Teutas - Diritto & Tecnologia

Disegno di Legge del 27 febbraio 2008, n. 2807 - Ratifica Convenzione di Budapest

Nel corpo del provvedimento legislativo è prevista l’ennesima novella al D. Lgs. 231/01 (oltre che al codice penale e di procedura penale) per adeguare la Convenzione all’ordinamento interno.

Un breve accenno, prima di sintetizzarne il contenuto, merita il percorso con cui si è giunti alla redazione della Convenzione di Budapest per inquadrare l’ambito di intervento di conversione del legislatore nazionale, che ha inteso prevedere una serie di misure normative di diritto penale volte a definire e reprimere i crimini informatici.

I passaggi che seguono sono ripresi dai lavori parlamentari di presentazione del disegno di legge oggi definitivamente approvato.

Precursore nel settore è stato, certamente, il Consiglio d'Europa, con due fondamentali raccomandazioni, la n. R(89)9 sulla criminalità correlata all'elaboratore e la n. R(95)13 sui profili di procedura penale collegati alle tecnologie dell'informazione.

È indubbio infatti che, il sempre più frequente ricorso alle tecnologie informatiche da parte della criminalità organizzata ha convinto i governi nazionali ad attuare una stretta cooperazione giudiziaria a livello internazionale, fondata anche sull'armonizzazione delle normative nazionali. Così la consapevolezza della necessità di una lotta a livello internazionale contro la criminalità informatica è stata alla base della decisione del Consiglio d'Europa di costituire un Comitato di esperti che, in circa quattro anni di lavoro, ha elaborato la Convenzione per la lotta contro la criminalità informatica, aperta alla firma a Budapest il 23 novembre 2001 ed entrata in vigore l’1 luglio 2004.

La Commissione interministeriale incaricata, poi, di redigere il disegno di legge si è informata, nella redazione delle nuove norme, oltre che alle esigenze di tutela indicate nella Convenzione, all'attenta considerazione del rispetto dei diritti umani e del principio di proporzionalità - in conformità alle indicazioni contenute nell'articolo 15 della stessa Convenzione - che costituisce, per i principi garantiti dalla nostra Carta Costituzionale, uno dei parametri fondamentali per l'esercizio della potestà legislativa nella predeterminazione delle pene.

La Convenzione di Budapest sulla criminalità informatica è articolata in quattro capitoli (definizioni, misure da adottare a livello nazionale in tema di diritto sostanziale e processuale, cooperazione internazionale, clausole finali) e prevede un certo numero di misure normative di diritto penale sostanziale che le parti devono adottare a livello nazionale.
Si tratta dell'accesso illegale, intenzionale e senza diritto, a tutto o a parte di un sistema informatico (articolo 2); delle intercettazioni illegali e cioè delle intercettazioni di dati informatici, intenzionali e illecite, effettuate, attraverso mezzi tecnici, durante trasmissioni non pubbliche (articolo 3); dell'attentato all'integrità dei dati (danneggiamento, cancellazione, deterioramento, alterazione e soppressione dei dati informatici) fatto intenzionalmente e senza autorizzazione (articolo 4); dell'attentato all'integrità dei sistemi, concretantesi in un impedimento grave al funzionamento di un sistema informatico, effettuato intenzionalmente e senza diritto mediante il danneggiamento, la cancellazione il deterioramento, l'alterazione e la soppressione dei dati informatici (articolo 5); dell'abuso intenzionale e senza autorizzazione di dispositivi (e cioè la produzione, la vendita, l'ottenimento per l'uso, l'importazione, la diffusione e altra forma di messa a disposizione), compresi i programmi informatici, specialmente concepiti per permettere la commissione dei delitti sopraccitati, nonché di parole chiave (password) o di codici di accesso o di sistemi analoghi che consentano di accedere a tutto o a parte di un sistema informatico (articolo 6).
Questa ultima disposizione reprime anche il semplice possesso di uno dei dispositivi o mezzi sopraccitati, purché sussista l'intenzione di usarlo al fine di commettere uno dei reati più innanzi indicati. Prevede, inoltre, (articolo 7) la repressione delle falsificazioni informatiche, e cioè l'introduzione, l'alterazione, la cancellazione, la soppressione intenzionale e senza diritto di dati informatici non autentici con l'intenzione che essi siano usati ai fini legali come se fossero autentici. È prevista anche la repressione della frode informatica, e cioè il fatto di causare intenzionalmente e senza diritto un pregiudizio patrimoniale ad altri (articolo 8).

È ancora prevista l’infrazione relativa alla produzione, intenzionale e illecita, mediante un sistema informatico, di materiale pornografico minorile, nonché l'offerta o la messa a disposizione, la diffusione o la trasmissione ovvero il procacciamento per sé o altri o il possesso di siffatto materiale (articolo 9).

La Convenzione prevede, poi, l'infrazione legata agli attentati alla proprietà intellettuale e ai delitti commessi deliberatamente a livello commerciale mediante sistemi informatici (articolo 10).

Sono in ultimo previste, ed è qui il punto di maggior interesse per la nostra sintetica analisi, la punibilità del concorso nel reato e la responsabilità (penale, civile o amministrativa) delle persone giuridiche, quando detti reati siano commessi da una persona fisica esercitante poteri direttivi nel loro ambito (articoli 11 e 12). Nella Convenzione è stabilito, inoltre, che le sanzioni da adottare da parte degli Stati devono essere effettive, proporzionate, dissuasive e comprendenti anche pene detentive (articolo 13).
La seconda parte della Convenzione (articoli da 16 a 22) contiene le misure procedurali che riguardano il perseguimento dei reati dianzi citati.

La terza e quarta parte della Convenzione prevedono, infine, le norme di coordinamento in tema di cooperazione internazionale e le clausole finali.

Atteso che l’Italia è stato uno dei primi Paesi europei ad introdurre una legge organica (la legge 23 dicembre 1993, n. 547) in tema di delitti informatici, la portata dell'adeguamento normativo da realizzare, per l'esecuzione della Convenzione, nel settore del diritto penale sostanziale è risultata modesta, essendo, in molti casi, già in vigore una disciplina esaustiva, addirittura più incisiva di quella richiesta dalle disposizioni della Convenzione medesima.

Così non è per la materia della responsabilità delle persone giuridiche. Il continuo aggiornamento dei reati presupposto, fa del D.Lgs. 231/01 una fucina di sempre più attenta forgiatura delle condotte criminose che possono essere imputate alle aziende (attraverso la commissione delle specifiche condotte da parte dei vertici aziendali o dai dipendenti). Oggi, dunque l'introduzione dei su menzionati reati nel decreto legislativo 8 giugno 2001, n. 231, risponde all'esigenza di introdurre forme di responsabilità penale per le persone giuridiche anche con riferimento ai reati informatici più gravi[1].

Al momento della conclusione della fase di promulgazione e pubblicazione della legge (che entrerà in vigore il giorno seguente alla sua pubblicazione nella Gazzetta Ufficiale) le persone giuridiche cui si applica la disciplina di cui al D. Lgs. 231/01 dovranno predisporre preventive ed idonee misure di sicurezza, controllo e dissuasione per prevenire che al loro interno si commettano le suddette tipologie[2] di reati informatici.

[1] Peraltro, pare utile notare – anche a titolo di mero spunto - in considerazione della sopravvenuta inadeguatezza della definizione di documento informatico, inteso come «supporto informatico contenente dati o informazioni aventi efficacia probatoria o programmi destinati ad elaborarli», che la novella ha accolto, anche ai fini penali, la più ampia e corretta nozione di documento informatico, già contenuta nel regolamento di cui al decreto del Presidente della Repubblica 10 novembre 1997, n. 513, come «rappresentazione informatica di atti, fatti o dati giuridicamente rilevanti», abrogando il secondo periodo dell'articolo 491-bis del codice penale.

[2] 1. Dopo l'articolo 25-sexies del decreto legislativo 8 giugno 2001, n. 231, è inserito il seguente:

«Art. 25-septies. - (Attentato ad impianti di pubblica utilità, delitti informatici e trattamento illecito di dati). - 1. In relazione alla commissione dei delitti di cui agli articoli 420, 615-ter, 617-quater, 617-quinquies, 635-bis, 635-ter e 635-quater del codice penale, si applica all'ente la sanzione pecuniaria da cento a cinquecento quote.

2. In relazione alla commissione dei delitti di cui agli articoli 615-quater e 615-quinquies del codice penale, si applica all'ente la sanzione pecuniaria sino a trecento quote.

3. In relazione alla commissione dei delitti di cui agli articoli 491-bis e 640-quinquies del codice penale, salvo quanto previsto dall'articolo 24 per i casi di frode informatica in danno dello Stato o di altro ente pubblico, si applica all'ente la sanzione pecuniaria sino a quattrocento quote.

4. Nei casi di condanna per uno dei delitti indicati nel comma 1 si applicano le sanzioni interdittive previste dall'articolo 9, comma 2, lettere a), b) ed e). Nei casi di condanna per uno dei delitti indicati nel comma 2 si applicano le sanzioni interdittive previste dall'articolo 9, comma 2, lettere b) ed e). Nei casi di condanna per uno dei delitti indicati nel comma 3 si applicano le sanzioni interdittive previste dall'articolo 9, comma 2, lettere c), d) ed e)».

---

Aggiungi questo articolo ai tuoi social bookmarks preferiti