Scheda  
11 Settembre 2020


Cybercrime: rassegna delle novità (luglio-agosto 2020)


Beatrice Panattoni
Chiara Crescioli
Marco Pittiruti
Chiara Greco

Rassegna bimestrale di novità in materia di diritto e processo penale e nuove tecnologie


A cura di Lorenzo Picotti e Luca Luparia.

* Con la collaborazione scientifica dell’Osservatorio Cybercrime dell’Università degli Studi di Verona.

 

1. Novità sovranazionali

Corte di giustizia dell’Unione Europea, sentenza del 16 luglio 2020, Facebook Ireland e Schrems, C-311/18 (c.d. Scherms II)

La pronuncia trae origine dalla denuncia formulata dal sig. Schrems, cittadino austriaco iscritto alla piattaforma social Facebook, con la quale chiedeva all’autorità nazionale irlandese di vietare a Facebook Ireland di trasferire i suoi dati personali verso gli Stati Uniti (alla Facebook Inc.), sostenendo che il diritto e le prassi vigenti in tale paese non offrivano una protezione sufficiente dei dati personali conservati nel territorio del medesimo paese rispetto alle attività di sorveglianza ivi praticate dalle autorità pubbliche. Una volta adita l’High Court irlandese, questa ha sottoposto alla Corte di giustizia dell’Unione Europea, mediante rinvio pregiudiziale, diverse questioni concernenti l’interpretazione di alcune norme del GDPR, nonché la validità di due decisioni della Commissione europea relative alle valutazioni d’adeguatezza del regime di protezione dati offerto da paesi terzi verso cui dati di cittadini europei vengano trasferiti.

Con la sentenza in parola (che fa seguito alla prima pronuncia sul caso Schrems, sentenza del 6 ottobre 2015, C-362/14), la Corte di giustizia dell’Unione Europea conferma la validità della decisione della Commissione 2010/87 del 5 febbraio 2010, relativa alle clausole contrattuali standard / tipo per il trasferimento di dati personali a incaricati del trattamento stabiliti in paesi terzi, mentre dichiara invalida la decisione 2016/1250 del 12 luglio 2016, sull’adeguatezza della protezione offerta dal regime dello scudo UE-USA per la privacy.

L’invalidità di tale ultima decisione viene fondata sulla considerazione che le limitazioni alla protezione dei dati personali che derivano dalla normativa interna degli Stati Uniti in materia di accesso e utilizzo, da parte delle autorità pubbliche statunitensi, di tali dati trasferiti dall’Unione verso gli Stati Uniti (si tratta in particolare delle ingerenze risultanti dai programmi di sorveglianza fondati sulla Section 702 del Foreign Intelligence Surveillance Act del 1978 e sull’Executive Order 12333 del 1981, per come modificati nel 2008) non sono inquadrate in modo da corrispondere a requisiti sostanzialmente equivalenti a quelli richiesti, nel diritto dell’Unione, dall’articolo 52, paragrafo 1, seconda frase, della Carta di Nizza.

Inoltre, la Corte europea ritiene che le lacune constatate dalla stessa Commissione per quanto riguarda la tutela giurisdizionale delle persone i cui dati personali sono trasferiti verso gli Stati Uniti (da prendere in considerazione, ai sensi dell’articolo 45, § 2, lett. a GDPR nel valutare l’adeguatezza del livello di protezione garantito da un paese terzo) non possono considerarsi colmate dall’istituzione statunitense del Mediatore dello scudo per la privacy. Tale organo infatti, non offre alle persone i cui dati sono trasferiti verso gli Stati Uniti garanzie sostanzialmente equivalenti a quelle richieste dall’articolo 47 della Carta, dal momento che: (i) la sua diretta dipendenza dal Segretario di Stato statunitense ne mette in dubbio l’indipendenza dal potere esecutivo; (ii) non è previsto che tale Mediatore possa adottare decisioni vincolanti nei confronti dei servizi di intelligence; (iii) non sono previste garanzie da cui sarebbe contornato il suddetto impegno e delle quali potrebbero avvalersi gli interessati.

Per approfondire: si rimanda al Comunicato Stampa della Corte di giustizia dell’Unione europea n. 91/20 del 16 luglio 2020; nonché alle Frequently Asked Questions elaborate dall’European Data Protection Board. Sui rapporti tra privacy e processo penale, v. L. Lupária, Privacy, diritti della persona e processo penale, in Riv. dir. proc., 2019, 1448-1470. (B.P.)

 

Studio del Consiglio d’Europa sulle implicazioni dei sistemi di IA per il concetto di responsabilità

Il Consiglio d’Europa ha elaborato uno studio dove vengono esaminate le implicazioni delle tecnologie digitali avanzate (compresa l’Intelligenza Artificiale) per il concetto di responsabilità, con particolare riguardo alla possibilità che l’impiego di tali strumenti ostacoli il godimento dei diritti e delle libertà fondamentali tutelati dalla CEDU.

Il report si articola in tre capitoli: (i) nel primo si individuano i tratti caratterizzanti i sistemi di machine learning (come, ad esempio, l’autonomia decisionale, l’adattività all’ambiente circostante e l’opacità dei sistemi) che hanno delle dirette implicazioni sul concetto di responsabilità; (ii) nel secondo si analizza come l’impiego di sistemi algoritmici decisionali possa porre a repentaglio alcuni diritti fondamentali, in particolare il diritto alla privacy e alla protezione dei dati personali (art. 8 CEDU) e il diritto alla protezione contro forme di discriminazione (art. 14 CEDU); (iii) l’ultimo capitolo viene infine dedicato ai modelli di responsabilità applicabili e ai c.d. standard etici che l’industria tech si sta autonomamente impegnando a rispettare senza che siano tuttavia previsti meccanismi di enforcement o sanzionatori a presidio degli stessi. (B.P.)

 

Libro bianco della Commissione europea sull’Intelligenza Artificiale

È ora disponibile il Rapporto riassuntivo della consultazione pubblica, conclusasi il 14 giugno 2020, relativa al libro bianco sull’Intelligenza Artificiale della Commissione europea.

Il libro bianco ricostruisce il possibile quadro normativo di riferimento in materia di IA, evidenziando le lacune che andranno colmate per far fronte ai nuovi rischi che sollevano le peculiari caratteristiche (opacità, complessità, imprevedibilità e comportamento parzialmente autonomo) di molte tecnologie di IA. In particolare, la Commissione individua due principali aree di rischio: (i) per i diritti fondamentali, quali la protezione dei dati personali, privacy e non discriminazione; (ii) per la sicurezza e il funzionamento efficace del regime di responsabilità, posto in crisi (tra le altre) dalla moltitudine degli operatori economici lungo la catena di approvvigionamento.

Per quanto riguarda il quadro legislativo di riferimento, pur ritenendosi la legislazione dell’UE pienamente applicabile in linea di principio (particolarmente rilevante risulta il corpus di norme in materia di sicurezza dei prodotti e di responsabilità per danno da prodotti difettosi), essa dovrà essere aggiornata alle nuove questioni sollevate dall’IA. Infine, secondo la Commissione, oltre agli eventuali adeguamenti della legislazione esistente, potrebbe essere necessaria una nuova normativa specifica sull’IA, la quale dovrebbe essere redatta attraverso un approccio basato sul rischio, capace di distinguere tra le diverse applicazioni di IA, individuando quelle “ad alto rischio”. (B.P.)

 

Rapporto di valutazione della Commissione europea sul Regolamento europeo in materia di protezione dei dati personali (GDPR)

A due anni dalla sua entrata in vigore, è stato pubblicato in data 24.6.2020, a cura della Commissione europea, un rapporto di valutazione sul Regolamento UE 2016/679, c.d. GDPR, in particolare sull’applicazione e il funzionamento delle norme sul trasferimento dei dati personali verso paesi extra-UE ed organizzazioni internazionali, nonché sulle norme in materia di cooperazione.

La Commissione evidenzia che in generale il GDPR appare aver raggiunto con successo gli obiettivi di rafforzare la tutela del diritto individuale alla protezione dei dati personali e di garantire la libera circolazione dei dati all’interno dell’UE. In particolare, si è rivelato uno strumento sufficientemente flessibile anche nel supportare nuove soluzioni digitali per il contrasto alla pandemia da Covid-19.

La Commissione ritiene che le autorità di protezione dei dati abbiano fatto un uso equilibrato dei loro poteri correttivi ed evidenzia come le stesse abbiano sviluppato un buon livello di cooperazione attraverso il meccanismo dello sportello unico e un ampio ricorso all'assistenza reciproca, ma esse ancora non utilizzano appieno gli strumenti forniti dal GDPR, quali le operazioni congiunte (e tra queste, anche operazioni di indagine). Inoltre, la Commissione sottolinea la necessità che le autorità di protezione dei dati siano dotate delle risorse umane, tecniche e finanziarie essenziali per svolgere efficacemente i loro compiti.

Per quanto riguarda l’armonizzazione delle legislazioni nazionali, la Commissione rileva che, con la sola eccezione della Slovenia, tutti gli Stati membri hanno adottato nuove leggi o adattato la loro legislazione nazionale sulla protezione dei dati, anche se esiste ancora un certo grado di frammentazione, dovuto in particolare all’ampio uso, nel Regolamento, di clausole di specificazione facoltative.

Con riferimento alla dimensione internazionale, la Commissione sottolinea che sta lavorando a una modernizzazione globale di alcuni meccanismi in atto per i trasferimenti di dati personali al di fuori dell’UE, quali in particolare le clausole contrattuali standard, per aggiornarle alla luce dei nuovi requisiti introdotti dal GDPR (in argomento si veda anche la sentenza della Corte di Giustizia di cui al paragrafo precedente). Inoltre, si evidenzia che, per garantire l’effettivo rispetto del GDPR, è essenziale che le autorità di protezione dei dati coinvolgano, se necessario, il rappresentante del responsabile del trattamento o dell’incaricato del trattamento nell’UE, che può essere interpellato in aggiunta o in sostituzione della società con sede al di fuori dell’UE.

Infine, allo scopo di promuovere la convergenza e la cooperazione internazionale nel settore della protezione dei dati, la Commissione sta istituendo una “Accademia per la protezione dei dati”, vale a dir euna piattaforma in cui le autorità di protezione dei dati dell’UE e quelle straniere condivideranno conoscenze, esperienze e migliori pratiche per facilitare e sostenere la cooperazione tra le autorità di tutela della privacy. (C.C.)

 

Report del Cybercrime Convention Committee sulla Convenzione di Budapest sul Cybercrime

Il Consiglio d’Europa ha pubblicato, nel mese di luglio 2020, un nuovo report del Cybercrime Convention Committee (T-CY) che illustra i benefici e l’impatto della Convenzione di Budapest, a diciannove anni dalla stipula, sulle legislazioni nazionali e sul potenziamento delle indagini in ambito internazionale.

Nelle conclusioni, il Committee evidenzia i vantaggi derivanti dalla partecipazione alla Convenzione di Budapest: essa fornisce la base legale per attivare procedure di cooperazione internazionale in materia di cybercrime e prova elettronica; gli Stati membri della Convenzione sono altresì membri del Committee, sede in cui possono condividere informazioni ed expertise; in seno al Committee hanno luogo le negoziazioni funzionali all’adozione di futuri strumenti internazionali volti a prevenire ancor più efficacemente il fenomeno del cybercrime; gli Stati membri della Convenzione sono in grado di ottenere una miglior cooperazione da parte degli operatori del settore privato; gli Stati membri della Convenzione tendono a ricevere priorità quando si tratta di ideare e implementare programmi volti a migliorare le capacità operative in tema di lotta al cybercrime.

Per approfondire, v. L. Picotti, La ratifica della Convenzione Cybercrime del Consiglio d’Europa. Legge 18 marzo 2008, n. 48. Profili di diritto penale sostanziale e L. Lupária, La ratifica della Convenzione Cybercrime del Consiglio d’Europa. Legge 18 marzo 2008, n. 48. Profili processuali, in Dir. pen. proc., 2008, p. 696 ss. (C.G.)

 

Comunicazione della Commissione Europea relativa agli strumenti di contrasto degli abusi sui minori

La Comunicazione della Commissione Europea del luglio 2020 dedica particolare attenzione, nel quadro di una strategia europea per la lotta agli abusi sessuali sui minori, al tema degli abusi perpetrati online. A tal proposito la Comunicazione sottolinea come l’impiego della tecnologia end-to-end encryption, seppur benefico in termini di privacy e segretezza delle comunicazioni, ha di fatto agevolato le condotte criminali di alcuni soggetti, i quali possono condividere video ed immagini a contenuto pedopornografico nell’anonimato. La Commissione segnala dunque l’esigenza che il tema dell’utilizzo della tecnologia end-to-end encryption a fini criminali venga specificamente affrontato dalle Istituzioni e dagli Stati Membri.
Nella Comunicazione, la Commissione sottolinea l’esigenza di adottare le direttive sulla electronic evidence, di modo che gli Stati possano ottenere un accesso più veloce a prove fondamentali, detenute da operatori del settore privato (come ad esempio l’identità degli individui che hanno condiviso o caricato materiale pedo-pornografico online). Nel documento la Commissione anticipa, poi, la propria intenzione di preparare alcuni strumenti legislativi ad hoc aventi l’obiettivo di rendere obbligatoria (in capo anche agli operatori del settore privato) l’attività di monitoraggio e denuncia delle molestie perpetrate online ai danni di minori. La Comunicazione affronta, altresì, il tema delle operazioni sotto copertura online e dell’istituendo Innovation Hub and Lab di Europol, per facilitare l’accesso dei Paesi membri a strumenti tecnici sviluppati in ambito europeo. (C.G.)

 

2. Novità giurisprudenziali nazionali

Corte di Cassazione, sez. VI penale, sentenza 28 luglio 2020  (ud. 13 febbraio 2020), n. 22790/2020 - Pres. Anna Petruzzellis, Rel. Pietro Silvestri

Mutuando in tema di captatore informatico un orientamento ormai consolidato in tema di intercettazioni, la Corte di cassazione ha precisato che va esclusa l’applicazione all’inutilizzabilità della regola, dettata dall’art. 185, comma 1, c.p.p., per cui «la nullità di un atto rende invalidi gli atti consecutivi che dipendono da quello dichiarato nullo». Nel caso di specie, la difesa del ricorrente lamentava l’inutilizzabilità di tutte le conversazioni intercettate tramite captatore informatico anche nei luoghi di privata dimora, in quanto nei decreti autorizzativi la fattispecie per cui si procedeva (concorso esterno in associazione mafiosa) sarebbe stata descritta in modo generico. I giudici di legittimità hanno rigettato l’eccezione, rilevando, per un verso, la genericità della doglianza, poiché il ricorrente non indicava quali fossero le conversazioni intercettate inutilizzabili, né chiariva l’incidenza degli atti affetti dal vizio sul complessivo compendio probatorio, sì da potersene inferire la decisività ai fini del provvedimento impugnato. Per altro verso, pur riconoscendo che la prova inutilizzabile non può essere posta a fondamento dell’argomentazione giustificativa di una decisione, pena la nullità di quest’ultima per difetto di motivazione qualora non vi siano altre prove idonee a giustificarla indipendentemente da quelle inutilizzabili  (art. 125, comma 3, cod. proc. pen.), la Corte di cassazione ha escluso che l’inutilizzabilità di singole conversazioni captate a mezzo trojan si comunichi ad atti successivi, laddove la motivazione non faccia riferimento - nemmeno implicito - alla prova inutilizzabile.

Conformi: Corte di Cassazione, Sez. V penale, sentenza 25 marzo 2015 (ud. 20 novembre 2014), n. 12697; Corte di Cassazione, Sez. II penale, sentenza 2 dicembre 2011 (ud. 29 novembre 2011), n. 44877. (M.P.)

 

Corte di Cassazione, sez. V penale, sentenza 23 luglio 2020  (ud. 6 luglio 2020), n. 22066/2020 - Pres. Stefano Palla, Rel. Giuseppe Riccardi

Con la pronuncia in parola, i giudici di legittimità ribadiscono il consolidato principio già affermato dalla Corte di cassazione secondo cui l’estrazione dei dati contenuti in un supporto informatico, se eseguita da personale esperto in grado di evitare la perdita dei medesimi dati, costituisce un accertamento tecnico ripetibile e che, pertanto, non richiede l’attivazione delle garanzie di cui all’art. 360 c.p.p.

Nel caso di specie, nell’ambito di indagini finalizzate all’accertamento di un’ipotesi di addestramento ad attività con finalità di terrorismo internazionale online (art. 270-quinquies c.p.), da una perizia informatica del telefono in uso all’indagato emergeva la forte radicalizzazione dell’indagato, desunta, tra l’altro, dai collegamenti telematici con gruppi dediti all’esaltazione del martirio e della guerra santa contro gli infedeli, e delle pratiche terroristiche dell’ISIS; dal rinvenimento di filmati e video scaricati concernenti attentati, esecuzioni sommarie, decapitazioni eseguite dal gruppo terroristico dell’ISIS, bandiere e scritte esaltanti la lotta armata contro l'occidente, la propaganda di atti terroristici negli USA e nell’UE, nonché video concernenti le istruzioni per la fabbricazione di materiale esplodente, quali molotov e bombe del tipo ANFO, illustrate in tre “lezioni” da un uomo con il viso coperto da un passamontagna; dai contatti con numerose utenze estere, contenute nella rubrica o rintracciate tramite l'esame dei tabulati; dalle chat in modalità riservata su Telegrann in gruppi e canali di propaganda jihadista.

La difesa dell’indagato aveva eccepito l’inutilizzabilità del materiale acquisito mediante perizia informatica, in quanto espletata senza le garanzie, poiché le applicazioni Whatsapp e Telegram possono comportare la ricezione automatica del materiale inviato da altri (gestori del canale o altri utenti partecipanti alla chat) in maniera passiva ed inconsapevole; non sarebbe più possibile verificare se l'indagato li abbia soltanto ricevuti o anche visualizzati, a causa dell'apertura indiscriminata dei file audio e video rinvenuti nel cellulare. La motivazione del Tribunale sarebbe stata, sul punto, insufficiente ed apodittica.

Nel rigettare la doglianza in questione, la Corte di Cassazione precisa che non dà luogo ad accertamento tecnico irripetibile l’estrazione dei dati archiviati in un computer, trattandosi di operazione meramente meccanica, riproducibile per un numero indefinito di volte. L’estrazione di dati archiviati in un computer non costituisce accertamento tecnico irripetibile anche dopo l’entrata in vigore della legge 18 marzo 2008, n. 48, che ha introdotto unicamente l’obbligo di adottare modalità acquisitive idonee a garantire la conformità dei dati informatici acquisiti a quelli originali; ne deriva che la mancata adozione di tali modalità non comporta l'inutilizzabilità dei risultati probatori acquisiti, ma la necessità di valutare, in concreto, la sussistenza di eventuali alterazioni dei dati originali e la corrispondenza ad essi di quelli estratti.

Conformi: Corte di Cassazione, Sez. I penale, sentenza 18 marzo 2009 (ud. 26 febbraio 2009), n. 11863; Corte di Cassazione, Sez. II penale, sentenza 16 giugno 2015 (ud. 04 giugno 2015), n. 24988, che ha precisato che l’eventuale alterazione dei dati informatici e quindi la loro inutilizzabilità costituisce un accertamento in fatto del giudice di merito, che, se congruamente motivato, non è suscettibile di censura in sede di legittimità; Corte di Cassazione, Sez. II penale, sentenza 8 luglio 2015 (ud. 01/07/2015), n. 29061, che ha chiarito che i dati di carattere informatico rientrano in ogni caso nel novero delle prove documentali; Corte di Cassazione, Sez. V penale, sentenza 21 marzo 2016 (ud. 16/11/2015), n. 11905.

Per approfondire: M. Daniele, Il diritto al preavviso della difesa nelle indagini informatiche, in Cass. pen., 2012, p. 441 ss.; A.E. Ricci, Digital evidence e irripetibilità delle operazioni acquisitive, in Dir. pen. proc., 2010, p. 343 ss.; F. Novario, L’attività di accertamento tecnico difensivo disposta su elementi informatici e la sua ripetibilità, in Cib. dir., 2011, p. 84 ss.; in chiave critica, M. Pittiruti, Digital Evidence e procedimento penale, Torino, 2017, p. 105 ss. (M.P.)

 

Corte di Cassazione, sez. III penale, sentenza 10 giugno 2020 (ud. 26 novembre 2019), n. 17803/2020 - Pres. Fausto Izzo,  Rel. Angelo Matteo Socci

In questa sentenza la Corte specifica che il mutamento giurisprudenziale operato con la sentenza delle Sezioni Unite n. 51815/2018, secondo cui non è richiesto l’accertamento del concreto pericolo di diffusione del materiale pedopornografico per l’integrazione del reato di cui all’art. 600 ter c. 1 c.p., non realizza un caso di overruling in malam partem, essendo ormai generalizzato il pericolo di diffusione di materiale prodotto utilizzando minori, con la conseguenza che l’esclusione di tale pericolo quale presupposto per la sussistenza del reato non determina in concreto un ampliamento dell’ambito della fattispecie penale, risultando pertanto applicabile anche a fatti realizzati precedentemente, senza che si verifichi alcuna violazione degli artt. 2 c.p. e 7 CEDU.

Per approfondire: L. Picotti, La pedopornografia nel Cyberspace: un opportuno adeguamento della giurisprudenza allo sviluppo tecnologico ed al suo impatto sociale, in Dir. internet, 2019, n. 1, pp. 177-192. (B.P.)

 

Corte di Cassazione, sez. V Penale, sentenza 8 giugno 2020 (ud. 19 febbraio), n. 17360 – Pres. Francesca Morelli, Rel. Eduardo De Gregorio

Il delitto di accesso abusivo ad un sistema informatico o telematico ex art. 615-ter c.p. può concorrere con quello di frode informatica ex art. 640-ter c.p., dato che i beni giuridici tutelati e le condotte sanzionate sono diversi: il primo tutela il c.d. domicilio informatico sotto il profilo dello “ius excludendi alios”, anche in relazione alle modalità che regolano l’accesso dei soggetti eventualmente abilitati, mentre il secondo contempla e sanziona l’alterazione dei dati immagazzinati nel sistema al fine della percezione di ingiusto profitto.

Conformi: Corte di Cassazione, Sez. II penale, sentenza 17 giugno 2019 (ud. 29 maggio 2019), n. 26604; Corte di Cassazione, Sez. V penale, sentenza 16 gennaio 2009 (ud. 30 settembre 2008), n. 1727; Corte di Cassazione, Sez. V penale, sentenza 27 gennaio 2004, (ud. 19 dicembre 2003), n. 2672.

Per approfondire: G. Minicucci, Le frodi informatiche, in A. Cadoppi, S. Canestrari, A. Manna, M. Papa (a cura di), Cybercrime, Torino, 2019, p. 827 ss.; L. Picotti, Sistematica dei reati informatici, tecniche di formulazione legislativa e beni giuridici tutelati, in Id. (a cura di), Il diritto penale dell’informatica nell’epoca di Internet, Padova, 2004, p. 21 ss. (C.C.)

 

Corte di Cassazione, sez. V penale, sentenza 4 giugno 2020 (ud. 11 febbraio 2020), n. 16975/2020 – Pres. Enrico Scarlini, Est. Maria Teresa Belmonte

Risponde del reato di rivelazione di segreti scientifici o industriali di cui all’art. 623 c.p. colui che, pur senza duplicare il software della società per la quale ha precedentemente lavorato, sfrutta le informazioni ivi contenute riuscendo così a realizzare un prodotto tecnologicamente sofisticato e fortemente concorrenziale in breve tempo da piazzare sul mercato, senza sopportare i costi della sperimentazione e della ricerca, con conseguente notevole vantaggio patrimoniale a discapito della società interessata. Infatti, la tutela prestata dall’art. 623 c.p. va oltre l’invenzione brevettabile ed è estesa al know how aziendale in quanto riconducibile all'elastica nozione di “applicazione industriale”, oggi assimilabile all'espressione del “segreto commerciale”, come regolato dall’art. 9, comma 3, d.lgs. n. 63/2018. Inoltre, anche se la sequenza delle informazioni (che, nel loro insieme, costituiscono un tutt’uno per la concretizzazione di una fase economica specifica dell'attività dell’azienda) è costituita da singole informazioni di per sé note, ove detta sequenza sia invece non conosciuta e considerata segreta in modo fattivo dall’azienda, essa è di per sè degna di protezione e tutela.

Per approfondire: R. E. Omodei, La tutela penale del segreto commerciale in Italia. Fra esigenze di adeguamento e possibilità di razionalizzazione, in Dir. pen. cont., 2019, n. 2, p. 112 ss.; L. Picotti, Invenzioni industriali. III) Tutela penale, voce in Enc. giur.Treccani, vol. XVII, Roma, 1989, p. 1-16; N. Mazzacuva, La tutela penale del segreto industriale, Milano, 1979. (C.C.)

 

Corte di Cassazione, sez. II penale, sentenza 10 aprile 2020 (ud. 7 novembre 2019), n. 11959/2020 - Pres. Matilde Cammino,  Rel. Sergio Di Paola

Riconoscendo l’attributo della fisicità al dato informatico (per essere un’entità che occupa fisicamente una porzione di memoria quantificabile), e considerando la capacità dei files di essere trasferiti tra dispositivi o sistemi nonché di essere “custoditi” in ambienti “virtuali”, la Corte di Cassazione ha affermato il seguente principio di diritto: «i dati informatici (files) sono qualificabili cose mobili ai sensi della legge penale e, pertanto, costituisce condotta di appropriazione indebita la sottrazione da un personal computer aziendale, affidato per motivi di lavoro, dei dati informatici ivi collocati, provvedendo successivamente alla cancellazione dei medesimi dati e alla restituzione del computer “formattato”».

In senso conforme: Corte di Cassazione, Sez. V penale, sentenza 23 luglio 2015 (ud. 19 febbraio 2015), n. 32383/2015.

In senso difforme: Corte di Cassazione, Sez. IV penale, sentenza 29 gennaio 2004 (ud. 13 novembre 2003), n. 3449; Corte di Cassazione, Sez. IV penale, sentenza 21 dicembre 2010 (ud. 26 ottobre 2010), n. 44840; Corte di Cassazione, Sez. II penale, sentenza 24 maggio 2016 (ud. 18 febbraio 2016), n. 21596.

Per approfondire: si rimanda alla nota redazionale dell’Osservatorio Cybercrime dell’Università di Verona; inoltre cfr. N. Pisani, La nozione di “cosa mobile” agli effetti penali e i files informatici: il significato letterale come argine all’applicazione analogica delle norme penali, in Dir. pen. proc., 2020, pp. 651-655; J.P. Castagno e A.A. Stigliano, La tutela penale del patrimonio informativo aziendale tra appropriazione indebita di files e “presa di conoscenza” di informazioni, in Dir. internet, 2020, n. 3, p. 485 ss; L. Picotti, Sistematica dei reati informatici, tecniche di formulazione legislativa e beni giuridici tutelati, in Id. (a cura di), Il diritto penale dell’informatica nell’epoca di Internet, Padova, 2004, pp. 60 ss.; I. Salvadori, L’accesso abusivo ad un sistema informatico o telematico. Una fattispecie paradigmatica dei nuovi beni giuridici emergenti nel diritto penale dell'informatica, in L. Picotti (a cura di), Tutela penale della persona e nuove tecnologie, Padova, 2013, pp. 125-161; R. Flor, Riservatezza informatica e sicurezza informatica quali nuovi beni giuridici penalmente protetti, in V. Militello e A. Spena (a cura di), Mobilità, sicurezza e nuove frontiere tecnologiche, Torino, 2018, pp. 463-482; Id., Cybersecurity ed il contrasto ai cyber-attacks a livello europeo: dalla CIA-Triad Protection ai più recenti sviluppi, in Dir. internet, 2019, n. 3, pp. 453-467; L. Picotti, Cybersecurity: Quid Novi?, in Dir. internet, 2020, n. 1, pp. 11-15. (B.P.)

 

Corte di Cassazione, sez. III penale, sentenza 12 febbraio 2020 (ud. 21 novembre 2019), n. 5522/2020 – Pres. Fausto Izzo, Rel. Ubalda Macrì

Con riferimento al reato di pornografia minorile ex art. 600-ter c.p. le condotte sanzionate nel comma 1, tra cui la produzione, presuppongono che l’autore sia persona diversa dal minore, per cui la mera duplicazione di selfie pornografici effettuati tramite autoscatto dallo stesso minore non può essere qualificata come produzione. Tuttavia, l’eteroproduzione da parte di terzi del materiale pedopornografico non costituisce requisito stringente ed indefettibile di tutte le condotte punite dalla fattispecie in questione. Infatti, nell’ultima condotta della seconda ipotesi dello stesso comma 1, è ben possibile che l’agente tragga altrimenti profitto dagli spettacoli pornografici autoprodotti dal minore. Inoltre, i successivi commi 2, 3 e 4, nel riferirsi al materiale pornografico di cui al comma 1, non richiamano l’intera condotta delittuosa del comma precedente, ma fanno riferimento soltanto all’oggetto materiale del reato, ovvero il materiale pedopornografico. Ne consegue che per la configurabilità del delitto di cui al comma 4 dell’art. 600-ter c.p., relativo all’offerta o cessione ad altri di materiale pedopornografico, è sufficiente che oggetto dell’offerta o della cessione sia qualificabile come materiale pedopornografico, mentre è irrilevante che lo stesso sia stato realizzato dallo stesso minore. Tale interpretazione, che non costituisce overruling in malam partem, consente di salvaguardare le esigenze di tutela del minore adattando la fattispecie incriminatrice alle evoluzioni tecnologiche, con particolare riguardo al fenomeno del sexting, che determina un’inversione della strumentalizzazione del minore, che si sposta dal momento della produzione al momento della diffusione.

Cfr.: Corte di Cassazione, Sez. Unite penali, sentenza 15 novembre 2018 (ud. 31 maggio 2018), n. 51815 con nota di L. Picotti in Dir. internet, 2019, n. 1, p. 177 ss.; Corte di Cassazione, Sez. Unite penali, sentenza 5 luglio 2000 (ud. 31 maggio 2000), n. 13; Corte di Cassazione, Sez. III penale, sentenza 21 marzo 2016 (ud. 18 febbraio 2016), n. 11675; Corte di Cassazione, Sez. III penale, sentenza n. 13 luglio 2017 (ud. 11 aprile 2017), n. 34357.

Per approfondire: L. Picotti, La pedopornografia nel Cyberspace: un opportuno adeguamento della giurisprudenza allo sviluppo tecnologico ed al suo impatto sociale, in Dir. internet, 2019, n. 1, pp. 177-192.; I. Salvadori, Sexting, minori e diritto penale, in A. Cadoppi, S. Canestrari, A. Manna, M. Papa (a cura di), Cybercrime, Torino, 2019, p. 567 ss.; I. Salvadori, I minori da vittime ad autori di reati di pedopornografia? Sui controversi profili penali del sexting, in Ind. pen., 2017, n. 3, p. 789 ss.

N.d.r.: nonostante si tratti di sentenza pubblicata in febbraio, si segnala ugualmente in questa prima rassegna in quanto particolarmente significativa. (C.C.)

 

3. Novità legislative e normative nazionali

Conversione in legge, con modificazioni, del decreto-legge 19 maggio 2020 n. 24, c.d. Decreto Rilancio

È stata pubblicata nella Gazzetta Ufficiale del 18 luglio 2020 n. 180 la legge 17 luglio 2020, n. 77, di conversione, con modificazioni, del decreto-legge 19 maggio 2020 n. 24, c.d. Decreto Rilancio, recante misure urgenti in materia di salute, sostegno al lavoro e all’economia, nonché di politiche sociali connesse all'emergenza epidemiologica da COVID-19.

Si segnala che è stata confermata la disposizione dell’art. 7 del decreto, che prevede la possibilità per il Ministero della Salute di trattare dati personali anche relativi alla salute degli assistiti, raccolti nei sistemi informativi del Servizio sanitario nazionale, per lo sviluppo di metodologie predittive dell'evoluzione del fabbisogno di salute della popolazione.

È stato invece introdotto un nuovo art. 195-bis, ai sensi del quale l’Autorità per le garanzie nelle comunicazioni, su istanza dei titolari dei diritti, può ordinare ai fornitori di servizi della società dell’informazione che utilizzano, a tale fine, anche indirettamente, risorse nazionali di numerazione, di porre fine alle violazioni del diritto d’autore e dei diritti connessi; in caso di inottemperanza viene prevista (modificando l’art. 1 c. 31 della l. n. 249/1997) una sanzione amministrativa pecuniaria che va da euro diecimila fino al due per cento del fatturato realizzato nell’ultimo esercizio chiuso anteriormente alla notifica della contestazione.

In sede di conversione, infine, è stato introdotto anche l’art. 263-bis, il quale introduce il comma 3-bis all’art. 27 del codice del consumo, in forza del quale l’Autorità garante della concorrenza e del mercato può ordinare, anche in via cautelare, ai fornitori di servizi di connettività alle reti internet, ai gestori di altre reti telematiche o di telecomunicazione, nonché agli operatori che in relazione ad esse forniscono servizi telematici o di telecomunicazione, la rimozione di iniziative o attività destinate ai consumatori italiani che integrano gli estremi di una pratica commerciale scorretta. In caso di inottemperanza l’Autorità stessa può applicare una sanzione amministrativa fino a 5.000.000 di euro. (B.P.)

 

Approvato il decreto-legge 16 luglio 2020 n. 76, c.d. Decreto Semplificazioni

È stato pubblicato nella Gazzetta Ufficiale del 16 luglio 2020 n. 178 il decreto-legge 16 luglio 2020 n. 76, recante misure urgenti per la semplificazione e l’innovazione digitale. Tra le diverse novità spiccano, oltre alla riforma del reato di abuso d’ufficio, diverse modifiche al d.lgs. 7  marzo  2005,  n.  82, c.d. Codice dell’amministrazione digitale, portate dagli artt. 24 ss. In particolare, è prevista la semplificazione e il rafforzamento dell’accesso al domicilio digitale per i cittadini, specie per le persone con disabilità, nonché l’accesso a tutti i servizi digitali della Pubblica amministrazione tramite SPID, Carta d’identità elettronica (CIE) e tramite app IO su smartphone. Viene poi istituito il c.d. domicilio digitale per i professionisti, anche non iscritti in albi, accompagnato dalla sanzione della sospensione dall’albo per il professionista che non comunica il proprio indirizzo PEC all’Ordine di appartenenza. Viene poi statuito che la verifica dell’identità digitale con livello di garanzia almeno significativo, ai sensi dell’articolo 8, paragrafo 2, del Regolamento (UE) n. 910/2014 del 23 luglio 2014, produce, nelle transazioni elettroniche o per l’accesso ai servizi in rete, gli effetti del documento  di riconoscimento equipollente.

All’art. 26 viene istituita la piattaforma per la notificazione digitale degli atti della  pubblica amministrazione, alla quale si accede tramite SPID o Carta d’identità elettronica, e si prevede che ai fini della notificazione di  atti,  provvedimenti,  avvisi  e comunicazioni,  in  alternativa  alle  modalità  previste  da  altre disposizioni di legge, anche in materia tributaria, le amministrazioni possono rendere disponibili  telematicamente  sulla piattaforma i corrispondenti documenti  informatici. Tale modalità di notificazione per il momento non si applica agli atti del processo civile, penale, per l’applicazione di misure di prevenzione, amministrativo, tributario e  contabile e ai provvedimenti e alle comunicazioni ad essi connessi, come statuito dal comma 17 del citato art. 26.

L’art. 28, invece, si occupa della semplificazione della notificazione e comunicazione telematica  degli  atti  in materia civile, penale, amministrativa, contabile e stragiudiziale e dispone che le amministrazioni pubbliche possono comunicare gli indirizzi di posta elettronica certificata di propri organi o articolazioni, anche territoriali, presso cui eseguire le comunicazioni o notificazioni per via telematica nel caso in cui sia stabilito presso questi l’obbligo di notifica degli atti introduttivi di giudizio in relazione a specifiche materie ovvero in caso di autonoma capacità o legittimazione processuale.

Infine, con l’art. 31 vengono introdotte alcune disposizioni in materia di semplificazione dei sistemi informativi delle pubbliche amministrazioni e dell’attività di coordinamento nell’attuazione della strategia digitale e in materia di perimetro di sicurezza nazionale cibernetica, mentre con l’art. 32 viene istituito il Codice di condotta tecnologica, allo scopo di disciplinare le modalità di progettazione, sviluppo e implementazione dei progetti, sistemi e servizi digitali delle amministrazioni pubbliche, nel rispetto della disciplina in materia di perimetro nazionale di sicurezza cibernetica. (C.C.)

 

Conversione in legge, con modificazioni, del decreto-legge 30 aprile 2020, n. 28

È stata pubblicata nella Gazzetta Ufficiale n. 162 del 29 giugno 2020 la legge 25 giugno 2020, n. 70 di conversione, con modificazioni, del decreto-legge 30 aprile 2020 n. 28, recante misure urgenti per la funzionalità dei sistemi di intercettazioni di conversazioni e comunicazioni, ulteriori misure urgenti in materia di ordinamento penitenziario, nonché disposizioni integrative e di coordinamento in materia di giustizia civile, amministrativa e contabile e misure urgenti per l’introduzione del sistema di allerta Covid-19, in vigore dal 30 giugno 2020.

Con tale provvedimento legislativo all’art. 1 è stato prorogato al 1° settembre 2020 il termine a partire dal quale la nuova disciplina delle intercettazioni, introdotta dal d.lgs. n. 216 del 2017 (c.d. riforma Orlando) e in seguito modificata dalla l. n. 3/2019 (c.d. legge Spazzacorrotti) e dal d.l. n. 161/2019, convertito con modifiche dalla l. n. 7/2020 (c.d. controriforma Bonafede), troverà applicazione. Non essendo state deliberate successivamente ulteriori proroghe, è dunque entrata in vigore la nuova disciplina che regola l’impiego del trojan nel processo penale.

La legge di conversione ha poi introdotto un inedito art. 1-bis, che, al fine di assicurare una più efficace vigilanza sugli istituti penitenziari e garantire la sicurezza all’interno degli stessi, prevede la possibilità di utilizzo dei droni da parte del personale abilitato della polizia penitenziaria.

L’art. 6 invece istituisce la piattaforma unica nazionale per la gestione del sistema di allerta dei soggetti che, su base volontaria, hanno installato un’apposita applicazione sui dispositivi di telefonia mobile per essere avvisati nel caso in cui siano entrati in contatto con soggetti risultati positivi al COVID-19.

Infine, l’art. 7-bis introduce una nuova disposizione in materia di sistemi di protezione dei minori dai rischi del cyberspazio, imponendo agli operatori di telefonia, di reti televisive e di comunicazioni elettroniche di prevedere, gratuitamente, fra i servizi preattivati e disattivabili solo su richiesta dell'utenza, l’attivazione di filtri, blocchi alla navigazione e di altri sistemi di parental control. (C.C.)

 

4. [Focus] Emergenza sanitaria Covid-19

Parere del Comitato Medicrime del Consiglio d’Europa

Con l’emergenza Covid-19 sono emersi o si sono intensificati diversi fenomeni criminosi. Tra questi, oltre ad un forte accentuarsi degli attacchi cyber, si sono riscontrati diversi casi di fabbricazione, fornitura od offerta di materiale medico contraffatto o non autorizzato, la maggioranza dei quali è avvenuta nel cyberspace, rendendo questi reati particolarmente difficili da prevenire e reprimere. Un importante strumento per il contrasto di questi comportamenti criminosi è dato dalla Convenzione del Consiglio d’Europa Medicrime di Mosca del 28.10.2011 (sottoscritta ma non ancora ratificata dall’Italia), che prevede sanzioni per chi fornisce o vende online medicinali contraffatti o non autorizzati, nonché per gli acquirenti che utilizzino illegalmente internet per approvvigionarsi di farmaci non autorizzati e che impone la creazione di avvisi mirati agli utenti che visitano i siti di e-pharmacy non autorizzati.

Nel parere dell’8 aprile 2020, il Comitato Medicrime mette in guardia contro l’aumento del rischio di vendita di prodotti medici contraffatti, in questi tempi di carenza rispetto alla crescente domanda, quali medicinali, dispositivi medici, maschere protettive e test di screening rapido, che possono rivelarsi inefficaci o pericolosi per chi li utilizza. (B.P.)

 

Comunicazione della Commissione europea sulle app di contact tracing

Durante la fase di progressivo allentamento delle misure di contenimento, applicazioni con funzionalità finalizzate a sostenere la lotta contro il virus si sono rilevate strumenti particolarmente importanti, purché il loro sviluppo ed utilizzo si fondi sulla garanzia del rispetto dei diritti fondamentali dei cittadini. Con un’apposita comunicazione (2020/C 124 I/01) la Commissione europea fornisce orientamenti sulle caratteristiche e sui requisiti che le applicazioni dovranno garantire per rispettare la legislazione europea in materia di protezione dei dati personali e della vita privata.

Le app a cui si riferisce la comunicazione sono quelle che prevedono funzionalità di informazione sulla pandemia, di controllo dei sintomi mediante telemedicina e di tracciamento dei contatti, nonché allerta nel caso in cui si sia entrati a contatto con un soggetto positivo. (B.P.)

 

Report dell’Interpol sull’impatto del Covid-19 sul Cybercrime

Il report in questione, pubblicato nell’agosto 2020, analizza i dati dell’impatto sul cybercrime dell’emergenza Covid. Tra gennaio e aprile 2020, sono stati identificati circa 907.000 messaggi di spam, 737 incidenti dovuti all’impiego di malware e 48.000 URL dannosi, tutti correlati alla pandemia in corso. In particolare, il report segnala un’evoluzione negli obiettivi di tali attività criminose (non più individui e piccole aziende ma soprattutto grandi aziende, governi e infrastrutture), sottolineando, altresì, che l’impiego generalizzato dello smart working ha favorito la sottrazione di dati sensibili. (M.P.)

 

 

5. Segnalazioni bibliografiche

AA.VV., Special Collection on Artificial Intelligence, Unicri-Center for Artificial Intelligence and Robotics, 2020

Brants C., Johnson J., Wilson T.J, New Wine in Old Bottles: Alternative Narratives of Cybercrime and Criminal Justice?, in The Journal of Criminal Law, 2020, vol. 1-4, pp. 1-4.

De Flammineis S., Diritto penale, beni giuridici collettivi nella sfida delle fake news: principio di offensività ed emergenze, in SP, 2020, n. 6, pp. 131-146

Della Torre J., Novità dal Regno Unito: il riconoscimento facciale supera il vaglio della High Court of Justice (ma raccoglie le critiche del garante privacy d’oltremanica), in Dir. pen. cont., 2020, n. 1, pp. 231-247

Della Torre J., La nuova disciplina dell’uso trasversale delle intercettazioni: un nodo arduo da sciogliere, in Dir. internet, 2020, n. 3, pp. 413-428

Fiorelli G., Lo screenshot quale prova documentale: regole acquisitive e garanzie di affidabilità, in Dir. internet, 2020, n. 3, pp. 503-510

Gialuz M. (a cura di), Le nuove intercettazioni, legge 28 febbraio 2020, n. 7, supplemento speciale di Dir. internet, 2020, n. 3

Magro M.B., Decisione umana e decisione robotica. Un’ipotesi di responsabilità da procreazione robotica, in Legislazione penale, 10 maggio 2020

Napolitano S., Dall’udienza penale a distanza all’aula virtuale, in SP, 2020, n. 7, pp. 25-67

Paruchuri S., Case A., Golden R.G., Gaslight revisited: Efficient and powerful fuzzing of digital forensics tools, in Computers & Security, 2020, vol. 97, pp. 1-7

Pisani N., La nozione di “cosa mobile” agli effetti penali e i files informatici: il significato letterale come argine all’applicazione analogica delle norme penali, in Dir. pen. proc., 2020, n. 5, pp. 651-655

Shalaginov A., Franke K., Johnson J.W. (a cura di), Big Data Analytics and Artificial Intelligence for Cyber Crime Investigation and Prevention, in Future Generation Computer System, special issue, 2020.

Tinoco-Pastrana A., The Proposal on Electronic Evidence in the European Union, in Eucrim – The European Criminal Law Association’s Forum, 2020, n. 1, pp. 46-50

Tosza S., All evidence is equal, but electronic evidence is more equal than any other: The relationship between the European Investigation Order and the European Production Order, in New Journal of European Criminal Law, 2020, vol. 11, 2, pp. 161–183

Vadalà R.M., Criptovalute e cyberlaundering: novità antiriciclaggio nell’attesa del recepimento della Direttiva (UE) 2018/1673 sulla lotta al riciclaggio mediante il diritto penale, in SP, 6 maggio 2020

Vadalà R.M, La disciplina penale degli usi ed abusi delle valute virtuali, in Dir. internet, 2020, n. 3, pp. 397-412