Briozzo & Quattrini

International Lawyers

Diritto penale e sicurezza informatica di Mario Luberto

di · Pubblicato · Aggiornato

foto-mario-luberto

DIRITTO PENALE E SICUREZZA INFORMATICA.

Norme, responsabilità, prospettive.

 Avv. Mario Luberto

 

A partire almeno dagli anni ’90 l’utilizzo dei sistemi informatici ha conosciuto, con ritmi esponenziali, una diffusione che ha coinvolto ambiti sia pubblici, sia privati.  Ad oggi, non sono neppure immaginabili attività istituzionali, imprenditoriali o professionali che non si avvalgano di tecnologie (dal personal computer, al tablet,  allo smartphone) attraverso cui memorizzare e archiviare elettronicamente dati e trasmetterli in rete.  L’ampio accesso agli strumenti informatici ed al Web ha offerto inedite opportunità di esercitare la libertà di comunicazione, la libertà di manifestazione del pensiero, la libera iniziativa economica.

A fronte di enormi vantaggi, è però innegabile che il cambiamento epocale innescato presenti il proprio lato oscuro, costituito dal rischio che i dati (spesso di significativo valore economico e personale) ed i sistemi subiscano incidenti che ne comportino la distruzione o l’indisponibilità o siano oggetto di violazioni volontarie, quali attacchi, accessi abusivi o atti fraudolenti.

Con l’espressione “reati informatici” si designano generalmente attività penalmente illecite commesse attraverso le tecnologie informatiche e telematiche oppure in danno di esse. Nell’ambito della categoria, possono farsi rientrare sia reati informatici in senso stretto, sia reati informatici in senso lato. I primi sono quelli in cui è la stessa norma penale a prevedere il coinvolgimento dei dati o dei sistemi nell’illecito (ad esempio la frode informatica dell’art.640 ter C.P. o il danneggiamento di dati dell’art. 635 bis C.P.). I secondi sono reati “comuni”, che tuttavia ben si prestano ad essere perpetrati con modalità informatiche (ad. esempio, la diffamazione sui social networks, punibile in base al delitto di diffamazione dell’art. 595 C.P.).  I principali interventi di introduzione, nel nostro ordinamento giuridico, di figure di reati informatici in senso stretto sono la legge n°547 del 1993 (“Modificazioni ed integrazioni alle norme del codice penale e del codice di procedura penale in tema di criminalita’ informatica” ) e la legge n°48 del 2008 (“Ratifica ed esecuzione della Convenzione del Consiglio d’Europa sulla criminalità informatica, fatta a Budapest il 23 novembre 2001, e norme di adeguamento dell’ordinamento interno”). Molti altre fonti tuttavia interessano la materia, come la legge contro lo sfruttamento sessuale dei minori e la pedopornografia anche telematica (legge n°269 del 1998 e successive modifiche).

Prima di proseguire, una considerazione di carattere generale. L’idea che a violare dati e sistemi siano soprattutto abili e fantasiosi attaccanti esterni (hackers e crackers) non trova piena corrispondenza nella casistica giurisprudenziale. Infatti, la casistica medesima evidenzia che molto frequentemente attività illecite vengono realizzate da soggetti autorizzati all’uso del sistema (dipendenti o vertici aziendali, funzionari), per finalità che vanno da quella lucrativa a quella di una vendetta per torti, reali o presunti, subiti.  A questo proposito, può essere citata la sentenza delle Sezioni Unite della Cassazione Penale, n°4694 del 17 ottobre 2011[1], di interpretazione del delitto di accesso abusivo a sistema informatico o telematico (art. 615 ter C.P.).  Le Sezioni Unite hanno affermato, in un processo a carico di un insider, il principio secondo  il  quale  integra  la fattispecie criminosa di accesso abusivo ad un sistema informatico o telematico protetto, di cui all’art. 615 ter cod. pen., la condotta di accesso o di mantenimento abusivo nel sistema non solo quando commessa da un estraneo,  ma anche quando effettuata da parte di un soggetto che, pure essendo abilitato all’utilizzo, violi le  prescrizioni  impartite  dal  titolare  del  sistema  per delimitarne oggettivamente l’accesso.

La vulnerabilità dei sistemi ha posto da tempo all’attenzione di studiosi, di esperti e del legislatore il tema della sicurezza informatica, ovvero della protezione delle tecnologie informatiche rispetto ad eventi, accidentali o intenzionali, provenienti dall’interno o dall’esterno, che ne possano compromettere il funzionamento, l’integrità o la riservatezza. L’attuale normativa contempla obblighi, presidiati anche da sanzioni penali, sia di protezione, sia di garanzia di un corretto uso di sistemi informatici e telematici.

Obblighi di garantire con apposite misure organizzative, fisiche e logiche la sicurezza informatica sono collocati del Codice della Privacy (D.lgs n°196 del 2003). In relazione al tema specifico del presente contributo, vengono in rilievo le misure minime di sicurezza per i trattamenti di dati personali effettuati con strumenti elettronici (artt. 33 e 34 e Allegato B: “ Disciplinare tecnico in materia di misure minime di sicurezza” del Codice).  Le misure minime da adottare consistono, tra le altre, in credenziali di autenticazione (come l’user-id e la password), sistemi antivirus e firewall, esecuzione di copie di back up dei dati, procedure per il recupero dei dati in caso di eventi dannosi (disaster recovery). L’omessa adozione delle misure minime è punita dal reato contravvenzionale dell’art. 169 D.lgs. 196/03:  “Chiunque, essendovi tenuto, omette di adottare le misure minime previste dall’articolo 33 è punito con l’arresto sino a due anni” (1°comma). Il reato è oblazionabile, secondo il procedimento del 2° comma dello stesso articolo. Peraltro, unitamente alla sanzione penale dell’art. 169, l’art. 162, comma 2 bis, del Codice Privacy prevede l’applicazione di pesanti sanzioni amministrative. Inoltre, il titolare del trattamento dei dati personali sarà comunque tenuto al risarcimento dei danni patrimoniali e non patrimoniali cagionati (art. 15 del Codice).

Il rapporto tra sicurezza informatica e diritto alla Privacy è, ovviamente, affrontato anche dal Regolamento Europeo sul trattamento di dati personali (Regolamento UE 2016/679 del Parlamento Europeo e del Consiglio del 27 aprile 2016), che sarà direttamente applicabile in tutti gli Stati membri dal 25 maggio 2018. Si può anzi affermare che il tema permea l’intero regolamento. Una delle disposizioni più specifiche è rappresentata dall’art. 32 (“Sicurezza del trattamento”) che prescrive l’adozione, in base ad una valutazione dei rischi del trattamento, di misure di sicurezza adeguate, come, ad esempio, la cifratura dei dati e misure di tempestivo ripristino della disponibilità e dell’accesso ai dati in caso di incidente fisico o tecnico.

Da evidenziare che Il Regolamento Europeo si caratterizza per un inasprimento molto significativo delle sanzioni. L’art. 83 (“Condizioni generali per infliggere sanzioni amministrative pecuniarie”) commina, anche per la violazione degli obblighi sulla sicurezza informatica del trattamento, sanzioni amministrative pecuniarie fino a 10 milioni di Euro o, per le imprese, fino al 2 % del fatturato mondiale totale annuo dell’esercizio precedente, se superiore.  E’ per, di più, fatta salva la possibilità per gli Stati membri di stabilire anche sanzioni penali (Considerando n° 149 del Regolamento).

A fronte di tutte queste possibili conseguenze (secondo il diritto vigente ed il Regolamento Ue Privacy), dovrebbe delinearsi come sempre più improbabile l’eventualità di una sottovalutazione del rischio da “insicurezza informatica” da parte di aziende e professionisti.

A completare idealmente il quadro, accanto al Codice della Privacy si pone il Decreto Legislativo n°231 del 2001 (“Disciplina della responsabilità amministrativa delle persone giuridiche, delle società e delle associazioni anche prive di personalità giuridica, a norma dell’articolo 11 della legge 29 settembre 2000, n. 300″) sulla responsabilità di persone giuridiche ed enti per fatti di reato. Mentre il Codice della Privacy traccia obblighi di protezione dei dati personali trattati con strumenti elettronici, il Decreto legislativo pone a carico dell’ente l’onere di impedire che, a mezzo dei propri sistemi informatici, vengano consumati reati.

La responsabilità ex D.lgs. n°231 è formalmente amministrativa, ma sostanzialmente assai più simile ad una responsabilità di natura penale: tra l’altro, è accertata da un Magistrato penale, nell’ambito di un procedimento instaurato in dipendenza della verificazione di un reato. Gli elementi che costituiscono questo tipo di responsabilità sono noti: deve essere commesso, da un dipendente o da un soggetto in posizione apicale, uno dei “reati- presupposto” tassativamente elencati nel Decreto; deve configurarsi un interesse o vantaggio dell’ente; deve ravvisarsi la “colpa organizzativa” dell’ente (la mancata attuazione di efficaci modelli di organizzazione e prevenzione dei reati-presupposto).

Tra i reati-presupposto, che devono essere prevenuti attraverso i modelli organizzativi, sono inclusi dal Decreto Legislativo n°231 numerosi reati informatici in senso stretto. Si tratta dei reati menzionati nell’art. 24 D.lvo n°231 (frode informatica commessa in danno dello Stato o di altro ente pubblico), nell’art. 24-bis (Delitti informatici e trattamento illecito di dati), nell’art. 25 quater (reati di terrorismo, anche con strumenti telematici), nell’art. 25-quinquies (pedopornografia on line e pedopornografia virtuale), nell’art. 25 novies (delitti in materia di diritto d’autore).

In conclusione a queste brevi riflessioni, non resta che considerare come le principali fonti da cui scaturiscono obblighi di sicurezza informatica, il Codice della Privacy e il Decreto sulla responsabilità di persone giuridiche ed enti, debbono in qualche misura compenetrarsi[2]. Infatti, anche se il Decreto Legislativo n°231 non contempla tra i reati-presupposto gli illeciti penali di cui agli art.167-171 del Codice della privacy, i modelli organizzativi e preventivi dei reati informatici non potranno, per essere efficaci, non integrarsi con i documenti, le misure di sicurezza, le policy aziendali in materia di protezione dei dati personali. La protezione della privacy “informatica”, in altri termini, costituisce (anche) uno strumento per prevenire utilizzi illeciti dei sistemi dell’ente (grazie, ad esempio, alle procedure di autenticazione informatica per l’accesso).

[1] Reperibile sul sito www.penalecontemporaneo.it .

[2] Cfr. sul punto Pambianco, C. 2016. IL NUOVO REGOLAMENTO PRIVACY E PUNTI DI INTEGRAZIONE CON IL MODELLO 231. In La Responsabilità amministrativa delle società e degli enti, n°3, pp.201-215.

cv dell’Avv. Mario Luberto

______________________________________________________________________

 

 

Titoli di studio e professionali

 

  • Dal 2004 ha ricevuto incarichi a contratto come Docente di Diritto penale dell’Informatica.
  • 22/4/1998- Dottorato di Ricerca in Filosofia del Diritto. Sede amministrativa: Università degli Studi di Padova.
  • 10/11/1997- Abilitazione all’esercizio della professione di Avvocato, conseguita presso la Corte di Appello di Bologna. Ha esercitato la professione forense.
  • 1994- Laurea in Giurisprudenza presso l’Università di Modena. Voto:110 e lode.
  • 1986- Diploma di Liceo Ginnasio Statale (voto 52/60)

 

Esperienze accademiche e professionali

2016:

Docente di Diritto Penale dell’Informatica nel Master di I° livello dell’Università della Repubblica di San Marino in Criminologia e Psichiatria Forense;

Marzo: Ha tenuto un corso di formazione dal titolo “I reati informatici”, per docenti e personale amministrativo dell’Istituto di Istruzione Superiore “F. Corni” Liceo e Tecnico di Modena.

18 aprile: ha svolto la relazione dal titolo “Le insidie della rete: il furto di identità digitale” nell’ambito dell’insegnamento di Sociologia del diritto ed elementi di Informatica giuridica dell’Università di Modena e Reggio Emilia.

4 giugno: ha svolto la relazione dal titolo “I crimini informatici. Fonti europee e legislazioni nazionali” al Convegno “DIGITAL INNOVATION. San Marino oltre la nuova frontiera digitale”, tenutosi a San Marino ed organizzato dall’Associazione Professionisti per l’Innovazione Digitale (P.I.D.).

 

2015:

Docente di Diritto Penale dell’Informatica nel Master di I° livello dell’Università della Repubblica di San Marino in Criminologia e Psichiatria Forense;

Docente di Diritto Penale dell’Informatica nel Master in “Digital Forensics” del Centro di Ricerca Interdipartimentale sulla Sicurezza e la Prevenzione dei Rischi dell’Università di Modena e Reggio Emilia (C.R.I.S.) e della Scuola di Telecomunicazioni delle Forze Armate di Chiavari.

14-15 gennaio: relatore nell’ambito del progetto interdisciplinare “#6 connesso? Rete e nuova cittadinanza-educazione all’uso consapevole dei social net”, organizzato dal Dipartimento di Scienze Umane Dell’Università di San Marino.

23 aprile: ha tenuto la relazione dal titolo “Le frodi informatiche”, nell’ambito dell’Insegnamento di Sociologia del diritto ed elementi di informatica giuridica del Corso di Laurea in Scienze Giuridiche dell’Impresa, presso il DIPARTIMENTO DI SCIENZE GIURIDICHE dell’ UNIVERSITA’ DEGLI STUDI DI MODENA E REGGIO EMILIA

17 ottobre: relatore e responsabile scientifico del Convegno “Diritto Penale e Sicurezza Informatica”, svoltosi a San Marino presso il Dipartimento di Economia, Scienze e Diritto dell’Università degli Studi della Repubblica di San Marino.

29 ottobre: relatore al Convegno: “Come proteggere al meglio la vostra azienda dai nuovi tipi di attacchi informatici”, svoltosi a Modena presso la sede di Confindustria.

 

2014:

Docente di Diritto Penale dell’Informatica nel Master di I° livello dell’Università della Repubblica di San Marino in Criminologia e Psichiatria Forense;

Docente di Diritto Penale dell’Informatica nel Master in “Digital Forensics” del Centro di Ricerca Interdipartimentale sulla Sicurezza e la Prevenzione dei Rischi dell’Università di Modena e Reggio Emilia (C.R.I.S.) e della Scuola di Telecomunicazioni delle Forze Armate di Chiavari.

8/3/14: svolgimento di lezione dal titolo “Il cyberstalking” per l’Associazione per la Formazione e Aggiornamento Professionale (A.F.A.P.). La lezione è stata resa disponibile a pagamento sul sito www.afap-formazione.net . La lezione è stata accreditata dal Consiglio Nazionale Forense.

20/3/14: svolgimento di lezione dal titolo “ La frode informatica aggravata dal furto di identità digitale” per l’Associazione per la Formazione e Aggiornamento Professionale (A.F.A.P.). La lezione è stata resa disponibile a pagamento sul sito www.afap-formazione.net . La lezione è stata accreditata dal Consiglio Nazionale Forense.

 

2013:

Docente di diritto penale dell’informatica nel Master di II livello in “Sicurezza Informatica e Disciplina Giuridica” dell’Università degli Studi di Modena e Reggio Emilia.

Docente di Diritto Penale dell’Informatica nel Master di I° livello dell’Università della Repubblica di San Marino in Criminologia e Psichiatria Forense;

7/5/13: ha tenuto la relazione “L’intercettazione di flussi telematici nel Codice di Procedura Penale”, nell’ambito del corso di formazione ed aggiornamento professionale dell’Università della Repubblica San Marino dal titolo “La Criminalità Organizzata”, presso la Sala Conferenze “Emanuele Petri” della Questura di Bologna.

18/6/13: ha svolto la lezione “I reati in materia di software” per l’Associazione per la Formazione e Aggiornamento Professionale (A.F.A.P.), con sede in Ferrara, C.so Giovecca n°134. La lezione è stata resa disponibile a pagamento sul sito www.afap-formazione.net ed è stata accreditata dal Consiglio Nazionale Forense.

24/10/13: ha tenuto il seminario dal titolo “Il delitto di cyberstalking” presso la Fondazione Scuola Interregionale di Polizia Locale, con sede in Modena.

 

2012.

Docente  di Diritto Penale dell’Informatica nel Master di I° livello dell’Università San Marino in Criminologia e Psichiatria Forense

Docente di Diritto Penale dell’Informatica nel Master di II° livello dell’Università di Modena e Reggio Emilia in Sicurezza dei Sistemi Informatici

Collaboratore Fondazione Scuola Interregionale di Polizia Locale, con sede in Modena, Via Busani, 14, per la quale ha tenuto due interventi dal titolo “Seminario sulla sicurezza informatica” a Genova il 22/10/12 ed a Firenze il 23/11/12.

9/11/12-10/11/12: Responsabile scientifico e relatore del Convegno “La criminalità informatica” tenutosi a San Marino ed organizzato dal Centro Universitario per la Formazione sulla Sicurezza (CUFS) dell’Università degli Studi della Repubblica di San Marino.

13/11/12: ha tenuto la relazione “I reati informatici tra fonti europee e ordinamento giuridico italiano”, nell’ambito del corso di formazione ed aggiornamento professionale dell’Università della Repubblica di San Marino “La Dimensione Transnazionale della Sicurezza nella Società Contemporanea. Aspetti Geopolitici, Giuridici e Tecnico Operativi”, presso la Sala Conferenze “Emanuele Petri” della Questura di Bologna.

 

2011

Docente di Diritto Penale dell’Informatica nel Master di II° livello dell’Università di Modena e Reggio Emilia in Sicurezza dei Sistemi Informatici.

 Docente di Diritto Penale dell’Informatica nel Master di I° livello dell’Università della Repubblica di San Marino in Criminologia e Psichiatria Forense

18/2/11-19/2/11: Responsabile scientifico e relatore del Convegno “La criminalità informatica” tenutosi a San Marino ed organizzato dal Centro Universitario per la Formazione sulla Sicurezza (CUFS) dell’Università degli Studi della Repubblica di San Marino.

Avvocato, con svolgimento di attività giudiziale e di attività di consulenza stragiudiziale

 

2010.

Docente di Diritto Penale dell’Informatica nel Master di II° livello dell’Università di Modena e Reggio Emilia in Sicurezza dei Sistemi Informatici.

 Docente di Diritto Penale dell’Informatica nel Master di I° livello dell’Università della Repubblica di San Marino in Criminologia e Psichiatria Forense

Avvocato, con svolgimento di attività giudiziale e di attività di consulenza stragiudiziale

 

2009.

Docente di Diritto Penale dell’Informatica nel Master di I° livello dell’Università della Repubblica di San Marino in Criminologia e Psichiatria Forense

Avvocato, con svolgimento di attività giudiziale e di attività di consulenza stragiudiziale

 

2008.

Docente di Diritto Penale dell’Informatica nel Master di I° livello dell’Università della Repubblica di San Marino in Criminologia e Psichiatria Forense

Avvocato, con svolgimento di attività giudiziale e di attività di consulenza stragiudiziale

 

2007.

Docente  di Diritto Penale dell’Informatica nel Master di I° livello dell’Università della Repubblica di San Marino in Criminologia e Psichiatria Forense

Avvocato, con svolgimento di attività giudiziale e di attività di consulenza stragiudiziale.

 

2006.

Docente di Diritto Penale dell’Informatica nel Master di II° livello dell’Università di Modena e Reggio Emilia in Sicurezza dei Sistemi Informatici.

Docente di Diritto Penale dell’Informatica nel Master di I° livello dell’Università della Repubblica di San Marino in Criminologia e Psichiatria Forense

Avvocato, con svolgimento di attività giudiziale e di attività di consulenza stragiudiziale.

 

2005.

Docente di Diritto Penale dell’Informatica nel Master di II° livello dell’Università di Modena e Reggio Emilia in Sicurezza dei Sistemi Informatici.

 Avvocato, con svolgimento di attività giudiziale e di attività di consulenza stragiudiziale

 

2004.

Docente di Diritto Penale dell’Informatica nel Master di II° livello dell’Università di Modena e Reggio Emilia in Sicurezza dei Sistemi Informatici.

Avvocato, con svolgimento di attività giudiziale e di attività di consulenza stragiudiziale

 

1999-2003.

Avvocato, con svolgimento di attività giudiziale e di attività di consulenza stragiudiziale.

 

 

 

1998.

Conseguimento del Dottorato di Ricerca in Filosofia del Diritto.

 

1997.

Conseguimento dell’abilitazione all’esercizio della professione di Avvocato.

 

 

Lingue.

Italiano, Inglese (livello buono). Possesso del diploma di First Certificate.

10-21 agosto 2009: frequenza del Corso di Inglese Giuridico per Avvocati (“English for Law”) organizzato dall’Università del Galles- Bangor in collaborazione col Consiglio dell’Ordine degli Avvocati di Salerno.

2015: frequenza del corso di lingua inglese, livello B1/B2, presso il Centro di Lingue “BRITISH” di Modena.

 

Pubblicazioni.

I-Monografie.

I.1.2014. IL DIRITTO PENALE DELL’INFORMATICA. Temi di parte generale e di parte speciale. Collana Studi e Ricerche del Dipartimento di Economia, Scienze e Diritto dell’Università degli Studi della Repubblica di San Marino. La Pieve Poligrafica Villa Verucchio  s.r.l..

II-Articoli.

 

II.6.2008. (con G. Zanetti) Il diritto penale dell’era digitale. Caratteri, concetti e metafore. In L’ indice penale, 2, pp. 497-510.

 

II.5.2008. I reati informatici contro il diritto alla privacy. In Giurisprudenza di merito, 3, pp. 898-915.

 

II.4.2003. L’idea di Rivoluzione in Vincenzo Cuoco. In Il Pensiero Mazziniano, 3, pp.75-87.

 

II.3.2001. La crisi della concezione giuspositivistica delle fonti del diritto e le nuove metanorme sulla produzione. In (Artosi, A.; Bongiovanni, G.; Vida, S., curatori) 2001. Problemi della produzione e dell’attuazione normativa, vol. II, pp.135-186. Gedit: Bologna.

 

II.2.2000. Il negozio giuridico come fonte del diritto: alcune osservazioni sulla crisi della legge. In Sociologia del diritto, 2, pp.89-118.

 

Etichette: