La Camera approva la ratifica della convenzione del Consiglio d’Europa sulla criminalità informatica

Il 20 febbraio 2008 la Camera dei Deputati ha  approvato il disegno di legge di ratifica ed esecuzione della Convenzione del Consiglio d’Europa sulla criminalità informatica, convenzione redatta a Budapest il 23 novembre 2001. Il provvedimento passa ora all’esame del Senato per la ratifica definitiva. Numerose le novità tra cui:

  1. estensione della responsabilità amministrativa delle persone giuridiche (le aziende) come prevista dal decreto legislativo 231/2001 ai reati informatici; in poche parole le aziende dovranno predisporre preventive ed idonee misure di sicurezza e di controllo per prevenire che al loro interno si commettano reati informatici;
  2. data retention: gli operatori sono già tenuti (decreto Pisanu) alla conservazione di tutti i dati di traffico telefonico e telematico; il disegno di legge introduce la possibilità , nei casi di urgenza, che le forze dell'ordine possano ottenere "senza ritardo" tutti i dati raccolti dagli operatori; gli operatori devono mantenere il segreto relativamente all'ordine ricevuto;
  3. nuova formulazione dell'articolo 615-quinquies del Codice Penale; l'articolo, che riguarda l'utilizzo di strumenti di hacking, cracking, penetration testing ed affini, viene modificato così che il reato scatti non solo per il mero scopo di profitto ma esclusivamente in caso di altrui danno e con l'ipotesi di intenzione al danneggiamento (qui un commento di Daniele Minotti su tale modifica); in poche parole: chi si occupa di sicurezza informatica per lavoro o per diletto può usare tali tool (anche a scopo di guadagno) purché non causi danni intenzionali.

Di seguito una breve guida alla Convenzione di Budapest ed al disegno di legge italiano di ratifica.

Breve guida alla Convenzione di Budapest ed al disegno di legge italiano di ratifica

(Scritto utilizzando in gran parte il relativo materiale della Camera dei Deputati)

Cos'è la Convenzione di Budapest sulla criminalità informatica?

La Convenzione di Budapest sulla criminalità informatica prevede una serie di misure normative di diritto penale volte a definire e reprimere i crimini informatici. Tra queste: accesso illegale ad un sistema informatico, intercettazioni illegali di dati informatici, attentato all'integrità dei dati (danneggiamento, cancellazione, deterioramento, alterazione e soppressione dei dati informatici), attentato all'integrità dei sistemi, cancellazione, deterioramento, alterazione, soppressione dei dati informatici , l'abuso intenzionale e senza autorizzazione di dispositivi e programmi informatici di hacking o cracking.

La situazione normativa in Italia (alla data del 24 febbraio 2008)

L'Italia è stato uno dei primi paesi europei ad introdurre una legge organica, la legge 23 dicembre 1993, n. 547, in tema di delitti informatici. Successivamente a questa sono entrate in vigore altre leggi, relative a specifici settori, volte a reprimere i comportamenti illeciti di pirateria informatica (legge 18 agosto 2000, n. 248 "Nuove norme di tutela del diritto d'autore"), a garantire la protezione dei dati personali (legge 31 dicembre 1996, n. 675  e il successivo decreto legislativo 30 giugno 2003, n. 196, meglio noto come "Codice in materia di protezione dei dati personali"), a contrastare la detenzione, lo scambio e il commercio di materiale pedopornografico in rete (legge 3 agosto 1998, n. 269)

Le novità del progetto di legge

Il testo approvato dalla Camera ha provveduto all'integrazione o modifica di alcune disposizioni del codice penale.

  • È stato modificato il testo dell'articolo 635-bis del codice penale, introducendo, contestualmente, gli articoli 635-ter e 635-quater. Ciò risponde sia ad un'esigenza di simmetria rispetto alla sistematica della Convenzione, che distingue nettamente il danneggiamento dell'integrità dei dati dal danneggiamento dell'integrità del sistema e disciplina le due ipotesi in distinti articoli (4 e 5), sia all'opportunità di introdurre una disciplina penale differenziata a seconda che l'oggetto della tutela (informazioni, dati e programmi informatici) abbia, o meno, rilevanza a fini pubblicistici.
  • Si conferma per i reati di falso l'impostazione del 1993 che, attraverso l'equiparazione del documento informatico agli atti pubblici e alle scritture private, aveva permesso di estendere le tradizionali ipotesi di reato ai casi in cui ne fosse oggetto un documento informatico.
  • In considerazione della sopravvenuta inadeguatezza della definizione di documento informatico, inteso come «supporto informatico contenente dati o informazioni aventi efficacia probatoria o programmi destinati ad elaborarli», si è deciso di accogliere, anche ai fini penali, la più ampia e corretta nozione di documento informatico, già contenuta nel regolamento di cui al decreto del Presidente della Repubblica 10 novembre 1997, n. 513, come «rappresentazione informatica di atti, fatti o dati giuridicamente rilevanti», abrogando il secondo periodo dell'articolo 491-bis del codice penale; analogamente si è introdotto l'articolo 495-bis del codice penale, volto a sanzionare penalmente chi renda al certificatore false dichiarazioni o attestazioni, concernenti l'identità o lo stato o altre qualità della propria o dell'altrui persona.
  • Il disegno di legge introduce inoltre una nuova figura di truffa che ha come soggetto attivo il certificatore di firma elettronica il quale, violando gli obblighi previsti all'articolo 32 del codice dell'amministrazione digitale, di cui al decreto legislativo 7 marzo 2005, n. 82, procuri a sé o ad altri un ingiusto profitto con altrui danno. La disposizione è apparsa necessaria in quanto, sebbene l'articolo 640-ter del codice penale incrimini già la frode informatica, per la ricorrenza di questo specifico reato appaiono necessarie condotte di alterazione del funzionamento di un sistema informatico ovvero di intervento senza diritto su dati, informazioni o programmi, che potrebbero non ricorrere nel caso dell'attività di certificazione. Peraltro, la nuova incriminazione appare incentrata non solo sulla semplice violazione degli obblighi del certificatore qualificato e accreditato [già sanzionata civilmente dalla lettera d) del comma 1 dell'articolo 30 del citato codice dell'amministrazione digitale], ma anche sulla effettiva ricorrenza di un ingiusto profitto con altrui danno.
  • Vi è un ampliamento, ai fini penali, della nozione di pornografia infantile e dalla ricomprensione, nell'ambito della stessa, del materiale pornografico che ritragga o rappresenti persone con sembianze di minori, come soggetti efebici o comunque di aspetto adolescenziale, nonché realistiche immagini virtuali di minori. Secondo la Convenzione, infatti, devono essere penalmente sanzionati anche il possesso, la produzione, la distribuzione e la divulgazione di tali immagini, potendo queste, che pure non rappresentano soggetti reali o comunque minori di età, essere utilizzate per incitare a compiere o a partecipare ad attività vietate dalla legge.
  • È stato modificato l'articolo 615-quinquies del codice penale al fine di adeguare  alle disposizioni della Convenzione il dettato di tale norma: nella nuova formulazione non si parla più di “mero scopo di profitto” ma si cita l'altrui danno e l'ipotesi di intenzione al danneggiamento
  • Infine, l'introduzione dell'articolo 25-septies del decreto legislativo 8 giugno 2001, n. 231, risponde all'esigenza di introdurre forme di responsabilità penale per le persone giuridiche anche con riferimento ai reati informatici più gravi.
  • Sono introdotti i comma 4-ter, 4-quater e 4-quinquies nell'articolo 132 del Codice in materia di protezione dei dati personali che recitano rispettivamente:
    • "4-ter. Il Ministro dell'interno o, su sua delega, i responsabili degli uffici centrali specialistici in materia informatica o telematica della Polizia di Stato, dell'Arma dei carabinieri e del Corpo della guardia di finanza, nonché gli altri soggetti indicati nel comma 1 dell'articolo 226 delle norme di attuazione, di coordinamento e transitorie del codice di procedura penale, di cui al decreto legislativo 28 luglio 1989, n. 271, possono ordinare, anche in relazione alle eventuali richieste avanzate da autorità investigative straniere, ai fornitori e agli operatori di servizi informatici o telematici di conservare e proteggere, secondo le modalità indicate e per un periodo non superiore a novanta giorni, i dati relativi al traffico telematico, esclusi comunque i contenuti delle comunicazioni, ai fini dello svolgimento delle investigazioni preventive di cui al citato articolo 226 del decreto legislativo n. 271 del 1989, ovvero per finalità di accertamento e repressione di specifici reati. Il provvedimento, prorogabile, per motivate esigenze, per una durata complessiva non superiore a sei mesi, può prevedere particolari modalità di custodia dei dati e l'eventuale indisponibilità dei dati stessi da parte dei fornitori e degli operatori di servizi informatici o telematici ovvero di terzi.
    • 4-quater. Il fornitore o l'operatore di servizi informatici o telematici cui è rivolto l'ordine previsto dal comma 4-ter deve ottemperarvi senza ritardo, fornendo immediatamente all'autorità richiedente l'assicurazione dell'adempimento. Il fornitore o l'operatore di servizi informatici o telematici è tenuto a mantenere il segreto relativamente all'ordine ricevuto e alle attività conseguentemente svolte per il periodo indicato dall'autorità. In caso di violazione dell'obbligo si applicano, salvo che il fatto costituisca un più grave reato, le disposizioni dell'articolo 326 del codice penale.
    • 4-quinquies. I provvedimenti adottati ai sensi del comma 4-ter sono comunicati per iscritto, senza ritardo e comunque entro quarantotto ore dalla notifica al destinatario, al pubblico ministero del luogo di esecuzione il quale, se ne ricorrono i presupposti, li convalida. In caso di mancata convalida, i provvedimenti assunti perdono efficaci".

Articoli collegati in questo sito

Ultimi articoli sulla sicurezza:

Link

AG-Vocabolario: