Rassegna di novità in materia di diritto e processo penale e nuove tecnologie
Responsabili scientifici: Prof. Lorenzo Picotti e Prof. Luca Lupária
Monitoraggio a cura di Chiara Crescioli, Chiara Greco, Beatrice Panattoni, Marco Pittiruti e Rosa Maria Vadalà
1. Novità sovranazionali
È stato pubblicato il regolamento europeo sui servizi digitali (UE) 2022/2065 del 19 ottobre 2022 (c.d. Digital Service Act), che dovrà applicarsi dal 14 febbraio 2024. Il regolamento, finalizzato a contribuire al corretto funzionamento del mercato interno dei servizi digitali, stabilisce norme armonizzate per un ambiente online sicuro, prevedibile, affidabile, volto a facilitare l’innovazione. Esso si applica ai servizi intermediari offerti a destinatari stabiliti nell’Unione o che sono ubicati nell’Unione, indipendentemente dal luogo di stabilimento dei prestatori di tali servizi.
L’impostazione del regolamento segue quella della direttiva 2000/31/CE, che viene fatta salva. Rimane quindi la modulazione della responsabilità e degli obblighi degli intermediari in base al servizio offerto, a seconda che sia di mero trasporto o di memorizzazione di informazioni.
Per tutelare e garantire che l’ambiente online sia trasparente e sicuro, vengono previsti obblighi diversificati per gli intermediari. Mentre tutti i soggetti devono prevedere dei punti di contatto per le autorità competenti nonché per i destinatari dei propri servizi, obblighi più precisi vengono previsti a carico dei prestatori di servizi di memorizzazione di informazioni, comprese le piattaforme online (prestatori che memorizzano e diffondono informazioni al pubblico). Tra questi, i più rilevanti consistono nell’obbligo di predisporre un meccanismo di segnalazione e azione in relazione a contenuti illegali, l’obbligo di notifica di sospetti di reati alle autorità giudiziarie competenti, nonché le misure contro gli abusi dei propri servizi da parte di quegli utenti che con frequenza forniscono contenuti manifestamente illegali.
Vi è infine una sezione dedicata agli obblighi specifici previsti a carico dei fornitori di piattaforme online e di motori di ricerca online di dimensioni molto grandi per la gestione dei rischi sistemici. (B.P.)
È stato pubblicato il 14 settembre 2022 il nuovo regolamento europeo sui mercati digitali (c.d. Digital Market Act), che dovrà applicarsi dal 2 maggio 2023. Il regolamento prevede nuovi obblighi a carico dei gatekeepers, piattaforme digitali che forniscono servizi di piattaforma di base (servizi di intermediazione online; motori di ricerca; servizi di social network; servizi per la condivisione di video; servizi di comunicazione interpersonale indipendenti dal numero; sistemi operativi; browserweb; assistenti virtuali; servizi di cloud computing; servizi pubblicitari online), che abbiano un impatto significativo sul mercato interno; oppure che forniscano un servizio che costituisce un punto di accesso (gateway) importante affinché gli utenti commerciali raggiungano gli utenti finali; oppure che detengano una posizione consolidata e duratura, nell’ambito delle proprie attività, o è prevedibile che acquisiscano siffatta posizione nel prossimo futuro. Il regolamento disciplina una serie di obblighi in capo a tali soggetti, affinché venga garantita una concorrenza leale sulle proprie piattaforme.
Il regolamento europeo mira quindi a creare un contesto più equo per gli utenti commerciali che dipendono dai gatekeepers per offrire i loro servizi nel mercato unico digitale. In tal modo, i consumatori disporranno di servizi più numerosi, della possibilità di cambiare più facilmente fornitore se lo desiderano, nonché di un accesso diretto ai servizi e a prezzi più equi.
Il regolamento si applica ai servizi di piattaforma di base forniti o offerti dai gatekeeper a utenti commerciali stabiliti nell’Unione o a utenti finali stabiliti o situati nell’Unione, a prescindere dal luogo di stabilimento o di residenza dei gatekeeper. (B.P.)
Sta per concludersi l’iter legislativo europeo di approvazione e pubblicazione della proposta di direttiva relativa a misure dirette a garantire un livello comune elevato di cyber-sicurezza nell’Unione (c.d. direttiva NIS 2), che sostituisce e abroga la direttiva (UE) 2016/1148 (c.d. direttiva NIS).
La Direttiva NIS 2 introduce nuove regole finalizzate a promuovere un elevato livello di sicurezza informatica comune nell’UE, sia per le aziende che per gli Stati membri. La necessità di aggiornare il quadro legislativo fermo al 2016 è da ricondursi al ruolo sempre più significativo che ricopre la cyber-sicurezza nella società contemporanea, fattore abilitante fondamentale per molti settori critici, portatore dei vantaggi economici, sociali e sostenibili della digitalizzazione.
La normativa fissa obblighi di sicurezza informatica più severi per i paesi dell’UE. Tale misura punta altresì a migliorare la cooperazione tra gli stessi, anche in caso di incidenti su larga scala, sotto l’egida dell’Agenzia dell’UE per la sicurezza informatica (ENISA). Si amplia inoltre il ventaglio di soggetti interessati dagli obblighi della direttiva. Vengono incluse società, tra le altre, che offrono servizi sanitari (come società farmaceutiche e produttori di dispositivi medici) e servizi di produzione, trasformazione e distribuzione di cibo. Mentre la Direttiva NIS lasciava alla discrezionalità degli Stati l’individuazione dei soggetti su cui ricadevano gli obblighi in materia di cyber-sicurezza, la NIS 2 definisce in modo più dettagliato la categoria dei soggetti cui si rivolge, definiti “soggetti essenziali e importanti”, seguendo un criterio uniforme per la loro identificazione, dato dall’applicazione di una soglia di medie o grandi dimensioni (salvo per determinate piccole imprese e microimprese che soddisfano criteri specifici e che ricoprono un ruolo chiave per la società, l’economia o per particolari settori o tipi di servizi). Tutti tali soggetti devono adottare misure tecniche, operative e organizzative adeguate e proporzionate per gestire i rischi posti alla sicurezza dei sistemi informatici e di rete che essi utilizzano nelle loro attività o nella fornitura dei loro servizi, nonché per prevenire o ridurre al minimo l’impatto degli incidenti per i destinatari dei loro servizi e per altri servizi. A loro carico vengono previsti anche obblighi di segnalazione all’autorità competente nonché al proprio CSIRT (Computer Security Incident Response Team), di cui vengono inoltre definiti in modo più preciso i requisiti, le capacità tecniche e i compiti. (B.P.)
La proposta della Commissione del c.d. Cyber Resilience Act si origina dalla mancanza di una regolamentazione nell’attuale quadro giuridico dell’UE della cyber-sicurezza del software non incorporato. Gli attacchi alla cyber-sicurezza prendono infatti sempre più di mira le vulnerabilità di tali prodotti, causando costi sociali ed economici significativi. Esistono numerosi esempi di attacchi informatici di grande portata dovuti a una sicurezza non ottimale dei prodotti, come il worm ransomware WannaCry, che ha sfruttato una vulnerabilità di Windows.
Il regolamento proposto stabilirebbe: norme per l’immissione sul mercato di prodotti con elementi digitali per garantirne la cyber-sicurezza; requisiti essenziali per la progettazione, lo sviluppo e la produzione di prodotti con elementi digitali; obblighi in materia di cyber-sicurezza per gli operatori economici in relazione a tali prodotti; requisiti essenziali per i processi di gestione delle vulnerabilità messi in atto dai fabbricanti; obblighi per gli operatori economici in relazione a tali processi; nonché norme sulla vigilanza del mercato e sull’applicazione delle norme e dei requisiti previsti.
I destinatari di tale proposta di regolamento comprendono gli operatori dell’intero ciclo di vita di tali prodotti: dal fabbricante, all’importatore, al distributore. I fabbricanti in particolare dovrebbero effettuare una valutazione della conformità del prodotto con elementi digitali e dei processi messi in atto per determinare se siano soddisfatti i requisiti essenziali, elencati nell’allegato I della proposta di regolamento. (B.P.)
Il rapporto esamina le recenti tendenze e sfide riguardanti il diritto alla privacy. Il rapporto si concentra, in particolare, su: (a) l’abuso di strumenti di hacking invasivi; (b) il ruolo chiave della crittografia nel garantire la tutela del diritto alla privacy e di altri diritti; (c) il monitoraggio diffuso degli spazi pubblici. Il documento evidenzia il rischio di creare sistemi di sorveglianza e controllo pervasivi che possono violare diversi beni giuridici tutelati dagli ordinamenti nazionali e internazionali.
Il report si concentra in particolare sullo spyware Pegasus, uno degli esempi che rende maggiormente evidente la crescita di un panorama di spyware commercializzati dalle aziende ai governi di tutto il mondo. Secondo alcuni studi di settore, almeno 65 governi hanno acquistato strumenti di sorveglianza spyware commerciali. L’azienda produttrice ha dichiarato di annoverare tra i propri clienti 60 agenzie governative in 45 Paesi. Pochi giorni prima delle rivelazioni di Pegasus, Citizen Lab e Microsoft hanno pubblicato un rapporto che descriveva dettagliatamente come un altro software, Candiru, fosse stato utilizzato dai governi per colpire difensori dei diritti umani, dissidenti, giornalisti, attivisti e politici.
Anche se si perseguono obiettivi legittimi, come la sicurezza nazionale o la protezione dei diritti altrui, la valutazione della necessità e della proporzionalità dell'uso dei software spia limita fortemente gli scenari in cui questi sarebbero ammissibili. Vi sono forti argomentazioni sul fatto che strumenti come Pegasus, che consentono intrusioni senza limiti nella vita delle persone, potrebbero intaccare l’essenza del diritto alla privacy e interferire con i diritti alla libertà di pensiero e di opinione. Considerati gli impatti negativi sostanziali dell’uso dei software spia, nonchè la loro portata, il report afferma che il loro uso dovrebbe essere limitato ai casi in cui servirebbero a prevenire o indagare su un reato grave specifico o su un atto che rappresenta una grave minaccia per la sicurezza nazionale. Il loro utilizzo dovrebbe essere strettamente mirato a un’indagine sulla persona o sulle persone sospettate di commettere o aver commesso tali atti. Dovrebbero quindi costituire l’ultima risorsa. Le misure adottate dovrebbero anche essere soggette a una rigorosa supervisione indipendente; è essenziale l’approvazione preventiva da parte di un organo giudiziario. L’Alto commissariato delle Nazioni Unite per i diritti umani ribadisce un suo recente appello, così come quello di esperti e gruppi per i diritti umani, volto ad incentivare una moratoria sulla vendita, il trasferimento e l’uso di strumenti di hacking fino a quando non sarà in vigore un regime di salvaguardie basato sui diritti umani. (B.P.)
2. Novità giurisprudenziali nazionali
Corte di Cassazione, sez. II penale, 13 luglio 2022 (ud. 7 luglio 2022), n. 27023
Rientra nella nozione di “attività speculativa” penalmente rilevante ai fini della commissione del reato di autoriciclaggio di cui all’art. 648 ter.1 c.p. anche l’acquisto di criptovalute con denaro proveniente da un reato, dato che nella nozione di "attività speculativa" possono rientrare tutte quelle attività in cui il soggetto ricerca il raggiungimento di un utile, anche assumendosi il rischio di considerevoli perdite. Inoltre, le valute virtuali possono essere utilizzate per scopi diversi dal pagamento e comprendere prodotti di riserva di valore a fini di risparmio ed investimento. (C.C.)
Corte di Cassazione, sez. IV penale, 7 settembre 2022 (ud. 15 luglio 2022), n. 32915
La sentenza in esame affronta il tema dell’acquisizione di messaggistica attraverso l’accesso ai server esteri di Sky ECC, applicativo (ormai defunto) utilizzato per lo scambio di comunicazioni crittografate. Nel caso di specie, le chat erano state acquisite al fascicolo del pubblico ministero tramite ordine europeo d’indagine, all’esito di un’attività investigativa di Europol. Tuttavia, alla difesa non era stato concesso di accedere alla documentazione prodotta da Europol nella sua interezza, così come era stato inibito di prendere visione dei verbali delle attività preliminari di analisi compiute dalla polizia giudiziaria italiana. Secondo i giudici di legittimità, il denegato accesso a tali materiali comporta una violazione del principio del contraddittorio, il quale implica che la dialettica procedimentale riguardi anche le modalità di acquisizione del predetto materiale. Pertanto, anche nel caso di attività acquisitive della prova digitale svoltesi all’estero, tali attività non sono assistite da una presunzione assoluta di legittimità; al contrario, occorre consentire alla difesa di conoscere, da un lato, le modalità di svolgimento dell’attività investigativa, nonché, dall’altro lato, il procedimento di acquisizione di tale materiale, onde consentire la piena esplicazione del diritto di difesa. (M.P.)
Corte di Cassazione, sez. I penale, 15 settembre 2022 (ud. 1° luglio 2022), n. 34059
La pronuncia, anch’essa relativa alle modalità acquisitive delle chat a mezzo Sky ECC, si pone in una prospettiva parzialmente diversa rispetto alla sentenza indicata sopra. Invero, in quest’occasione, i giudici della Prima sezione penale non hanno dimostrato uguale sensibilità per la tutela della genuinità della digital evidence: la documentazione di messaggi conservati presso il server della società che gestiva il servizio Sky ECC sarebbe liberamente acquisibile in applicazione dell’art. 234-bis c.p.p., a nulla rilevando che l’attività di decrittazione delle chat sia stata compiuta dall’autorità giudiziaria francese nell’ambito di un’ordine d’indagine europeo. (M.P.)
Corte di Cassazione, sez. V penale, 26 settembre 2022 (ud. 7 giugno 2022), n. 36205
La sentenza merita di essere segnalata, per un verso, per l’attenta ricostruzione delle vicende storico-normative della disciplina in tema di data retention e, per altro verso, poiché affronta il tema dell’inquadramento dogmatico dell’art. 1, comma 1-bis, D.L. n. 132/2021, ai sensi del quale i dati relativi ai dati di traffico acquisiti nei procedimenti penali pendenti prima dell’entrata in vigore della nuova normativa possono essere utilizzati quali elementi a carico dell’imputato «solo unitamente ad altri elementi di prova». A parere della Suprema Corte, non si tratterebbe di una regola di esclusione della prova, bensì di una regola di valutazione della prova mutuata dall’art. 192, comma 3, c.p.p. in tema di chiamata di correo. Ciò si desumerebbe dalla costruzione positiva della norma, la quale non sanziona espressamente l’utilizzabilità dei dati, bensì stabilisce, in positivo, entro quali limiti la prova possa essere valutata ai fini della responsabilità penale. Pertanto, qualora il giudice abbia fondato il giudizio di responsabilità unicamente sulla prova emersa dai dati di traffico, se l’apprensione del dato ha avuto luogo anteriormente alla vigenza della nuova normativa in tema di data retention, il vizio è rilevabile in sede di legittimità a norma dell’art. 606, comma 1, lett. e), c.p.p., in quanto vizio della giustificazione nel giudizio di fatto. (M.P.)
Corte di Cassazione, sez. III penale, 11 ottobre 2022 (ud. 20 settembre 2022), n. 38178
Secondo la giurisprudenza richiamata dalla Corte nella pronuncia indicata, il reato di detenzione di materiale pornografico di cui all'articolo 600 quater c.p. e quello di pornografia minorile ex articolo 600 ter c.p., che ne incrimina la produzione e la diffusione, non integrano due distinti illeciti, ma due diverse modalità di realizzazione del medesimo reato, con la conseguenza che non possono concorrere tra loro se riguardano il medesimo materiale, mentre può sussistere il concorso se il materiale oggetto della produzione e quello oggetto della detenzione siano diversi.
Nel caso di specie i giudici di merito hanno escluso che il delitto di detenzione di materiale pedopornografico potesse essere ritenuto assorbito in quello di diffusione di cui all’articolo 600 ter comma 3 c.p., in considerazione dell’ingente quantitativo di materiale detenuto dal ricorrente, presente in cartelle deputate all’archiviazione, ulteriori e diverse da quelle deputate alla condivisione via Internet.
La Corte di legittimità ha ritenuto che sia stato correttamente configurato il concorso tra i reati contestati di detenzione e diffusione del materiale, posto che l’assai ingente quantitativo di immagini pedopornografiche detenute dall’imputato, diverse e ulteriori rispetto a quelle diffuse, costituisce condotta distinta, dotata di una sua propria carica di offensività, cosicché è stata affermata la configurabilità di entrambe le fattispecie di reato, in considerazione della autonomia delle condotte e della loro indipendente idoneità a compromettere, in modo diverso, il bene protetto.
Nella pronuncia si ribadisce inoltre la linea di discrimine tra le due fattispecie di diffusione e cessione di materiale pedopornografico: si avrà infatti il delitto di cui all'articolo 600 ter comma 3 c.p., nel caso in cui il soggetto inserisca foto pornografiche raffiguranti minori in un sito liberamente accessibile ovvero quando le propaghi per mezzo della rete Internet, inviandole ad un gruppo o ad una lista di discussione da cui chiunque le possa scaricare, mentre è configurabile l'ipotesi più lieve di cui all'articolo 600 ter comma 4 c.p., quando l’agente invia le foto a una persona determinata, allegandole ad un messaggio di posta elettronica oppure tramite il profilo Facebook del destinatario, in modo tale che solo quest'ultimo abbia la possibilità di prelevarle. (B.P.)
In senso conforme: Corte di Cassazione, sez. III penale, 22 ottobre 2020 (ud. 6 novembre 2019), n. 2252; Corte di Cassazione, sez. III penale, 15 gennaio 2019 (ud. 27 settembre 2018), n. 1647.
Corte di Cassazione, sez. III penale, 27 ottobre 2022 (ud. 6 luglio 2022), n. 40609
La Corte richiama la definizione di pornografia minorile di cui all’articolo 600 ter u.c. c.p. (“ai fini di cui al presente articolo per pornografia minorile si intende ogni rappresentazione, con qualunque mezzo, di un minore degli anni diciotto coinvolto in attivita' sessuali esplicite, reali o simulate, o qualunque rappresentazione degli organi sessuali di un minore di anni diciotto per scopi sessuali”), affermando che la norma contiene due ipotesi distinte tra loro: nella prima rientra qualsiasi rappresentazione del minore di anni diciotto che sia coinvolto in attività sessuali esplicite, reali o simulate, realizzate da qualunque soggetto, a prescindere dall’età; nella seconda, più specifica e limitata, rientra qualunque, cioè ogni forma di rappresentazione degli organi sessuali di un minore di anni diciotto che sia finalizzata a scopi sessuali.
Nella prima ipotesi della norma rientrano quelle rappresentazioni in cui il minore non sia solo l’autore delle attività sessuali, che devono essere esplicite, cioè emergere chiaramente dalle rappresentazioni, ma anche quelle in cui sia trascinato, associato, interessato, reso partecipe in essa quando queste siano attuate da soggetti terzi, minorenni o maggiorenni. La Corte evidenzia che il concetto di attività sessuali è più ampio di quello di atto sessuale rilevante ex articolo 609 bis c.p., perché concerne qualunque esplicazione, qualunque condotta concernente la sfera sessuale da parte di un singolo o di più soggetti.
Nel caso di specie, la rappresentazione dell’esibizione degli organi genitali da parte di un adulto, che si alza allo scopo il vestito per mostrarsi nuda all’obiettivo, realizzata rendendo ad essa partecipe il minore, associato nell’immagine, concretizza il compimento di attività sessuali esplicite con il minore, rilevante ex articolo 600 ter c.p..
Per quanto riguarda la seconda ipotesi prevista dalla norma, ad essa sono state ricondotte foto in cui la vittima è ritratta da sola, mentre mostra il pube, anche se coperto, ritenendo non necessaria la nudità quale presupposto per l’applicazione dell'articolo 600 ter u.c. c.p.. Si è dato rilievo, in particolare, all’oggetto della rappresentazione, il pube, ed alla posa fatta assumere alla minore - che aveva le gambe allargate - sicché si è ritenuto che le foto siano state scattate esclusivamente per una finalità sessuale. Pertanto, la presenza delle “mutandine” non è stata ritenuta di per sé rilevante, dal momento che l’oggetto della rappresentazione é l’organo sessuale della minore, oltre a doversi rilevare che tali capi di abbigliamento non sono necessariamente coprenti o comunque possono consentire ugualmente la visione, totale o parziale, degli organi sessuali.
A supporto della tesi esposta viene richiamata dalla Corte la tutela ulteriore accordata dalla legge ai minori anche dall'articolo 600 quater.1 c.p.. Tale norma punisce infatti le condotte di produzione di materiale pedopornografico e la detenzione dello stesso, quando il materiale “rappresenta immagini virtuali realizzate utilizzando immagini di minori degli anni diciotto o parti di esse”, specificando che “per immagini virtuali si intendono immagini realizzate con tecniche di elaborazione grafica non associate in tutto o in parte a situazioni reali, la cui qualità di rappresentazione fa apparire come vere situazioni non reali”. (B.P.)
Corte di Cassazione, sez. II penale, 27 ottobre 2022 (ud. 20 settembre 2022), n. 40862
In tema di frode informatica, la nozione di “identità digitale” di cui all'art. 640-ter co. 3 c.p., nonostante l’assenza di una definizione legislativa, non presuppone una procedura di validazione adottata dalla pubblica amministrazione. Tale interpretazione, infatti, è destituita di giuridico fondamento in quanto contrasta sia con la constatazione empirica circa l'esistenza di diverse tipologie di identità digitale, caratterizzate da soglie differenziate di sicurezza in relazione alla natura delle attività da compiere nello spazio virtuale, sia, soprattutto, con la ratio della disposizione in questione, volta a rafforzare la fiducia dei cittadini nell'utilizzazione dei servizi online e a porre un argine al fenomeno delle frodi realizzate soprattutto nel settore del credito al consumo mediante il furto di identità. Pertanto, la circostanza aggravante trova applicazione anche nel caso di utilizzo di credenziali di accesso a sistemi informatici a gestione privatistica quale i servizi di home banking o le piattaforme di vendita online. (C.C.)
In senso conforme: Corte di Cassazione, sez. II penale, sentenza 11 agosto 2020 (ud. 2 luglio 2020), n. 23760
Per approfondire: CRESCIOLI C., La tutela penale dell’identità digitale, in Dir. Pen. Cont., 2018, n. 5, p. 265 ss.; MALGIERI G., La nuova fattispecie di “indebito utilizzo d’identità digitale”: un problema interpretativo, in Dir. pen. cont.- Riv. trim., n. 2, 2015, p. 143 ss.; FLOR R., Phishing, identity theft e identity abuse. Le prospettive applicative del diritto penale vigente, in Riv. it. dir. proc. pen., 2007, n. 2-3, p. 899 ss.
Corte di Cassazione, sez. V penale, 28 ottobre 2022 (ud. 27 settembre 2022), n. 40882
Nella pronuncia sotto indicata la Corte richiama la giurisprudenza delle Sezioni Unite in materia di accesso abusivo ad un sistema informatico. Il caso di specie può essere infatti interpretato secondo i principi formulati nella sentenza delle Sezioni Unite Savarese (Sez. U, n. 41210 del 18/05/2017), che ha precisato la direzione esegetica espressa dalle Sezioni Unite Casani (Sez. U, n. 4694 del 27/10/2011, dep. 2012). Secondo la pronuncia del 2017, integra il delitto previsto dall’articolo 615 ter comma 2, n. 1 c.p., la condotta del pubblico ufficiale o dell’incaricato di un pubblico servizio che, pur essendo abilitato e pur non violando le prescrizioni formali impartite dal titolare di un sistema informatico o telematico protetto per delimitarne l’accesso, acceda o si mantenga nel sistema per ragioni ontologicamente estranee rispetto a quelle per le quali la facoltà di accesso gli è attribuita.
Nella recente pronuncia si è quindi approfondito e specificato il concetto di “operazioni ontologicamente estranee” a quelle consentite, qualora la condotta criminosa sia posta in essere da un pubblico ufficiale o da un incaricato di pubblico servizio. Nel caso di specie la Corte, richiamando la precedente giurisprudenza, evidenzia che, anche laddove manchino regole specifiche disciplinanti il funzionamento e l’utilizzo della banca dati pubblica che viene in considerazione, il requisito della violazione di legge sussiste non solo quando la condotta del pubblico ufficiale sia svolta in contrasto con le norme che regolano l’esercizio del potere, ma anche quando la stessa risulti orientata - sviando dal potere conferito - alla sola realizzazione di un interesse collidente con quello per il quale il potere è attribuito. (B.P.)
In senso conforme: Corte di Cassazione, sez. Unite penali, 7 febbraio 2012 (ud. 27 ottobre 2011), n. 4694; Corte di. Cassazione, sez. Unite penali, 8 settembre 2017 (ud. 18 maggio 2017), n. 41210.
Per approfondire: SALVADORI I., I reati contro la riservatezza informatica, in CADOPPI A., CANESTRARI S., MANNA A. e PAPA M. (a cura di), Cybercrime, Torino, 2019, p. 656 ss.; FLOR R., La condotta del pubblico ufficiale fra violazione della voluntas domini, “abuso” dei profili autorizzativi e “sviamento di poteri”, in Dir. Pen. Proc., 2018, n. 4, p. 506 ss.; PICOTTI L., Sistematica dei reati informatici, tecniche di formulazione legislativa e beni giuridici tutelati, in ID. (a cura di), Il diritto penale dell’informatica nell’epoca di Internet, Padova, 2004, p. 21 ss..
Corte di Cassazione, sez. II penale, 18 novembre 2022 (ud. 11 ottobre 2022), n. 43917
Dal momento che la disposizione incriminatrice di cui all’art. 270 bis c.p. non precisa gli indici di riconoscibilità dell’attività di “partecipazione” a una associazione “con finalità di terrorismo anche internazionale o di eversione dell’ordine democratico”, e non esiste una nozione astratta di “partecipazione”, valida per ogni tipo di reato associativo, la modalità della “partecipazione” medesima è correlata alle caratteristiche proprie dell’entità cui si “partecipa”. Ciò vale soprattutto per l’organizzazione denominata Stato Islamico. L’organizzazione terroristica transnazionale assume infatti le connotazioni, più che di una struttura statica, di una “rete” in grado di mettere in relazione soggetti assimilati da un comune progetto politico-militare, che funge da catalizzatore dell’”affectio societatis” e costituisce lo scopo sociale del sodalizio. In altri termini, adotta un modello “polverizzato” di articolazione.
Nel caso di specie la partecipazione all’Isis è stata desunta, tra gli altri: dalla detenzione su supporti informatici di materiale jihadista; dal sistematico e costante uso del web e dei social media per condividere e diffondere messaggi di propaganda e di indottrinamento, nonché video relativi a gravi episodi di violenza, reperiti nel cd. deep web, attraverso canali accessibili solo mediante specifiche chiavi informatiche; dall’aver fornito assistenza ad un associato, ospitato per lungo tempo presso un centro culturale presieduto dall’imputato.
Da tali elementi si è ritenuto l’imputato responsabile del delitto di partecipazione ad associazione con finalità di terrorismo internazionale ex art. 270 bis c.p., e non del delitto di istigazione a delinquere ex art. 414 c.p., trattandosi di condotte di un soggetto che può qualificarsi quale aperto sostenitore del c.d. Stato islamico e rispondenti alla chiamata al jihad, strumentali al consolidamento ed al rafforzamento dell’organizzazione
A detta della Corte, non si tratta di plurime forme di manifestazione di un pensiero politico-religioso, sia pure estremo, oggetto di possibile tutela ai sensi della previsione dell’art. 21 Cost., ma di un concreto e variegato atteggiarsi nel mondo esterno della (interiore) condivisione ideologica delle finalità dell’associazione, in relazione alla quale assumono valore centrale i principi dell’integralismo religioso musulmano di matrice sunnita e di ispirazione salafita, la cui applicazione si traduce in un’inevitabile e, nella prospettiva dell’Isis, necessaria lesione del bene giuridico protetto dall'articolo 270 bis c.p.. (B.P.)
In senso conforme: Corte di Cassazione, sez. V penale, 2 maggio 2022 (ud. 18 genino 2022), n. 17079; Corte di Cassazione, sez. V penale, 5 marzo 2020 (ud. 18 dicembre 2020), n. 8891; Corte di Cassazione, sez. II penale, 21 maggio 2019 (ud. 21 febbraio 2019), n. n. 22163.
Per approfondire: GOVERNA J., Jihad elettronica e partecipazione nel reato di organizzazione terroristica ex art. 270-bis c.p., in Diritto di Internet, 2021, n. 3, p. 523 ss.
Corte di Cassazione, sez. II penale, 22 novembre 2022 (ud. 26 ottobre 2022), n. 44378
Con riguardo all’uso della moneta virtuale come mezzo di scambio o strumento finanziario, ove la vendita di bitcoin venga reclamizzata come una vera e propria proposta di investimento, si ha un’attività soggetta agli adempimenti di cui agli artt. 91 ss. TUF, la cui omissione integra il reato di cui all’art. 166 comma 1 lett. c) TUF, che punisce chiunque, senza esservi abilitato ai sensi del decreto “offre fuori sede, ovvero promuove o colloca mediante tecniche di comunicazione a distanza, prodotti finanziari o strumenti finanziari o servizi o attività di investimento”.
Nel caso di specie la raccolta di fondi aveva avuto come scopo la creazione di una piattaforma decentralizzata di servizi logistici, e da chi aveva contribuito era stata corrisposta in cambio moneta virtuale, che costituiva titolo per l’utilizzo dei servizi della piattaforma.
La Corte ritiene sussistenti i caratteri distintivi dell’investimento di tipo finanziario, dati dalle circostanze per cui gli agenti: a) avevano erogato capitali (sotto la forma di bitcoin); b) con l’aspettativa di ottenere un rendimento, costituito dalla corresponsione di altre monete virtuali che avrebbero permesso la partecipazione alla piattaforma, dal valore variabile a seconda del momento dell’acquisto e che avrebbe acquistato maggior valore se il progetto relativo alla piattaforma avesse avuto successo; c) avevano assunto su di sé un rischio connesso al capitale investito. La valuta virtuale deve quindi essere considerata nel caso di specie quale strumento di investimento in quanto consiste in un prodotto finanziario. (B.P.)
In senso conforme: Corte di Cassazione, sez. II penale, sentenza 25 settembre 2020 (ud. 17 settembre 2020), n. 26807.
Per approfondire: VADALÀ R. M., La disciplina penale degli usi ed abusi delle valute virtuali, in Diritto di Internet, 2020, n. 3, p. 397 ss.; ID., La dimensione finanziaria delle valute virtuali. Profili assiologici di tutela penale, in Giurisprudenza italiana, 2021, n. 10, p. 2225 ss.; ID., La funzione d’investimento e le valute virtuali: scenari di repressione penale, in Diritto di internet, 1/2022, p. 119 ss..
Corte di Cassazione, sez. V penale, 1° dicembre 2022 (ud. 21 settembre 2022), n. 45680
L’amministratore di un sito Internet, in particolare di un blog, non può essere ritenuto responsabile per la diffamazione ai sensi dell'art. 57 c.p., dato che tale norma è applicabile alle sole testate giornalistiche telematiche e non anche ai diversi mezzi informatici di manifestazione del pensiero (forum, blog, newsletter, newsgroup, mailing list, facebook, ecc.). Tuttavia, è responsabile a titolo di concorso nella diffamazione aggravata dal mezzo della pubblicità per gli scritti di carattere denigratorio pubblicati sul proprio sito da terzi quando, venutone a conoscenza, non provveda tempestivamente alla loro rimozione, atteso che tale condotta equivale alla consapevole condivisione del contenuto lesivo dell'altrui reputazione e consente l'ulteriore diffusione dei commenti diffamatori. (C.C.)
In senso conforme: Corte di Cassazione, sez. V penale, sentenza 20 marzo 2019 (ud. 8 novembre 2018), n. 12546
Per approfondire: PANATTONI B., La responsabilità penale del blogger per i contenuti diffamatori pubblicati da terzi sul proprio sito, in Diritto di Internet, 2023, n. 2, in corso di pubblicazione; ID., I riflessi penali del perdurare nel tempo dei contenuti illeciti nel cyberspace, in Sist. Pen., 22 maggio 2020; PAGELLA C., La Cassazione sulla responsabilità del blogger per contenuti diffamatori (commenti) pubblicati da terzi, in Dir. Pen. Cont., 17 maggio 2019
Corte di Cassazione, sez. VI penale, 6 dicembre 2022 (ud. 7 novembre 2022), n. 46209
È assunto condiviso, in giurisprudenza, che i messaggi whatsapp e gli sms conservati nella memoria di un telefono cellulare abbiano natura di documenti ex art. 234 c.p.p. Nondimeno, lascia sorpresi l’assunto, contenuto nella pronuncia in esame, secondo cui, allorché nella memoria dello smartphone dell’indagato si rinvengano chat di interesse probatorio, sarebbe pienamente legittima una loro acquisizione mediante riproduzione fotografica, giacché tale attività sarebbe riconducibile alle attività “ispettive” di cui all’art. 354, comma 2, c.p.p. Ciò in quanto sembra doversi escludere che una mera riproduzione fotografica del display tuteli la genuinità e la conformità all’originale del materiale appreso, come pure imposto da tale ultima disposizione. (M.P.)
Per approfondire: DEL COCO R., L’utilizzo probatorio dei dati whatsapp tra lacune normative e avanguardie giurisprudenziali, in Proc. pen. giust, 2018, p. 532 ss.; FIORELLI G., Lo screenshot quale prova documentale: regole acquisitive e garanzie di affidabilità, in Dir. giust., 2020, p. 503 ss.; PITTIRUTI M., Digital Evidence e procedimento penale, Torino, 2017; TORRE M., Whatsapp e l’acquisizione processuale della messaggistica istantanea, in Dir. pen. proc., 2020 p. 1279 ss.
Corte di Cassazione, sez. VI penale, 20 dicembre 2022 (ud. 25 ottobre 2022), n. 48330
La sentenza conclude il trittico di pronunce dedicate all’acquisizione delle chat criptate realizzate utilizzando Sky ECC. Segnatamente, rigettando le doglianze difensive, i giudici di legittimità hanno affermato, in prima battuta, che l’acquisizione delle conversazioni Sky ECC riguarda una prova “statica”, poiché conservata nei server esteri, escludendo, perciò, la necessità di attivare le diverse garanzie da attivare in presenza di una procedura di captazione dinamica. Ciò premesso, la Suprema Corte ha affermato che, nel caso di specie, l’Autorità giudiziaria estera investita dall’ordine europeo di indagine si è resa garante del rispetto delle corrette procedure acquisitive, valorizzando, in particolare, l’avvenuta generazione di un doppio codice hash, a dimostrazione della non alterazione dei dati. Pertanto, l’indicazione nei verbali trasmessi dalle autorità estere delle operazioni compiute sul dato ha indotto la Suprema Corte ha escludere qualsiasi violazione del diritto di difesa (M.P.)
3. Novità legislative e normative nazionali
Proposta di legge costituzionale sul diritto di accesso ad Internet
Il 13 ottobre 2022 è stata presentata alla Camera dei Deputati una proposta di legge costituzionale (iniziativa on. Madia) che intende modificare l’art. 21 della Costituzione per riconoscere il diritto di accesso alla rete Internet. La proposta è dettata dalla consapevolezza, resa ancora più evidente negli anni di pandemia, che “l’accesso alla rete internet rappresenta, oggi, uno degli spartiacque tra inclusione ed esclusione sociale”, costituendo una componente essenziale della cittadinanza. Le tre finalità della proposta, si legge nella relazione, sono: garantire l’accesso ai servizi digitali; favorire la possibilità di formazione dei singoli e delle formazioni sociali; promuovere lo sviluppo dell’economia digitale e la nascita di nuove professionalità e opportunità di lavoro. Si propone quindi di aggiungere alla fine dell’art. 21 Cost. il seguente comma: “Tutti hanno eguale diritto di accedere alla rete internet, in condizioni di parità, con modalità tecnologicamente adeguate tali da favorire la rimozione di ogni ostacolo di ordine economico e sociale. La legge stabilisce provvedimenti adeguati a prevenire le violazioni del diritto di cui al presente comma”. (B.P.)
Per approfondire: RODOTÀ S., Una Costituzione per Internet?, in Politica del diritto, 2010, n. 3, p. 337 ss.
La riforma Cartabia e la tutela del diritto all’oblio
Con l’entrata in vigore della riforma del processo penale di cui alla legge 27 settembre 2021, n. 134 nonché del d.lgs. 10 ottobre 2022, n. 150 di attuazione delle deleghe in essa contenute, è stata ulteriormente rafforzata la tutela del diritto all’oblio di coloro che sono stati assolti nel processo penale. Il nuovo art. 64-ter delle disposizioni attuative del codice di procedura penale, infatti, prevede che il decreto di archiviazione e la sentenza di non luogo a procedere o di assoluzione costituiscano titolo per l’emissione di un provvedimento di deindicizzazione che, nel rispetto della normativa dell’Unione europea in materia di dati personali, garantisca in modo effettivo il diritto all’oblio degli indagati o imputati. Il provvedimento di deindicizzazione può essere chiesto ed ottenuto dalla cancelleria del giudice che ha emesso la sentenza di assoluzione o il decreto di archiviazione. Inoltre, è possibile chiedere anche una deindicizzazione preventiva, ossia l’obbligo di rendere non indicizzabili dai motori di ricerca tutti gli articoli che siano scritti da quel momento in poi. (C.C.)
In data 19 dicembre 2022, è stato presentato un Disegno di legge, d’iniziativa dei Senatori Zanettin e Scalfarotto, volto a ridisegnare, in senso limitativo, la disciplina relativa all’impiego del trojan horse nei procedimenti per i deltitti contro la pubblica amministrazione. Attraverso una modifica degli artt. 266 e 267 c.p.p., la proposta mira a sopprimere il regime di favore per l’impiego del trojan horse descritto dall’art. 266, comma 2-bis, c.p.p. Parificando, così, quanto a limiti e presupposti, la disciplina processuale in tema di malware nei delitti contro la pubblica amministrazione a quella prevista, in via generale, dagli artt. 266 ss. c.p.p., con un sostanziale ritorno alla disciplina prevista dalla riforma Orlando (M.P.)
Per approfondire: ROSSI N., Trojan Horse: tornare alla riforma Orlando? Il difficile equilibrio nell’impiego del captatore informatico, in Questione Giustizia, 28 dicembre 2022; MARAFIOTI L., Trojan Horse: spiragli di retromarcia legislativa, in Questione Giustizia, 24 gennaio 2023.
4. Segnalazioni bibliografiche
AA.VV., Speciale sul Secondo Protocollo addizionale alla Convenzione di Budapest, in Dir. pen. proc., 2022, n. 8, p. 1017 ss.
Annicchino P., (In)sicurezza dei dati, contromisure e attività di contrasto alla criminalità informatica, in Dir. pen. proc.., 2022, n. 9, p. 1155 ss.
Barresi O., La nuova rilevanza penale del trattamento illecito dei dati personali: il ripristino del principio di extrema ratio tra il detto e non detto della suprema corte, in Diritto di Internet, 2022, n. 4, p. 767 ss.
Buccarella M., Il Secondo Protocollo addizionale alla Convenzione di Budapest alla luce del diritto internazionale dei trattati, in Dir. pen. proc., 2022, n. 9, p. 1160 ss.
Chelo A., Tutela della libertà morale e captatore informatico: è davvero tutto concesso a soddisfazione delle esigenze investigative?, in Dir. pen. proc., 2022, n. 7, p. 954 ss.
Chelo A., Tabula rasa sui tabulati? Riflessioni a margine della recente giurisprudenza della Corte di giustizia dell'Unione europea, in Cass. pen., 2022, n. 9, p. 3268 ss.
Chiaraviglio P., La circolazione di idee discriminatorie ed i social network, tra apprezzamento, condivisione e comunità criminali virtuali, in Diritto di Internet, 2022, n. 4, p. 759 ss.
Colacurci M., Riconoscimento facciale e rischi per i diritti fondamentali alla luce delle dinamiche di relazione tra poteri pubblici, imprese e cittadini, in questa Rivista, 12 settembre 2022
Di Domenico A., Riesame del sequestro probatorio di strumenti informatici destinati per loro natura a raccogliere dati personali: una nuova pronuncia della Cassazione sull’interesse alla “esclusiva disponibilità del patrimonio informativo”, in Cass. pen., 2022, n. 11, p. 4053 ss.
Giannini A., Intelligenza artificiale, human oversight e responsabilità penale: prove d’impatto a livello europeo, in Discrimen, 21 novembre 2022
Lasagni G., Dalla riforma dei tabulati a nuovi modelli di integrazione fra diritti di difesa e tutela della privacy, in La Legislazione Penale, 21 luglio 2022.
Laterza M., La rilevanza probatoria dei likes apposti sui messaggi di istigazione all'odio razziale, in Dir. pen. proc., 2022, n. 8, p. 1089 ss.
Malacarne A. – Tessitore G., La ricostruzione della normativa in tema di data retention e l’ennesima scossa della Corte di giustizia: ancora inadeguata la disciplina interna?, in Archivio Penale, 15 settembre 2022
Panattoni B., Violazioni “incorporee” della sfera sessuale. Possibili evoluzioni ed insidie nell’ambito dei reati sessualmente connotati, in Archivio Penale, 2 dicembre 2022
Pasta A., Luci e ombre nella disciplina dei tabulati nel processo penale, in Cass. pen., 2022, n. 12, p. 4458 ss.
Picotti L., Cybercrimes and criminal relevance of artificial intelligence, in La transformación algorítmica del sistema de justicia penal, 2022, n. 7, p. 67 ss.
Procaccino A., Il Secondo Protocollo e le indagini della Procura europea, in Dir. pen. proc., 2022, n. 9, p. 1168 ss.
Procaccino A., Piccoli equivoci senza importanza: tra intercettazioni di flussi informatici, perquisizioni e prove atipiche, in Cass. pen., 2022, n. 9, p. 3106 ss.
Ricotta F.N., Questioni sull'utilizzo della backdoor a scopo di investigazione, in Cass. pen., 2022, n. 7-8, p. 2836 ss.
Salvi G., Attuazione della giurisdizione penale nello spazio virtuale e sicurezza nazionale, in questa Rivista, 15 novembre 2022
Soana G., Criptoriciclaggio: un orientamento che si consolida, in Diritto di Internet, 2022, n. 4, p. 749 ss.
Spiezia F., Cooperazione internazionale e tutela delle vittime nel cyberspazio, in Dir. pen. proc., 2022, n. 9, p. 1137 ss.