Il danneggiamento dei sistemi informatici

Ogni imprenditore è, per sua stessa natura, costantemente preoccupato del possibile verificarsi di numerosi eventi negativi. Taluni connessi all’attività svolta, altri frutto delle paure che inconsciamente ciascuno reca dentro di sé.

Tra i diversi eventi che potrebbero caratterizzare la vita di un’azienda, tuttavia, due sono certamente temuti da tutti gli imprenditori: una visita della Guardia di Finanza per verifiche fiscali e la perdita di funzionalità del sistema informativo.

Se, nel primo caso, il diritto penale non può correre in aiuto dell’azienda (sarebbe quantomeno singolare pretendere di sanzionare le Forze dell’Ordine nell’espletamento dei loro compiti istituzionali), da qualche anno (dieci, per la precisione), è invece possibile ottenere adeguata tutela nel caso il danneggiamento dei sistemi informatici aziendali o personali dipenda dall’attività di terzi.

Appare superfluo evidenziare che non è tanto la perdita dell’hardware a preoccupare un imprenditore (anche se, nel caso di sistemi complessi, il costo della componentistica può raggiungere diverse decine di migliaia di Euro); né la necessità di reinstallare il software sembra poter sconvolgere la vita dell’amministratore di sistema (anche se potrebbe costargli qualche notte di sonno); piuttosto, il rischio davvero sentito da ciascun soggetto titolare di un sistema informativo, è la perdita dei dati in esso memorizzati.

Per molte aziende e liberi professionisti, qualche centinaio di Megabyte di dati può costituire il frutto di una vita di ricerche e di lavoro.

E’ sufficiente immaginare cosa potrebbe succedere ad uno Studio Commerciale nel caso di perdita dei dati in prossimità delle scadenze relative alle denunce annuali. O quanto potrebbe costare ad una società farmaceutica la cancellazione del disco fisso sul quale sono memorizzate le formule relative ad alcune nuove medicine.

Dalla perdita accidentale dei dati è oggi possibile tutelarsi mediante adozione di opportuni cicli di salvataggio e tecniche di verifica dell’integrità dei medesimi, ma, rispetto al danneggiamento volontario da parte di terzi, non è possibile articolare alcuna difesa efficace, poiché, ovviamente, chi ha intenzione di creare problemi farà di tutto per ottenere l’effetto peggiore.

La vulnerabilità dei sistemi informatici si è venuta improvvisamente a delineare, in tutta la sua gravità, proprio all’inizio degli anni ’90, quando, a seguito di numerosi assalti, portati a termine anche nei confronti di sistemi di notevole importanza, emerse chiaramente l’impossibilità di fronteggiare i fenomeni di criminalità tecnologica in assenza di norme adeguate.

Il Legislatore, quindi, con la Legge 547/93 (della quale, lentamente, stiamo percorrendo gli aspetti salienti) ha inteso fornire risposta anche a tale legittima esigenza di tutela di beni giuridicamente rilevanti, attraverso la trasposizione della originaria figura di danneggiamento, prevista dall’art. 635 bis, in una norma particolare, destinata a disciplinare integralmente la realtà dei fenomeni tecnologici, sia dal punto di vista fisico (già chiaramente inquadrabile nella precedente disciplina) che logico (fino ad allora sprovvisto di tutela).

In realtà parte della giurisprudenza aveva inteso dare una risposta ai fenomeni già venuti all’attenzione dei giudici mediante applicazione estensiva della normativa esistente, sostenendo che, in ogni caso, trattandosi di dati memorizzati in forma fisica mediante impulsi elettrici, l’alterazione del loro stato “logico” comportava necessariamente una variazione del supporto di memorizzazione.

Ciò in quanto, comunque i dati memorizzati sono espressione di fisicità, poiché, in caso contrario, non sarebbero comunque percettibili ai sensi, neppure attraverso i sistemi informatici.

In tal senso diverse sentenze di merito (Pret. Torino, 23 ottobre 1989, in Foro it. 1990, II, 462; Corte d’Appello Torino, 29 novembre 1990, in Foro it. 1991, II, 228; Trib. Firenze, 27 gennaio 1986, in Foro it. 1986, II, 359; Trib. Torino, 12 dicembre 1983, in Giur. it. 1984, II, 352) ed una interessante interpretazione della Corte Suprema di Cassazione (Cass. pen., sez. unite, 13-12-1996, n. 1282 – “Antecedentemente all’entrata in vigore della l. 23 dicembre 1993, n. 547 (in tema di criminalità informatica), che ha introdotto in materia una speciale ipotesi criminosa, la condotta consistente nella cancellazione di dati dalla memoria di un computer, in modo tale da renderne necessaria la creazione di nuovi, configurava un’ipotesi di danneggiamento ai sensi dell’art. 635 cod. pen. in quanto, mediante la distruzione di un bene immateriale, produceva l’effetto di rendere inservibile l’elaboratore. (Nell’affermare detto principio la Corte ha precisato che tra il delitto di cui all’art. 635 cod. pen. e l’analoga speciale fattispecie criminosa prevista dall’art. 9 l. n. 547/93 – che ha introdotto l’art. 635 bis cod. pen. sul danneggiamento di sistemi informatici e telematici – esiste un rapporto di successione di leggi nel tempo, disciplinato dall’art. 2 cod. PEN.”).

In realtà tale interpretazione, più correttamente inquadrabile come analogica che come semplicemente estensiva, non convinceva neppure i suoi iniziali fautori e prestava il fianco alla critica, banale ma efficace, che, in tal modo argomentando, sarebbero stati comunque privi di tutela i dati ed i programmi in transito da un elaboratore all’altro, in quanto sprovvisti di fisicità.

La riforma ad opera del nuovo art. 635 bis è stata quindi accolta come soluzione ottimale, anche se sarebbe stato probabilmente sufficiente adeguare il vecchio articolo 635 in chiave tecnologica, anziché inserire una nuova disposizione che ricalca quasi pedissequamente la precedente e crea qualche problema, anche simpatico, di interpretazione delle aggravanti, come vedremo più avanti.

La condotta sanzionata consiste nel danneggiamento, mediante distruzione, deterioramento o procurata inservibilità, di siste­mi informatici o telematici, ovvero di programmi, informazioni o dati.

Nell’ambito della tutela prestata dall’ordinamento all’inviolabilità del patrimonio, la norma intende preservare il diritto all’integrità del bene nella sua sostanza e, comunque, nella sua utilizzabilità.

La scelta del termine “bene” anziché quello di “cosa” non è casuale, ma mirato ad individuare la differenza che intercorre tra le opere dell’ingegno (beni immateriali) e quanto invece percettibile nella sua materialità, nella sua sostanza.

Confusione che ha spesso portato anche la giurisprudenza e la dottrina a conclusioni discordanti e spesso discutibili, come la pretesa, purtroppo spesso avallata anche da illustri giuristi e dalla stessa Corte Suprema di Cassazione, che il software possa essere oggetto di ricettazione (ma di questo si parlerà in seguito).

E’ infatti evidente che, mentre l’hardware può essere chiaramente individuato come “cosa”, dal punto di vista giuridico il software è invece esclusivamente un “bene”, privo del requisito della materialità, potendo essere apprezzato ed utilizzato solo nel suo aspetto logico, all’interno di un sistema informatico, e non  certo come impulso elettronico memorizzato su un supporto.

Ai fini della configurabilità della condotta penalmente rilevante, la norma considera, alternativamente e tassativamente, diverse e distinte modalità di realizzazione.

Innanzitutto viene in rilievo l’ipotesi di distruzione del sistema informatico o dei dati in esso contenuti, definizione, questa, che, se ben si adegua all’ipotesi di danneggiamento fisico dell’elaboratore, non consente invece di delineare compiutamente un ipotesi logica di perpetrazione della condotta.

Se la distruzione dell’elaboratore, infatti, può essere intesa come alterazione del suo stato fisico, irreversibile e comunque tale da non consentire una riutilizzabilità del bene, il medesimo concetto non può essere banalmente trasposto nel mondo virtuale dei dati e del software memorizzati su un disco rigido.

Innanzitutto, perché accade di rado che la cancellazione di dati o programmi sia definitiva, e, soprattutto, perché solo molto raramente non esiste una copia di backup dei medesimi che consenta di ripristinare in tempi brevi la funzionalità del sistema.

Quanto al primo problema, è opportuno evidenziare che la quasi totalità dei sistemi operativi e dei programmi che sovrintendono alla cancellazione dei dati dalla memoria di massa sulla quale sono registrati non esegue la cancellazione fisica dei medesimi, ma semplicemente la rimozione del relativo indirizzo sulla tabella di allocazione dati.

In sostanza, poiché ogni memoria di massa è organizzata tramite un indice che consente di reperire velocemente le informazioni, il sistema provvede a cancellare i dati solo da quest’indice, rendendo nuovamente disponibile per la scrittura la relativa posizione di memoria, mentre la cancellazione fisica avverrà solo in un momento successivo, mediante sovrascrittura dei dati.

E’ per questo motivo che, anche in caso i cancellazione accidentale di dati importanti, attraverso alcuni programmi di utilità è possibile recuperare le informazioni perdute. Questi programmi, eseguendo un’analisi fisica del disco consentono di scrivere nuovamente nell’indice del disco la posizione dei dati, rendendoli nuovamente visibili al sistema operativo e nuovamente disponibili all’utente finale.

Ed è per lo stesso motivo che esistono, invece, dei programmi per la cancellazione sicura – finalizzati a garantire la riservatezza dei medesimi e ad evitare che possano essere successivamente recuperati da persone non autorizzate – che procedono alla eliminazione fisica dei dati dal disco, eseguendo la sovrascrittura dei medesimi con valori nulli nello stesso momento in cui si procede alla cancellazione del relativo indirizzo nella tabella di allocazione.

Il secondo aspetto che rende l’ipotesi di danneggiamento mediante cancellazione di dati molto diversa, a livello concettuale, da quella della distruzione fisica, è rappresentato dalla facile duplicabilità del bene immateriale costituito dall’informazione.

Se, infatti, non è possibile ottenere una copia fisica di un elaboratore (perché ciò significherebbe acquistarne un altro), è invece possibile avere una o più copie dei dati contenuti in un sistema informatico, ed è prassi procedere alla esecuzione di backup periodici ed in più esemplari per i dati ritenuti importanti.

L’ipotesi di danneggiamento mediante distruzione, pertanto, differisce radicalmente, nel suo aspetto logico, da quella fisica, proprio perché, paradossalmente, nonostante il bene di maggiore rilevanza sia quello costituito dai dati e dai programmi contenuti nell’elaboratore, esso è anche quello più semplice da tutelare da tale tipo di aggressione.

La cancellazione può essere, ovviamente, parziale o totale, e può essere attuata mediante azioni anche molto diverse tra loro.

Una prima ipotesi può essere quella di alterazione dello stato fisico della memoria che contiene i dati, per ottenere l’illeggibilità degli stessi (ad esempio, esponendo un cd-rom al calore di una fiamma o avvicinando una potente calamita ad un disco rigido).

Diverso è il caso di un’alterazione che sia esclusivamente logica, come quella rappresentata dall’evento della sovrascrittura a seguito di modifica della tabella di allocazione dei files.

La distruzione, inoltre, può essere parziale o totale, come nel caso della digitazione di un comando di cancellazione di un file o di un gruppo di files, rispetto invece alla formattazione del supporto, che comporta l’azzeramento delle cariche elettriche catturate dallo stesso e, quindi, la cancellazione irreversibile dei dati.

Le medesime considerazioni possono essere svolte in relazione alla seconda ipotesi di danneggiamento informatico, costituita dal deterioramento del sistema, a livello fisico, o dall’alterazione dei dati e dei programmi a livello logico.

Tuttavia, in tal caso, la potenzialità offensiva del fenomeno si inverte, rispetto all’ipotesi di distruzione, poiché, mentre non cambia di molto l’ipotesi di danneggiamento fisico (consistente nell’alterazione e parziale perdita di funzionalità del sistema) appare molto più pericolosa la fattispecie dell’alterazione dei dati da parte del soggetto responsabile dell’azione delittuosa.

Non sempre, infatti, tale alterazione è chiaramente ed immediatamente individuabile dal soggetto che subisce l’assalto al sistema (si pensi al caso in cui vengano mischiati tra loro i dati delle cartelle cliniche della ASL, per cui il paziente x viene ad avere diagnosticata la patologia del paziente y e si vede prescritta la cura o l’operazione del paziente z) e ciò comporta la possibilità di alterare anche i dati dei backup di sistema, con il rischio di accorgersi che l’archivio è danneggiato solo quando i dati sono irrecuperabili anche tramite i salvataggi.

Si viene quindi ad avere la situazione in cui, paradossalmente, la situazione che, apparentemente, sarebbe meno idonea a mettere in pericolo il bene aggredito, costituisce invece la minaccia più grave, per i meccanismi con i quali può manifestarsi e attraverso i quali può rendere inutili anche le misure precauzionali e di prevenzione adottate per far fronte al problema.

Per quanto riguarda, invece, la configurazione dell’ipotesi di “rendere in tutto o in parte inservibili” i sistemi aggrediti, appare di tutta evidenza come l’intento del legislatore non sia quello di individuare una nuova fattispecie diversa dalle altre, bensì di garantire sempre e comunque tutela al bene aggredito, anche a costo di inserire termini ridondanti ed inutili.

E’ appena il caso di ricordare che la Legge 547/93 è stata scritta e promulgata dopo numerosi fatti di criminalità informatica, che avevano allarmato non solo l’opinione pubblica ma le stesse istituzioni, ed avevano reso evidenti le vulnerabilità di sistemi informatici anche di rilevanza militare.

L’intento del compilatore, quindi, a fronte dei lati oscuri che la disciplina all’epoca presentava per chi non era particolarmente esperto della materia, fu chiaramente quello di prevenire ogni possibile carenza di copertura normativa.

E‘opportuno evidenziare che le ipotesi di danneggiamento fisico e logico possono concorrere a determinare il risultato finale dell’evento lesivo, ma non devono necessariamente coesistere.

E’ infatti ben possibile che un “lancio” dal terzo piano renda inservibile l’elaboratore elettronico, ma che, ciò nonostante, sia possibile recuperare i dati in esso contenuti, così come è parimenti ipotizzabile che, senza alcun intervento sulla fisicità del sistema, si riesca (ad esempio attraverso un attacco portato a termine tramite un virus informatico) a cancellare o alterare i dati in esso contenuti.

Sorge spontanea la domanda sull’individuazione del limite che divide il danneggiamento di un sistema informatico da quello di un sistema telematico, giacchè, sebbene non vi sia nella norma una distinzione dal punto di vista sanzionatorio, appare evidente come il problema assuma rilevanza nella valutazione della gravità del fatto.

Dal punto di vista fisico, il danneggiamento del sistema telematico si sostituirà a quello del sistema informatico ove all’aggressione materiale sia sottoposta non la singola postazione, ma essa ed il cablaggio che consente la connessione ad altri elaboratori (o solo il cablaggio), ovvero più elaboratori appartenenti allo stesso network, come tali costituenti un sistema telematico.

Dal punto di vista logico la questione diviene più complessa, poiché l’alterazione dei dati dovrebbe incidere sulla capacità di comunicazione dei medesimi, e potrebbe quindi rilevare, in tal senso, anche la semplice alterazione della configurazione di un router che impedisca il passaggio dei dati all’interno del network.

Una ipotesi particolare di danneggiamento, nonostante sia collocata sistematicamente tra i reati contro l’inviolabilità del domicilio, è rappresentata dalla diffusione di programmi idonei a danneggiare un sistema informatico di cui all’art. 615 quinquies c.p., che tratta esplicitamente di virus informatici ed altri software distruttivi o disturbanti, per il cui esame si rinvia al numero di Sicurezza del mese di Febbraio 2003.

La formulazione dell’art. 635 bis c.p. (“…salvo che il fatto costituisca più grave reato…”) consente di dedurre che la norma si pone in posizione di sussidiarietà rispetto ad altre fattispecie di maggiore gravità, quale, ad esempio, quella, delineata dall’art. 420 c.p., dell’attentato ad impianti di pubblica utilità, anch’essa già trattata attraverso le pagine di questa rivista (Gennaio 2003).

E’ senz’altro ipotizzabile, invece, il concorso con l’ipotesi di esercizio arbitrario delle proprie ragioni (su questa rivista, Gennaio 2003) e di accesso abusivo ad un sistema informatico (su questa rivista, Dicembre 2003), poiché le condotte sono spesso accomunate dal medesimo disegno criminoso.

Può accadere, infatti, a seguito della stipula di un contratto di manutenzione ed assistenza tecnica, relativo, ad esempio, alla gestione di un sito web,  che si manifestino incomprensioni o problemi di varia natura tra il titolare della medesima e l’azienda che eroga il servizio.

Probabilmente a causa della scarsa cultura giuridica degli interessati e, sovente, per effetto della smaterializzazione del rapporto connessa all’esecuzione di operazioni per via telematica, può accadere che il soggetto, deliberatamente, senza rendersi neppure conto di commettere un reato, proceda alla disattivazione del sito o, addirittura, alla cancellazione dei dati dal server, al fine di coartare la volontà del cliente e costringerlo a pagare il dovuto o a rispettare le condizioni contrattuali.

Ebbene, tale comportamento integra chiaramente tutti i reati elencati, in concorso tra loro: l’ipotesi di danneggiamento è concretizzata dalla cancellazione dei dati o dalla disattivazione del sito web, che comporta, in ogni caso, un’alterazione negativa del suo funzionamento, rendendolo inservibile, in tutto o in parte, seppure temporaneamente; l’accesso abusivo è conseguente alla violazione delle autorizzazioni concesse per l’accesso al sistema, che non sono state certamente rilasciate per consentire di operare in danno dell’azienda; l’esercizio arbitrario delle proprie ragioni è connesso al tentativo di coartare la volontà del cliente senza far ricorso all’autorità giudiziaria per tutelare i diritti vantati.

E’ forse utile ricordare che, ove la condotta sia finalizzata, ad esempio, ad ottenere il rinnovo del contratto di assistenza tecnica, si potrebbe ipotizzare perfino l’estorsione.

Un’altra ipotesi di danneggiamento molto nota, grazie anche all’estremo risalto che, per ragioni di audience e di tiratura, sono soliti riservarle i mass-media, consiste nel c.d. “defacement” dei siti Internet, ad opera di qualche smanettone in vena di scherzi o bravate.

Sebbene non sia possibile assimilare, almeno a livello concettuale, tale fattispecie – solitamente consistente nella sostituzione della pagina web iniziale del sito attaccato con altra appositamente predisposta (per la consultazione di un nutrito elenco di tali operazioni e relative preview, è possibile consultare l’archivio del sito www.2600.org) – alla ben più grave ipotesi di danneggiamento con finalità economiche, appare comunque evidente che si tratti di una ipotesi analoga dal punto di vista giuridico, a nulla rilevando, nell’attuale formulazione dell’art. 635 bis c.p. il fine “ludico” o di protesta del “defacement”.

Per le circostanze aggravanti, l’art. 635 bis c.p. rinvia al secondo comma dell’art. 635 c.p., che, tuttavia, prevede alcune situazioni decisamente non ipotizzabili nel danneggiamento di sistemi informatici.

Non sembra, ad esempio, concretizzabile, il danneggiamento informatico di edifici pubblici o destinati a uso pubblico o all’esercizio di un culto o su cose di interesse storico o artistico”, di “opere destinate all’irrigazione”, né, infine, di “piante di viti, di alberi o arbusti fruttiferi, o su boschi, selve o foreste, ovvero su vivai forestali destinati al rimboschimento”, salvo che non si ipotizzi l’intervento sui sistemi informatici che sovrintendono, ad esempio, al controllo o alla gestione di tali beni, ipotesi residuale che, tuttavia, non sembra particolarmente convincente.

In relazione al co. 2, punto 2, dell’art. 635, la Corte Costituzionale, con sentenza n. 119 del 6 luglio 1970, ne ha dichiarato l’illegittimità costituzionale, ed è quindi superfluo prenderlo in considerazione.

Seri dubbi, infine, sorgono in relazione alla concreta applicazione delle aggravanti di cui ai richiami contenuti nell’art. 635 c.p.

In riferimento all’art. 625 c.p., n. 7, non sembra ipotizzabile un sistema informatico di “pubblica reverenza”, nonostante il comportamento a tratti “esoterico” di taluni dispositivi, soprattutto appena acquistati, nel corso dell’installazione, possa effettivamente indurre a pensare di innalzare le tecnologie all’onore degli altari.

Per quanto concerne, invece, il danneggiamento di sistemi “destinati a pubblico servizio, pubblica utilità o difesa”, appare evidente la sovrapposizione con il più grave reato di attentato ad impianti di pubblica utilità, di cui all’art. 420 c.p. già citato, in relazione al quale la norma si pone in rapporto di sussidiarietà.

Residuano pertanto, come circostanze aggravanti concretamente ipotizzabili, le altre ipotesi di danneggiamento di sistemi informatici, tra le quali certamente spicca quella ormai classica, nel panorama dei reati informatici, dell’aver commesso il fatto con abuso della qualità di operatore di sistema.

Occorre, peraltro, rilevare che sono in ogni caso ipotizzabili le circostanze aggravanti comuni previste dall’art. 61 c.p.

Dal punti di vista civilistico, assume rilievo non tanto il danno materiale arrecato all’impianto oggetto della condotta, quanto, invece, il danno effettivamente arrecato all’azienda o al titolare del sistema, da commisurare al costo complessivo necessario per ripristinare il corretto funzionamento del sistema e il recupero dei dati.

Ove i dati non siano recuperabili, per vari motivi, occorrerà ovviamente valutare il danno derivante dalla perdita dei medesimi.

E’ sufficiente pensare alla rilevanza che oggi assume ogni sistema informatico collocato all’interno di una realtà produttiva o libero professionale per immaginare le conseguenze, in chiave risarcitoria, di taluni comportamenti “superficiali” spesso adottati da sedicenti esperti di informatica nell’approccio con le tecnologie altrui.

Gianluca Pomante

Lascia una risposta

Il tuo indirizzo email non sarà pubblicato. I campi obbligatori sono contrassegnati *