddove il Giudice dovesse stabilire che una condotta è riconducibile alla fattispecie delittuosa di cui al terzo comma dell’art. 615 ter (accesso abusivo a sistemi informatici o telematici di interesse militare o relativi all’ordine pubblico o alla sicurezza pubblica o alla sanità o alla protezione civile o comunque di interesse pubblico) e dovesse ritenere sussistenti anche le circostanze di cui al secondo comma, numero 3, del medesimo articolo, prima di effettuare qualsiasi diminuzione della pena per il riconoscimento della quasi totalità delle circostanze attenuanti, dovrà prima effettuare gli aumenti di pena indicati dalle aggravanti specifiche sopra indicate.
L’inasprimento delle pene per i reati informatici
Anche in questo caso, il DDL prevede significative modifiche. Innanzitutto, si terrà conto del “vantaggio” e non più del “profitto” ottenuto mediante la commissione del reato di cui all’art. 615 quater c.p. . Dunque, si sgancia la valutazione dell’antigiuridicità dal concetto “economico” del profitto per ancorarlo alla categoria più vasta del vantaggio.
Viene, inoltre, interamente sostituito il secondo comma dell’articolo in parola, prevendendo la pena della reclusione da due a sei anni per pubblici ufficiali, incaricati di pubblico servizio, esercenti abusivi della professione di investigatore privato e per coloro i quali abusino della propria qualità di operatore del sistema che, con le proprie condotte, integrino la fattispecie delittuosa prevista dall’art. 615 quater c.p.
Infine, si prevede l’introduzione di un terzo comma a tale articolo del codice penale con il quale si specifica che è punito con la pena della reclusione da tre a otto anni chi detiene, diffonde o installa abusivamente apparecchiature, codici e altri mezzi per accedere a sistemi informatici o telematici di interesse militare o relativi all’ordine pubblico o alla sicurezza pubblica o alla sanità o alla protezione civile o comunque di interesse pubblico (circostanza di cui all’art. 615 ter, comma 3, primo periodo, c.p.).
Abrogazione dell’art. 615 quinquies e modifica dell’art. 617 bis c.p.
In questo caso, il DDL cybersecurity prevede l’aggiunta di un nuovo comma con il quale si stabilisce la pena della reclusione da due a sei anni per chi viola l’art. 617 bis c.p. e ricopre la posizione di pubblico ufficiale, incaricato di pubblico servizio, esercente abusivo della professione di investigatore privato o operatore del sistema che abusi della propria qualità (circostanza di cui all’art. 615 ter, comma 2, numero 1, c.p.).
Modifica dell’art. 617 quater c.p.
Il DDL prevede la modifica della cornice edittale prevista dal quarto comma dell’art. 617 quater c.p. . Si passa dalla pena della reclusione da tre a otto anni attuale alla pena della reclusione da quattro a dieci anni quando l’intercettazione, l’impedimento o l’interruzione illecita di comunicazioni informatiche o telematiche è commessa in danno di:
- “taluno dei sistemi informatici o telematici indicati nell’art. 615 ter, terzo comma, primo periodo” ( il n. 1 del quarto comma dell’art. 617 quater c.p. è così modificato dal DDL cyber security; l’attuale formulazione si riferisce a sistemi informatici o telematici utilizzati dallo Stato o da altro ente pubblico o da impresa esercente servizi pubblici o di pubblica necessità);
- “in danno di un pubblico ufficiale nell’esercizio o a causa delle sue funzioni o da un pubblico ufficiale o da un incaricato di pubblico servizio, con abuso dei poteri o con la violazione dei doveri inerenti alla funzione o al servizio o da chi esercita anche abusivamente la professione di investigatore privato, o con abuso della qualità di operatore del sistema” (in grassetto le modifiche introdotte dal DDL cybersecurity).
Infine, così come previsto con la modifica dell’art. 615 ter c.p., anche per l’art. 627 quater c.p. è prevista l’introduzione di un altro comma con il quale viene introdotto il divieto di concessione di circostanze attenuanti (ad esclusione di quelle previste dagli artt. 89, 98 e 623 quater c.p., quest’ultimo di nuova introduzione ma se ne parlerà più avanti) in misura prevalente o equivalente rispetto alle circostanze aggravanti previste dal numero 1 del quarto comma dell’art. 617 quater (così come modificato dal DDL).
Modifica dell’art. 617 quinquies c.p.
Aumenti di pena per la fattispecie di cui al secondo comma dell’art. 617 quinquies c.p. (si passa dalla pena da uno a cinque anni alla pena da due a sei anni) che viene interamente sostituito dal seguente “quando ricorre taluna delle circostanze di cui all’art. 617 quater, quarto comma, numero 2 (così come modificato e indicato sopra, ndr), la pena è della reclusione da due a sei anni”.
Inoltre, è prevista l’introduzione di un terzo comma all’art. 617 quinquies con il quale si stabilisce la pena della reclusione da tre a otto anni qualora ricorra taluna delle circostanze previste dall’art. 617 quater, quarto comma, numero 2, quest’ultimo sempre così come modificato dal DDL nella formulazione indicata sopra.
Infine, anche in questo caso, viene introdotto il divieto di concessione di circostanze attenuanti, diverse da quelle previste dagli artt. 89, 98 e 623 quater c.p., in misura prevalente o equivalente alle circostanze aggravanti prevista dall’art. 617 quater, quarto comma, numero 1, c.p. così come modificato dal DDL cybersecurity.
Modifica dell’art. 617 sexies c.p.
Per ciò che concerne tale fattispecie di reato, il DDL prevede la modifica del secondo comma dell’articolo in questione con l’aumento delle pene previste; si passa dall’attuale cornice edittale 1 – 5 anni al range 3 – 8 anni di reclusione.
Infine, vi è l’introduzione del divieto di concessione delle circostanze attenuanti, diverse da quelle di cui agli artt. 89, 98 e 623 quater c.p., in misura equivalente o prevalente alle circostanze aggravanti di cui all’art. 617 quater, quarto comma, numero 1 (così come modificato dal DDL).
Introduzione dell’art. 623 quater c.p. : circostanza attenuante
Veniamo finalmente all’analisi di questa circostanza attenuante prevista dal DDL cybersecurity. In sostanza il Legislatore, se da un lato ha previsto un cospicuo aumento delle pene per i reati informatici, dall’altro ha previsto forti sconti per chi decide di collaborare con la giustizia. Ed infatti, l’art. 623 quater c.p. prevede che per i reati di cui agli artt. 615 ter, 615 quater, 617 quater, 617 quinquies e 617 sexies, coloro i quali si adopereranno per evitare che l’attività delittuosa sia portata a conseguenze ulteriori, anche aiutando la polizia o l’autorità giudiziaria nella raccolta di elementi di prova o nel recupero dei proventi dei delitti o degli strumenti utilizzati per la commissione degli stessi reati, potranno godere di uno sconto di pena dalla metà a due terzi.
Modifica dell’art. 629 c.p.: introduzione della fattispecie di estorsione mediante reato informatico
Il DDL cybersecurity aggiunge un terzo comma all’art. 629 c.p. con il quale stabilisce che colui il quale commette estorsione mediante la commissione o minaccia di commissione dei reati puniti dagli artt. 615 ter, 617 quater, 617 sexies, 635 bis, 635 quater e 635 quinquies c.p. è punito con la reclusione da sei a dodici anni e, qualora sussistano alcune delle circostanze indicate nell’ultimo capoverso dell’art. 628 c.p., la pena prevista è quella della reclusione da otto a ventidue anni.
Aumento delle pene per le varie fattispecie di danneggiamento informatico o telematico
Il disegno di legge in discussione al Consiglio dei ministri, infine, prevede un aumento delle pene anche per tutte le varie fattispecie di danneggiamento informatico o telematico previste dagli artt. 635 bis c.p. e seguenti. Inoltre, anche in questo caso, prevede l’introduzione di un nuovo articolo (l’art. 635 sexies c.p.) con il quale viene inserita nell’ordinamento la circostanza attenuante, applicabile all’estorsione mediante commissione o minaccia di crimine informatico e alle varie ipotesi di danneggiamento informatico o telematico, con la quale si prevede che la pena è ridotta dalla metà a due terzi per coloro i quali decidono di collaborare con le Autorità.
I problemi della persecuzione dei reati informatici in Italia
Il problema dei reati informatici in Italia è veramente legato alla presunta esiguità delle attuali pene?
Probabilmente no. O, comunque, la presunta esiguità delle pene per i reati informatici rappresenta un aspetto marginale rispetto al problema molto più grande, a parere di chi scrive, legata alla quantità e qualità di mezzi e risorse a disposizione delle Procure per la persecuzione di tale tipologia di reati.
Rappresenta certamente una positiva novità l’attenzione che il Governo sta rivolgendo al settore dei cyber crimes e della cyber security, a maggior ragione in una società in cui l’alfabetizzazione digitale, a fronte dei passi da gigante dell’IA, è ancora a livelli bassissimi. Ma affrontare le sfide che il mondo digitale impone a tutti noi semplicemente con l’arma della repressione, senza peraltro prevedere un’implementazione delle risorse e del know how di chi materialmente dovrà poi occuparsi di perseguire il crimine informatico, è sintomatico di un approccio alla materia volto più a solleticare il ventre giustizialista dell’opinione pubblica piuttosto che orientato alla corretta cognizione dello stato dell’arte, in Italia, rispetto al tema fondamentale della sicurezza informatica.
La domanda, dunque, è: una volta stabilito che i reati informatici verranno puniti molto più severamente, abbiamo i mezzi e le conoscenze idonei a perseguire i cyber criminali?
