Scheda  
03 Giugno 2021


Cybercrime: rassegna delle novità (marzo-aprile 2021)


Chiara Crescioli
Chiara Greco
Beatrice Panattoni
Marco Pittiruti
Rosa Maria Vadalà

Rassegna bimestrale di novità in materia di diritto e processo penale e nuove tecnologie


Responsabili scientifici: Prof. Lorenzo Picotti e Prof. Luca Lupária – monitoraggio a cura di Chiara Crescioli, Chiara Greco, Beatrice Panattoni, Marco Pittiruti e Rosa Maria Vadalà.

In collaborazione con l’Osservatorio Cybercrime dell’Università degli Studi di Verona.

 

 

1. Novità sovranazionali

Regolamento (UE) 2021/784 del Parlamento europeo e del Consiglio del 29 aprile 2021 relativo al contrasto della diffusione di contenuti terroristici online

Prendendo atto della particolare gravità delle diffusioni in rete di contenuti di natura terroristica, le istituzioni europee hanno approvato il Regolamento 784/2021 (che si applicherà a partire dal 7 giugno 2022) volto per l’appunto a contrastare un uso improprio dei servizi di hosting per finalità terroristiche. Il Regolamento si fonda su una combinazione di misure legislative, non legislative e volontarie basate sulla collaborazione tra le autorità e i prestatori di servizi di hosting, nel pieno rispetto dei diritti fondamentali.

In particolare, il Regolamento, all’art. 3, prevede la facoltà per gli Stati membri di emettere a carico dei prestatori di servizi un ordine di rimozione di contenuti terroristici in tutti gli Stati membri. Una volta ricevuto tale ordine, gli hosting providers dovranno provvedere alla rimozione del contenuto il prima possibile, e in ogni caso entro un’ora dal ricevimento dell’ordine. I contenuti rimossi dovranno poi essere conservati dagli intermediari per 6 mesi ai fini delle indagini.

Inoltre, il Regolamento prevede, all’art. 5, che i prestatori di servizi di hosting adottino misure specifiche, efficaci e proporzionate, fondate su meccanismi automatici e automatizzati ma anche garantendo verifiche umane, laddove ritenute necessarie, per proteggere i propri servizi dalla diffusione al pubblico di contenuti terroristici. Potendo dunque i prestatori di servizi di hosting provvedere autonomamente alla rimozione dei contenuti ospitati sulle proprie piattaforme, il Regolamento evidenzia che, per poter garantire una tutela giurisdizionale effettiva, i fornitori di contenuti devono essere posti in grado di conoscere il motivo per cui i contenuti che essi forniscono è stato rimosso o il cui accesso è stato disabilitato. A tal fine, i prestatori di servizi di hosting devono mettere a disposizione del fornitore di contenuti informazioni concernenti la rimozione, nonché predisporre un meccanismo di reclamo.

In caso invece di contenuti terroristici che comportino una minaccia imminente per la vita o un presunto reato di terrorismo, quale definito dalla direttiva 541/2017, i prestatori dovranno informare tempestivamente le autorità competenti.

Gli Stati membri dovranno designare le autorità competenti (anche tra quelle esistenti) a emettere e valutare gli ordini di rimozione, controllare l’adozione delle misure specifiche, così come irrogare sanzioni. Tali autorità dovranno poi coordinarsi e cooperare tra loro a livello sovranazionale.

Vengono fatte salve disposizioni contenute nella direttiva 31/2000, per cui rimane fermo il divieto di imporre un obbligo generale di ricerca attiva di contenuti terroristici a carico dei prestatori di servizi. Inoltre, le diverse misure adottate da questi ultimi non dovranno comportare automaticamente la perdita del beneficio dell’esenzione di responsabilità previsto in tale direttiva.

Infine, per quanto riguarda il trattamento sanzionatorio, gli Stati membri dovranno stabilire le norme relative alle sanzioni applicabili alle violazioni del Regolamento da parte dei prestatori di servizi di hosting, che potranno essere di natura amministrativa o penale. (B.P.)

 

Proposta di Regolamento del Parlamento europeo e del Consiglio che stabilisce norme armonizzate in materia di intelligenza artificiale (Artificial Intelligence Act)

La Commissione europea ha presentato il 21 aprile 2021 la proposta di Regolamento in materia di Intelligenza Artificiale (IA), il quale si applicherebbe a: (i) fornitori che immettono sul mercato o mettono in servizio sistemi di IA nell’Unione Europea, indipendentemente dal fatto che tali fornitori siano stabiliti nell’Unione o in un paese terzo; (ii) utenti dei sistemi di IA che siano cittadini europei; (iii) fornitori ed utilizzatori di sistemi di IA che si trovano in un paese terzo, qualora l’output prodotto dal sistema sia utilizzato nell’Unione.

La presente proposta si prefigge di configurare un assetto normativo equilibrato e proporzionato, limitandosi a delineare i requisiti minimi necessari per affrontare i rischi e i problemi legati all’IA, senza limitare o ostacolare indebitamente lo sviluppo tecnologico o aumentare in modo sproporzionato il costo di immissione sul mercato dei sistemi esperti.

La proposta stabilisce quindi regole armonizzate per lo sviluppo, l’immissione sul mercato e l’uso di sistemi di IA, seguendo un proporzionato approccio basato sul rischio. Si fornisce un’unica definizione di IA, che possa tener conto anche dei prossimi e futuri sviluppi di tali tecnologie, secondo la quale con sistema di IA deve intendersi un software sviluppato con una o più delle tecniche elencate nel I allegato della proposta e che può, per un dato insieme di obiettivi definiti dall’uomo, generare output come contenuti, previsioni, raccomandazioni o decisioni che influenzano gli ambienti con cui interagiscono.

Alcune pratiche di IA particolarmente rischiose o dannose sono proibite in quanto contrarie ai valori dell’Unione (sono ricomprese nel Titolo II e tra queste figurano, ad esempio, le utilizzazioni di sistemi di IA che dispieghino tecniche subliminali non note agli utenti al fine di manipolarne il comportamento e causando loro un danno fisico o psicologico), mentre restrizioni e garanzie specifiche sono proposte in relazione a certe utilizzazioni dei sistemi di identificazione biometrica a distanza. La proposta stabilisce una solida metodologia per definire i sistemi di IA “ad alto rischio”, che presentano rischi significativi per la salute e la sicurezza o i diritti fondamentali delle persone. Questi sistemi di IA dovranno rispettare una serie di requisiti orizzontali obbligatori per garantirne l’affidabilità, nonché seguire procedure di valutazione della conformità prima che possano essere immessi sul mercato. L’intenzione è quella di delineare obblighi prevedibili, proporzionati e chiari anche a carico dei fornitori e degli utenti di tali sistemi, per garantire la sicurezza e il rispetto della legislazione esistente durante l’intero ciclo di vita dei sistemi di IA. Per alcuni sistemi specifici, vengono proposti solo obblighi minimi di trasparenza, in particolare quando vengono utilizzati chatbot o “deep fakes.

Le regole proposte saranno applicate attraverso un sistema di governance a livello di Stati membri, basandosi su strutture già esistenti, e un meccanismo di cooperazione a livello di Unione con l’istituzione di un European Artificial Intelligence Board. (B.P.)

 

Comunicazione della Commissione sulla Strategia Europea per contrastare la criminalità organizzata per il 2021-2025

Il 14 aprile 2021 la Commissione Europea ha presentato la Strategia quinquennale contro la criminalità organizzata, indicando specifiche azioni per contrastarne, anche, la dimensione informatica.

I crimini informatici commessi da organizzazioni criminali sono, infatti, notevolmente accresciuti nel periodo pandemico: sia per numero che per livello di sofisticazione degli attacchi malware e delle frodi, in particolare, con riguardo ai mezzi di pagamento diversi dai contanti. Si stima che l'80 % dei reati della criminalità organizzata abbia natura digitale e che le organizzazioni criminali sappiano usare le tecnologie informatiche e sfruttare il cyberspace per comunicare, pianificare le proprie operazioni e operare scambi di ogni tipo.

In conseguenza anche di questa particolare connotazione digitale, gli obiettivi che la Commissione si è prefissa di perseguire sono: 1. Rafforzare la cooperazione tra autorità di contrasto e autorità giudiziarie: tra le iniziative da intraprendere la Commissione proporrà di aggiornare il “quadro Prüm” per lo scambio d'informazioni su DNA, impronte digitali e immatricolazione dei veicoli, e di varare un codice unico UE di cooperazione di polizia che sostituirà l'attuale mosaico di differenti strumenti e accordi multilaterali di cooperazione; 2. Sostenere indagini più efficaci per smantellare le strutture della criminalità organizzata concentrandosi su alcuni reati specifici, per cui si ritiene sarà necessario intervenire appositamente e tempestivamente, quali, per esempio, oltre a quelli a dimensione digitale, i reati ambientali, la contraffazione di dispositivi medici e il commercio illecito di beni culturali, nonché la tratta di esseri umani, in coordinamento e connessione con la relativa strategia ad hoc già varata; 3. Garantire che il crimine non paghi: a fronte del fatto che oltre il 60 % delle reti criminali attive nell'UE agiscono attraverso la corruzione e più dell'80 % utilizzano attività commerciali legittime come facciata per le loro attività, mentre solo l'1 % dei beni di origine illecita viene confiscato, la Commissione proporrà di riesaminare il quadro dell'UE sulla confisca dei proventi di reato, la regolamentazione anticorruzione, quella antiriciclaggio, nell’ambito della quale dovrà essere mantenuta centrale l’attenzione sul mondo delle criptovalute, e quella relativa alle indagini finanziarie. 4. Avere autorità di contrasto e autorità giudiziarie pronte per l'era digitale: a tal fine il gruppo europeo di formazione e istruzione in materia di criminalità informatica svilupperà e impartirà moduli di formazione per migliorare le competenze in materia di informatica forense e criminalità informatica degli esperti delle autorità di contrasto e degli addetti al primo intervento. La Commissione finanzierà inoltre una rete di autorità di contrasto, rappresentanti del mondo accademico e privati, che produrranno nuovi strumenti tecnologici sotto il coordinamento del laboratorio per l'innovazione di Europol. Nell’ottica di rapidità di accesso alle prove nel rispetto della tutela dei dati, viene, inoltre, promossa, la pronta partecipazione degli Stati membri al sistema digitale di scambio di prove elettroniche al fine di consentire la comunicazione elettronica sicura tra autorità giudiziarie nei casi transfrontalieri. (R.M.V.)

 

Corte di Giustizia dell’Unione Europea, Grande Sezione, 9 marzo 2021, C- 392/19

L’articolo 3, paragrafo 1, della direttiva 2001/29/CE del Parlamento europeo e del Consiglio, del 22 maggio 2001, sull’armonizzazione di taluni aspetti del diritto d’autore e dei diritti connessi nella società dell’informazione, deve essere interpretato nel senso che costituisce una comunicazione al pubblico ai sensi di tale disposizione il fatto di incorporare, mediante la tecnica del framing, in una pagina Internet di un terzo, opere protette dal diritto d’autore, qualora tale incorporazione eluda misure di protezione contro il framing adottate o imposte dal titolare del diritto d’autore.

Al fine di garantire la certezza del diritto e il corretto funzionamento di Internet, le predette misure restrittive contro il framing devono essere, però, apposite ed efficaci, ai sensi dell’articolo 6, paragrafi 1 e 3, della direttiva 2001/29.

In presenza di queste misure di protezione ritenere che non costituisca una messa a disposizione ad un pubblico nuovo delle opere protette equivarrebbe a sancire una regola di esaurimento del diritto di comunicazione, privando il titolare del diritto d’autore della possibilità, di sfruttare commercialmente la messa in circolazione o la messa a disposizione dei materiali protetti. In questo modo sarebbe alterato il giusto equilibrio, che deve essere mantenuto, nell’ambiente digitale, tra la tutela degli interessi del titolare e quella della libertà di espressione e di informazione, garantita dall’articolo 11 della Carta, degli utilizzatori di questi materiali.

In senso conforme: Corte di Giustizia dell’Unione Europea, Grande Sezione, 7 agosto 2018, C‑161/17.

Per approfondire: FLOR R., Tutela penale e autotutela tecnologica dei diritti d'autore nell'epoca di Internet. Un'indagine comparata in prospettiva europea ed internazionale, Padova, 2010; ID., La tutela penale dei diritti d’autore e connessi, in CADOPPI A., CANESTRARI S., MANNA A. e PAPA A. (a cura di), Cybercrime, Torino, 2019, p. 1045 ss. (R.M.V.)

 

Corte di Giustizia dell’Unione Europea, Grande Sezione, 2 marzo 2021, C-746/2018

Con la pronuncia sopra indicata,  la Corte di Giustizia dichiara che l’articolo 15, paragrafo 1, della direttiva 2002/58 relativa al trattamento dei dati personali e alla tutela della vita privata nel settore delle comunicazioni elettroniche, letto alla luce degli articoli 7, 8, 11 e 52 della Carta di Nizza, deve essere interpretato nel senso che esso osta alla normativa nazionale, che deve sempre conformarsi ai principi di equivalenza ed effettività, di consentire l’accesso di autorità pubbliche ad un insieme di dati relativi al traffico o all’ubicazione, idonei a fornire informazioni sulle comunicazioni elettroniche effettuate da un utente o sull’ubicazione delle apparecchiature utilizzate e a permettere di trarre precise conclusioni sulla sua vita privata, per finalità di prevenzione, ricerca, accertamento e perseguimento di reati, senza che tale accesso sia circoscritto a procedure aventi per scopo la lotta contro le forme gravi di criminalità o la prevenzione di gravi minacce alla sicurezza pubblica, e ciò indipendentemente dalla durata del periodo per il quale l’accesso ai dati suddetti viene richiesto, nonché dalla quantità o dalla natura dei dati disponibili per tale periodo.

Lo stesso articolo impedisce inoltre che la normativa nazionale renda il pubblico ministero, il cui compito è di dirigere il procedimento istruttorio penale e di esercitare, eventualmente, l’azione penale in un successivo procedimento, competente ad autorizzare l’accesso di autorità pubbliche ai dati relativi al traffico e all’ubicazione ai fini di un’istruttoria penale, in quanto non in possesso dei necessari requisiti d’indipendenza che deve avere l’autorità incaricata di esercitare l’essenziale controllo preventivo sulla legittimità dell’accesso.

In senso conforme: Corte di Giustizia dell’Unione Europea, Grande Sezione, 6 ottobre 2020, C-511/18, C-512/18 e C-520/18.

Per approfondire: FLOR R., Data retention e giustizia penale in Italia, in PARODI C. (a cura di), Diritto penale dell'informatica. Reati della rete e sulla rete, Milano, 2020, p. 683 ss.; ID., Dalla data retention al diritto all'oblio. Dalle paure orwelliane alla recente giurisprudenza della Corte di Giustizia. Quali effetti per il sistema di giustizia penale e quali prospettive de jure condendo? in RESTA G., ZENO-ZENCOVICH V. (a cura di), Il diritto all'oblio su Internet dopo la sentenza Google Spain, Roma, 2015, p. 223 ss. (B.P.)

 

Comunicazione della Commissione al Parlamento europeo, al Consiglio, al Comitato economico e sociale europeo e al Comitato delle Regioni (COM(2021) 118 final)

Con questa comunicazione diffusa il 9 marzo 2021, facendo seguito alla strategia digitale del febbraio 2020, la Commissione europea ha delineato il programma per la politica digitale per il prossimo decennio. In particolare, al fine di conseguire la sovranità digitale in un mondo interconnesso, garantendo al contempo a cittadini e imprese un futuro digitale antropocentrico, nonché la sicurezza e la resilienza dell’ecosistema digitale, è prevista una struttura di governance condivisa con gli Stati membri basata su un sistema di monitoraggio annuale da sviluppare intorno ai seguenti quattro punti cardinali: 1) cittadini dotati di competenze digitali e professionisti altamente qualificati nel settore digitale; 2) infrastrutture digitali sostenibili, sicure e performanti; 3) trasformazione digitale delle imprese: entro il 2030 tre imprese su quattro dovrebbero utilizzare tecnologie digitali, tra cui il 5G, l'Internet delle cose, l'edge computing, l'intelligenza artificiale, la robotica e la realtà aumentata per sviluppare nuovi prodotti, nuovi processi di fabbricazione e nuovi modelli commerciali basati su un'equa condivisione dei dati nell'economia dei dati; 4) digitalizzazione dei servizi pubblici, compresi i sistemi giudiziari e, in particolare, le attività di indagine e di contrasto in modo da far fronte a reati digitali sempre più sofisticati.

Al fine di raggiungere questi obiettivi e specificatamente la sicurezza delle catene di approvvigionamento digitali, garantendo la governance di Internet con contrasto alla disinformazione e ai contenuti illeciti online, nonché sostenere lo sviluppo della finanza digitale e dell'e-government, sono indicati anche progetti multinazionali e partenariati digitali internazionali.

La Commissione intende, inoltre, perseguire questi obiettivi ponendo le basi per una società digitale che sia informata al pieno rispetto dei diritti fondamentali dell'UE quali: la libertà di espressione, compreso l'accesso a informazioni diversificate, affidabili e trasparenti; la libertà di avviare e svolgere un'attività online; la protezione dei dati personali e della vita privata e il diritto all'oblio; la protezione della creazione intellettuale delle persone fisiche nello spazio online. 

Fermi i principi relativi al mondo digitale fissati nel Trattato sull'Unione europea (TUE), nel Trattato sul funzionamento dell'Unione europea (TFUE), nella Carta dei diritti fondamentali e nella giurisprudenza della Corte di giustizia dell'Unione europea, è espressamente previsto che sia avviata una consultazione pubblica  affinché possa essere sancito entro la fine del 2021 il quadro dei diritti e principi digitali in una dichiarazione interistituzionale solenne del Parlamento europeo, del Consiglio e della Commissione, analogamente al pilastro europeo dei diritti sociali. 

In vista degli esiti della consultazione, nella Comunicazione  sono, già, indicati come principi che dovranno orientare le decisioni politiche e le scelte degli operatori digitali: l'accesso universale a una connettività di alta qualità; la promozione di competenze digitali sufficienti affinché le persone possano partecipare attivamente alla società e ai processi democratici; lo sviluppo di servizi pubblici digitali ed accessibili; lo sviluppo di algoritmi antropocentrici e rispettosi di principi etici condivisi la promozione e garanzia di un ambiente online sicuro affinchè ciò che è illecito offline lo sia anche online; la responsabilizzazione e protezione dei minori nello spazio online. (R.M.V.)

 

Dichiarazione n. 3 del 9 marzo 2021 dell’European Data Protection Board in merito alla proposta di Regolamento e-privacy

Con la Dichiarazione n. 3 adottata il 9 marzo 2021 l’European Data Protection Board ha fornito il suo parere in merito alla proposta del nuovo Regolamento e-Privacy. In particolare, l’EDPB esprime la sua preoccupazione per il fatto che tale nuovo Regolamento possa essere utilizzato per modificare de facto le disposizioni del Regolamento generale (c.d. GDPR). Con riferimento alla data retention, evidenzia che i nuovi artt. 6 co. 1 lett. d e 7 co. 4 non rispettano i canoni restrittivi dettati dalla giurisprudenza della Corte di Giustizia dell’Unione Europea in materia, poiché consentono una conservazione generale ed indiscriminata dei tabulati telematici sul traffico e sulla posizione del dispositivo dell’utente. L’EDPB sottolinea poi che le eccezioni introdotte dal nuovo art. 6 co. 1 lett. b, c, e d al divieto di trattamento sono troppo generiche e in tal modo consentono il pieno accesso da parte del fornitore di servizi di comunicazione elettronica o dei suoi responsabili ai contenuti di tutte le comunicazioni dell'utente, violando così il diritto alla riservatezza di quest’ultimo. A tal proposito, l’EDPB raccomanda l’uso di una crittografia forte e affidabile nel trattamento dei flussi elettronici in transito, a riposo o in lavorazione. Con riferimento ai c.d. cookies, l’EDPB evidenzia che il nuovo regolamento deve rispettare il principio del consenso, per cui la necessità di ottenere un autentico consenso liberamente prestato dovrebbe impedire ai fornitori di servizi di utilizzare pratiche sleali come soluzioni “prendere o lasciare” che subordinano l'accesso a servizi e funzionalità al consenso di un utente alla memorizzazione di informazioni od a concedere l'accesso a informazioni già archiviate nell'apparecchiatura terminale di un utente (i c.d. cookie walls). Inoltre, la misurazione dell'audience dovrebbe essere limitata a pratiche non intrusive e non suscettibili di creare un rischio per gli utenti, mentre l’attuale modo per ottenere il consenso dovrebbe essere migliorato. Infine, con riferimento ai soggetti competenti per la vigilanza sull’applicazione del Regolamento e-Privacy, l’EDPB ribadisce che al fine di garantire parità di condizioni nel mercato unico digitale è essenziale garantire un'interpretazione e un'applicazione armonizzate di tutte le disposizioni sul trattamento dei dati in tutta l'UE. Pertanto, il controllo delle disposizioni in materia di privacy ai sensi del Regolamento e-Privacy dovrebbe essere affidato all'autorità competente di vigilanza come previsto dal Regolamento GDPR. (C.C.)

 

Linee Guida EDPB n.1/2020 sul trattamento di dati personali nel contesto dei veicoli connessi, adottate il 9 marzo 2021

In data 9 marzo 2021 l’European Data Protection Board ha approvato le Linee Guida per i veicoli connessi e le applicazioni correlate alla mobilità. Con riferimento alle auto connesse, l’EDPB sostiene che l’industria automobilistica dovrebbe procedere nel rispetto dei principi di privacy by design e di privacy by default, in modo che gli apparati raccolgano e trasmettano la minor quantità possibile di dati riferibili alle persone presenti sul veicolo e solo per specifiche finalità. Il Garante sottolinea poi che per trattare i dati degli utenti di servizi quali assistenza alla guida, sicurezza stradale o servizi assicurativi, le aziende dovranno operare su una base giuridica, che per le auto connesse è fondata sul consenso degli interessati, ovvero guidatori e passeggeri, e sul principio di necessità. Inoltre, per servizi assicurativi di tipo pay as you drive, l’EDPB richiede che agli automobilisti sia fornita un’alternativa che non richieda l’installazione di black box e il tracciamento di mobilità. Nelle linee guida viene poi sostenuta l’importanza di fornire agli utenti informazioni comprensibili e nella loro lingua sul trattamento dei dati effettuato e di prevedere che conducenti e passeggeri possano attivare o disattivare autonomamente determinati servizi attraverso un’interfaccia di semplice utilizzo. L’EDPB raccomanda poi che quando possibile tutti i dati, in particolare quelli di geolocalizzazione, siano elaborati direttamente all’interno del veicolo e non trasmessi su un cloud, nonché di provvedere alla pseudonimizzazione o anonimizzazione dei dati o all’uso della crittografia, in modo da garantire l’integrità e la protezione dei dati. Particolare attenzione va poi posta con riferimento al trattamento dei dati biometrici. (C.C.)

 

Linee Guida dell’European Data Protection Board n. 2/2021 sugli assistenti vocali virtuali

L’European Data Protection Board ha approvato in data 9 marzo 2021 le Linee Guida relative agli assistenti vocali digitali, oggi disponibili su smartphone, tablet, computer e altri device. Tali Linee Guida sono sottoposte a consultazione pubblica sino al 23 aprile 2021. In particolare, esse prevedono che gli hardware e software utilizzati siano automaticamente progettati per garantire maggiore trasparenza e riservatezza nell’uso dei dati, il cui trattamento costituisce una delle maggiori criticità con riferimento a tali sistemi. Inoltre, sottolineano che l’utente deve poter essere in grado di comprendere se il dispositivo è attivo o meno, oppure se lo stesso è in ascolto o sta eseguendo un comando. L’EDPB sottolinea poi la necessità che la titolarità del trattamento dei dati sia definita con chiarezza e trasparenza, anche nel caso di fornitori di servizi specifici, in modo tale da garantire a tutti gli interessati la possibilità di esercitare efficacemente i propri diritti, come quello all’accesso, all’aggiornamento, alla cancellazione o alla portabilità dei dati. Inoltre, vi è la necessità di separare le finalità del trattamento dei dati, garantendo all’utente di poter esprimere liberamente il consenso per specifici trattamenti, quale marketing, profilazione o machine learning del servizio di intelligenza artificiale associato al dispositivo. L’EDPB raccomanda poi di provvedere alla pseudonimizzazione o anonimizzazione dei dati o all’uso della crittografia, in modo da garantire l’integrità e la protezione dei dati, in particolare di quelli biometrici, in modo che il riconoscimento della voce dell’utente avvenga sul dispositivo e non da remoto. (C.C.)

 

14esimo Congresso delle Nazioni Unite sulla Prevenzione del Crimine e sulla Giustizia penale, 7-12 Marzo 2021

Durante il quattordicesimo Congresso delle Nazioni Unite sulla Prevenzione del Crimine e sulla Giustizia penale è stato affrontato a più riprese il tema del cybercrime. In particolare, nella Kyoto Declaration on Advancing Crime Prevention, Criminal Justice and the Rule of Law: Towards the Achievement of the 2030 Agenda for Sustainable Development si invitano i paesi membri a migliorare coordinamento e cooperazione internazionali al fine di prevenire e combattere la crescente minaccia del cybercrime; promuovere, a livello nazionale, regionale ed internazionale, nel pieno rispetto delle legislazioni nazionali e dei principi del diritto internazionale, partnership privato-pubblico con l’industria digitale, il settore finanziario e i settori delle comunicazioni, in modo da migliorare la cooperazione internazionale nella lotta al cybercrime. (C.G.)

 

 

Eurojust e European Union Intellectual Property Office, Service Level Agreement, 15 marzo 2021

Il 15 Marzo 2021 Eurojust ha reso pubblica la conclusione, con l’Ufficio dell’Unione Europea per la Proprietà Intellettuale, di un accordo operativo, Service Level Agreement (cd. SLA). Tale accordo ha l’obiettivo di migliorare la cooperazione tra le due agenzie al fine di affrontare con più efficacia l’abuso penale dei diritti di proprietà intellettuale nell’ambito della contraffazione e della pirateria online. A tal proposito, Eurojust sottolinea come nel contesto della pandemia COVID-19, in cui il problema della contraffazione e della pirateria online ha raggiunto livelli significativi con la produzione e distribuzione illegale di dispositivi di protezione e mascherine, affrontare i reati contro la proprietà intellettuale sia un passaggio centrale per assicurare una maggior protezione ai consumatori, preservare un’economia salubre e supportare la ripresa delle imprese legali, specie le più creative ed innovative. L’accordo, che assicura ad Eurojust ulteriori 750.000,00 euro di fondi fino al 2024, contribuirà a costruire una maggiore expertise al fine di combattere tali forme di criminalità. (C.G.)

 

 

Europol, Serious and Organized Crime Threat Assessment, 12 Aprile 2021

Nel suo ultimo SOCTA report, Europol affronta la tematica del cybercrime, definendolo uno dei principali gravi fenomeni criminali all’interno dell’Unione Europea. Quanto ai cyber-attacchi – diretti ai cittadini, alle imprese e alle infrastrutture strategiche – viene messo in evidenza come gli stessi siano aumentati negli ultimi anni, sia in termini numerici sia con riferimento al loro livello di sofisticatezza. In particolare, imprese ed istituzioni pubbliche sono i target più a rischio, il che – in ragione delle possibili fughe di dati e dei disservizi che i cyber-attacchi cagionano – rischia di comportare dei costi finanziari e sociali particolarmente elevati. Quanto allo sfruttamento sessuale dei minori online, si registra un significativo aumento del fenomeno negli anni più recenti, anche in ragione delle maggiori possibilità di anonimato dei colpevoli, grazie agli strumenti di crittografia e alle applicazioni end-to-end encrypted. Inoltre, Europol rileva come il materiale pedopornografico sia di regola realizzato nell’ambiente domestico dei minori, e nella maggior parte dei casi ad opera di coloro che rientrano tra i soggetti di cui il minore si fida maggiormente. Quanto alle frodi informatiche, si sottolinea come la sempre maggior diffusione di mezzi di pagamento diversi dal denaro contante abbia rappresentato un potente incentivo, e come i cyber-criminali abbiano quale obiettivo quello di compromettere i mezzi di pagamento online e i sistemi di mobile banking. (C.G.)

 

 

Iproceeds-2 Project dell’Unione Europea e del Consiglio d’Europa, Guida sul sequestro delle criptovalute, 14 Aprile 2021.

All’interno del progetto condotto congiuntamente dall’Unione Europea e dal Consiglio d’Europa, iProceeds-2, è stata sviluppata e resa pubblica una Guida sul sequestro delle criptovalute, al fine di impiegarla come strumento operativo per le autorità investigative. La Guida è stata realizzata da esperti internazionali e ha l’obiettivo di fornire una panoramica generale sul tema delle criptovalute, sulle azioni legali che possono essere intraprese per combatterne l’illecito traffico e sulle best practices sviluppate a livello internazionale. La Guida è disponibile in numerose lingue e può essere ottenuta, su richiesta delle autorità statali, attraverso la pagina web della Octopus Cybercrime Community. (C.G.)

 

 

Comitato dei Ministri del Consiglio d’Europa, Dichiarazione sulla necessità di proteggere la privacy dei bambini nell’ambiente digitale, 28 Aprile 2021.

Nella dichiarazione in parola, il Comitato dei Ministri del Consiglio d’Europa ha sottolineato che, sebbene le tecnologie del settore dell’informazione e delle comunicazioni siano uno strumento fondamentale nella vita dei bambini, in grado di apportare benefici e fornire opportunità, le medesime tecnologie sono al contempo portatrici di notevoli rischi. Ciò è particolarmente vero nel contesto pandemico, il quale ha aumentato l’esposizione dei bambini ai rischi derivanti dall’uso delle nuove tecnologie, in ragione dell’aumento del tempo che i bambini trascorrono utilizzando queste ultime. In particolare, la possibilità di tracciare l’attività online dei bambini può esporli ad aggressioni criminali, come la sollecitazione di attività sessuali o altre attività illegali quali atti di bullismo, stalking e altre forme di molestie. Ha notato il Comitato come i dati personali possano essere utilizzati sia a beneficio che a danno dei bambini, e che al momento è ancora profondamente limitata la comprensione dell’impatto di fenomeni come l’analisi dei dati biometrici, il tracciamento e la sorveglianza digitali, le decisioni automatizzate e la profilazione.

La sempre maggior dipendenza da sistemi basati sull’intelligenza artificiale, inoltre, può condurre sia a sfide che ad opportunità per i bambini, ed a tal proposito il Comitato ha sottolineato quanto fondamentale sia il raggiungimento di un alto livello di “alfabetismo digitale”, tanto nei bambini quanto nei genitori. (C.G.)

 

2. Novità giurisprudenziali nazionali

Corte di Cassazione, sez. V penale, sentenza 27 aprile 2021 (ud. 15 febbraio 2021), n. 15899/2021, Pres. Palla – Rel. Brancaccio

Il “servizio informatico fiscale”, definito cassetto fiscale, rientra nell’alveo della nozione di domicilio informatico, alla cui inviolabilità è diretta la tutela penale del precetto previsto dall’art. 615-ter c.p.. Commette pertanto il reato di accesso abusivo il soggetto che si introduce nel cassetto fiscale di una persona, nel caso di specie un familiare, utilizzando indebitamente password ottenute in vece del titolare, senza il suo consenso, ignorando deliberatamente la volontà palese della persona offesa di revocare la delega di agire in sua vece prima concessa all’autore del reato.

Specifica inoltre la Corte di Cassazione che, in ambito di relazioni private ed endofamiliari, ai fini della configurabilità del reato ex art. 615-ter c.p., non rileva la circostanza che le chiavi di accesso al sistema informatico protetto siano state comunicate dal titolare all’autore del reato in epoca antecedente rispetto all’accesso abusivo, qualora la condotta incriminata abbia portato ad un risultato certamente in contrasto con la volontà della persona offesa ed esorbitante l’eventuale ambito autorizzatorio.

Viene dunque affermato il seguente principio di diritto: “configura il reato previsto dall’art. 615-ter c.p. la condotta di chi si introduca nel cassetto fiscale altrui, contenuto nel sistema informatico dell’Agenzia delle Entrate, utilizzando password modificate e contro la volontà del titolare”.

In senso conforme: Corte di Cassazione, sez. Un., sentenza 8 settembre 2017 (ud. 18 maggio 2017), n. 41210/2017, Pres. Canzio – Rel. Saviani; Corte di Cassazione, sez. Un., sentenza 7 febbraio (ud. 27 ottobre 2011), n. 4694/2011, Pres. Lupo – Rel. Fiale.

Per approfondire: SALVADORI I., I reati contro la riservatezza informatica, in CADOPPI A., CANESTRARI S., MANNA A., PAPA M. (a cura di), Cybercrime, Torino, 2019, p. 656 ss.; ID., Quando un insider accede abusivamente ad un sistema informatico o telematico? Le Sezioni Unite precisano l’ambito di applicazione dell’art. 615-ter c.p., in Riv. Trim. Dir. Pen. Economia, 2012, p. 369 ss.; FLOR R., La condotta del pubblico ufficiale fra violazione della voluntas domini, “abuso” dei profili autorizzativi e “sviamento di poteri”, in Dir. Pen. Proc., 2018, n. 4, p. 506 ss.. (B.P.)

 

Corte di Cassazione, sez. VI penale, sentenza 21 aprile 2021 (ud. 18 novembre 2020), n. 15056/2021, Pres. Petruzzellis – Rel. Costanzo

Ai fini di cui agli artt. artt. 267, comma 1, e 271, comma 1, cod. proc. pen., l’onere di motivazione “rafforzata” richiesto in sede di decreto autorizzativo all’intercettazione realizzata mediante inserimento di un captatore informatico su dispositivo elettronico portatile è soddisfatto qualora l’«assoluta necessità» di utilizzo del virus sia fondata sull’abitudine del soggetto sottoposto a monitoraggio di incontrare i propri interlocutori in luoghi aperti. Si tratta, infatti, nella prospettiva accolta dalla Corte di cassazione, di una giustificazione pertinente allo strumento utilizzato e plausibile qualora giustificata in base alle indagini svolte.

In senso conforme: Corte di Cassazione, sez. I Penale, sentenza 20 ottobre 2020 (ud. 25 settembre 2020), n, 28989/2020, Pres. Tardio – Rel. Boni

Per approfondire: FILIPPI L., Intercettazioni: habemus legem!, in Dir. pen. proc., 2020, n. 4, p. 453 ss.; GIUNCHEDI F., Appunti su alcune criticità della nuova disciplina sulle intercettazioni, in Arch. pen., 2018, suppl. al n. 1, p. 513 ss.; ORLANDI R., Usi investigativi dei cosiddetti captatori informatici. Criticità e inadeguatezza di una recente riforma, in Riv. it. dir. proc. pen., 2018, p. 538 ss.; PALMIERI L., La nuova disciplina del captatore informatico tra esigenze investigative e salvaguardia dei diritti fondamentali. Dalla sentenza “Scurato” alla riforma sulle intercettazioni, in Dir. pen. cont., 2018, n. 1, p. 59  ss.; PICOTTI L., Spunti di riflessione per il penalista dalla sentenza delle Sezioni unite relativa alle intercettazioni mediante captatore informatico, in Archivio Penale, 2016, p.1 ss. (M.P.)

 

Corte di Cassazione, sez. III penale, sentenza 16 aprile 2021 (ud. 3 marzo 2021), n. 14260/2021, Pres. Rosi – Rel. Gai

Con la pronuncia in parola, la Suprema Corte torna ad occuparsi di captatore informatico, affrontando due diverse questioni: da un lato, la possibilità di eccepire per la prima volta in sede di legittimità l’inutilizzabilità dei risultati dell’attività intercettiva derivante dalla mancanza di motivazione del decreto autorizzativo; dall’altro lato, il contenuto “minimo” di quest’ultimo, ai sensi dell’art. 267 c.p.p.

Quanto al primo aspetto, la Corte di Cassazione ha ritenuto di mutuare, in tema di captatore informatico, le conclusioni cui è di recente pervenuta con più generale riferimento all’istituto delle intercettazioni, stabilendo che l’inutilizzabilità degli esiti delle operazioni captative derivante dalla mancanza di motivazione dei decreti di autorizzazione è deducibile per la prima volta con il ricorso in cassazione, poiché l’inosservanza dell’obbligo di motivazione dei decreti autorizzativi integra un’inutilizzabilità del risultato delle intercettazioni di carattere assoluto, insanabile anche in caso di accesso al rito abbreviato, perché derivante dalla violazione dei diritti fondamentali della persona tutelati dalla Costituzione.

Con riferimento alla seconda questione, invece, riecheggiando anche su questo diverso versante recenti approdi della giurisprudenza di legittimità, la Corte ha precisato che è legittima la motivazione per relationem dei decreti autorizzativi delle intercettazioni mediante trojan horse, qualora in essi il giudice faccia richiamo alle richieste del pubblico ministero ed alle relazioni di servizio della polizia giudiziaria, ponendo così in evidenza, per il fatto di averle prese in esame e fatte proprie, l’iter cognitivo e valutativo seguito per giustificare l’adozione del particolare mezzo di ricerca della prova in discorso.

In senso conforme: con più generale riferimento alla disciplina delle intercettazioni tra presenti, Corte di Cassazione, sez. VI penale, sentenza 28 luglio 2020 (ud. 17 luglio 2020), n. 22808/2020, Pres. Fidelbo – Rel. Criscuolo; Corte di Cassazione, sez. V penale, sentenza 25 luglio 2017 (ud. 5 giugno 2017), n. 36913/2017, Pres. Pezzullo – Rel. Scarlini. (M.P.)

 

Corte di Cassazione, sez. V penale, sentenza 22 marzo 2021 (ud. 30 settembre 2021), n. 10981/2021, Pres. Vessichelli – Rel. Calaselice

A parere della Suprema Corte, l’impiego del captatore informatico nell’ambito delle indagini penali è compatibile con i parametri costituzionali di cui agli artt. 2, 15 e 42 Cost. Nell’ambito di un procedimento finalizzato all’accertamento di delitti di criminalità organizzata, la difesa dell’indagato, sottoposto a misura cautelare in ragione dell’esito delle captazioni operate mediante trojan, lamentava l’inutilizzabilità dell’attività di ricerca della prova in discorso, dal momento che si sarebbe trattato di una apprensione di materiale probatorio illecita poiché conseguita mediante inganno o frode, con correlativa lesione della libertà di autodeterminazione consapevole garantita garantita dall’art. 2 e 15 Cost. Inoltre, a parere del ricorrente, il carattere di prova illecita sarebbe emerso dal fatto che le intercettazioni, eseguite sfruttando uno smartphone di proprietà di un indagato, avrebbero utilizzato e, dunque, sottratto energia elettrica dalle batterie del dispositivo, in quanto necessaria per il funzionamento del software e del malware e per la captazione itinerante. Di qui, la lesione del diritto alla proprietà privata, tutelato dall'art. 42 Cost.

Nel rigettare tali doglianze, pur rilevando che l’attività di captazione aveva preceduto le note novelle legislative in tema di trojan horse, i giudici di legittimità hanno valorizzato l’eccezionale gravità e pericolosità delle condotte delittuose di criminalità organizzata, le quali, pertanto, legittimerebbero una compressione dei diritti fondamentali. La riserva di legge imposta dalla Carta fondamentale sarebbe stata comunque rispettata giacché, anche anteriormente all’ entrata in vigore della disciplina contenuta nel d. Igs. n. 216 del 2017, l’impiego del trojan horse, quale mezzo per eseguire la captazione di conversazioni tra presenti era regolamentato dagli artt. 266, 267 e 271 c.p.p. Quanto alla pretesa lesione del diritto alla proprietà privata, nella prospettiva accolta dalla Corte, la perdita di una quota del proprio diritto di proprietà da parte del soggetto intercettato, peraltro non particolarmente consistente dal punto di vista patrimoniale, va ritenuta recessiva rispetto all’obiettivo, egualmente legittimo, del soddisfacimento dell'interesse pubblico all’accertamento di gravi delitti, tutelato dal principio, di pari rango costituzionale, dell’obbligatorietà dell'azione penale di cui all'art. 112 Cost.

In senso conforme: Corte di Cassazione, Sez. Un. penali, 1° luglio 2016 (ud. 28 aprile 2016), n. 26889/2016, Pres. Canzio – Rel. Romis.

Per approfondire: ALONZI F., L’escalation dei mezzi di intrusione nella sfera privata: ripartire dalla Costituzione, in Rev. Bras. de Direito Processual Penal, vol. 5, n. 3, 2019, p. 1421 ss.; BRONZO P., Intercettazione ambientale tramite captatore informatico: limiti di ammissibilità, uso in altri processi e divieti probatori, in GIOSTRA G., ORLANDI R. (a cura di), Nuove norme in tema di intercettazioni. Tutela della riservatezza, garanzie difensive e nuove tecnologie informatiche, Torino, 2018, p. 235 ss.; CAMON A., Cavalli di Troia in Cassazione, in Arch. nuova proc. pen., 2017, p. 91 ss.; CAPRIOLI F., Il captatore informatico come strumento di ricerca della prova in Italia, in Rev. Bras. de Direito Processual Penal, Porto Alegre, vol. 3, n. 2, 2017, p. 483 ss.; PICOTTI L., Spunti di riflessione per il penalista dalla sentenza delle Sezioni unite relativa alle intercettazioni mediante captatore informatico, in Archivio Penale, 2016, p.1 ss. (M.P.)

 

Corte di Cassazione, sez. V penale, sentenza 14 aprile 2021 (ud.17 febbraio 2021), n. 13993/2021, Pres. Sabeone - Rel. Riccardi

La Corte di Cassazione ha disposto l’annullamento della sentenza impugnata limitatamente al trattamento sanzionatorio di 4 mesi di detenzione irrogato per una diffamazione commessa mediante pubblicazione di post denigratori su Facebook, in quanto contraria alla giurisprudenza della Corte Edu.

Sulla base di quest’ultima, in conseguenza della sussistenza del rischio di effetto dissuasivo (chilling effect) dell’esercizio del diritto, al di fuori anche dell’ambito dell’attività giornalistica, la pena detentiva per diffamazione è compatibile con la libertà di espressione garantita dall'art. 10 CEDU soltanto in circostanze eccezionali, qualora siano stati lesi gravemente altri diritti fondamentali, come, per esempio, in caso di discorsi di odio o di istigazione alla violenza.

L’annullamento della sentenza gravata è operata dalla Suprema Corte richiamando anche la giurisprudenza costituzionale ed, in particolare, l'ordinanza n. 131 del 2020 della Corte Costituzionale, che ha evidenziato la necessità di una rimeditazione del bilanciamento tra libertà di manifestazione del pensiero e tutela della reputazione conformemente alla “rapida evoluzione della tecnologia e dei mezzi di comunicazione e agli “effetti di rapidissima e duratura amplificazione degli addebiti diffamatori determinata dai social networks e dai motori di ricerca in Internet”, a prescindere dall’esercizio dell'attività giornalistica.

In generale relativamente al profilo costituzionale, la Corte di Cassazione ritiene che escludere la pena detentiva – riservandola soltanto ai c.d. discorsi d’odio – alle sole ipotesi di diffamazione commessa nell’esercizio dell’attività giornalistica, rischi di compromettere, da un lato, il principio di uguaglianza nei confronti di tutti i cittadini e, dall’altro, il principio di ragionevolezza, prevedendo un trattamento sanzionatorio sfavorevole per fatti di solito connotati da minore gravità e/o diffusività rispetto a quelli commessi nell’esercizio dell’attività giornalistica.

Per approfondire: Pisapia M., Cherchi C., Detenzione e libertà di espressione. Riflessioni sul trattamento sanzionatorio del reato di diffamazione a mezzo stampa in occasione della pronuncia della Corte Costituzionale, in Giurisprudenza penale, 2020, n. 6, p. 1 ss.;  Ubiali M., Diffamazione a mezzo stampa e pena detentiva: la Corte costituzionale dà un anno di tempo al Parlamento per trovare un punto di equilibrio tra libertà di espressione e tutela della reputazione individuale, in linea con i principi costituzionali e convenzionali, nota a Corte Costituzionale, ordinanza 26/06/2020, n. 132, in Rivista italiana di diritto e procedura penale, 2020, n. 3, p. 1476 ss.; Brancaccio M., Libertà di espressione e diritto di cronaca: l’intervista, l’interesse pubblico all’informazione e i confini della diffamazione, nota a Corte europea dei diritti umani, sez. I, sentenza 16/01/2020, n. 59347, in Cassazione penale, 2020, n. 11, p. 4341 ss.; Cucchiara M., Diffamazione, Libertà di espressione e Diritto alla vita privata: un delicato bilanciamento, in Giurisprudenza penale, 2017, n. 2, p. 1 ss; Petrini D., Diffamazione on line: offesa recata con “altro mezzo di pubblicità” o col mezzo della stampa?, in Diritto penale e processo, 2017, n. 11, p. 1485 ss; GARUTI G., Libertà di espressione e delitto di diffamazione, in Diritto penale e processo, 2010, n. 3, p. 377 ss.. (R.M.V.)

 

Corte di Cassazione, sez. V penale, sentenza 14 aprile 2021 (ud. 25 gennaio 2021), n. 13979/2021, Pres. Sabeone – Rel. De Gregorio

Per la Corte di Cassazione, ancorché in tema di diffamazione l’esimente del diritto di critica non vieti l’utilizzo di termini che, sebbene oggettivamente offensivi, siano insostituibili nella manifestazione del pensiero critico, l’uso della qualificazione di “essere spregevole” nei confronti del collega, associata all’accusa di “manipolazioni psicologiche” nei confronti degli studenti, travalica il limite della continenza ed è idonea a ledere la dignità professionale di un insegnante. Il senso della parola in sé e nel contesto fattuale di riferimento, non può che essere quello di attribuire all’insegnante, per ragioni neppure manifestate o circostanziate, una volontà di condizionamento/controllo delle coscienze dei suoi studenti, volontà che appare, all’evidenza, contraria agli scopi formativi ed educativi che l’ordinamento attribuisce all’insegnamento.

Integra, pertanto, il reato di diffamazione aggravato ai sensi dell’art. 595, comma 3 c.p., la diffusione di un messaggio diffamatorio di tale fatta attraverso l’uso di una bacheca Facebook, costituente “mezzo di pubblicità” potenzialmente capace di raggiungere un numero indeterminato, o comunque quantitativamente apprezzabile, di persone.

Per approfondire: ALBAMONTE E., La diffamazione a mezzo web, in PARODI C. (a cura di), Diritto penale dell'informatica. Reati della rete e sulla rete, Milano, 2020, p. 487 ss.; LASALVIA F. P., La diffamazione via web nell’epoca dei social network, in CADOPPI A., CANESTRARI S., MANNA A. e PAPA A. (a cura di), Cybercrime, Torino, 2019, p. 331 ss.; AMERIO L., Offendere su Facebook? Ė diffamazione aggravata, in Giurisprudenza penale, 2016, n. 3, p. 1 ss.; CORBETTA S., Offese all’altrui onore postate su facebook: è diffamazione aggravata, in Diritto penale e processo, 2016, n. 4, p. 464 ss.; ALMA R., La pubblicità di un messaggio diffamatorio su Facebook integra il delitto di diffamazione aggravata, in Diritto dell'informazione e dell'informatica, 2013, n. 3, p. 518 ss. (R.M.V.)

 

Corte di Cassazione, sez. V Penale, sentenza 24 marzo 2021 (ud. 4 marzo 2021), n. 11426/2021, Pres. Palla - Rel. De Marzo

Integra il reato di diffamazione la pubblicazione sul proprio profilo Facebook di una fotografia che riprendeva quattro operai del Comune di Cecina durante lo svolgimento delle loro mansioni, con la seguente didascalia: "stazione di Cecina, uno lavora, uno tiene il secchio e due si occupano di relazioni istituzionali, una specie di corpo diplomatico”.

Per la Corte non è fondata quella critica che sulla base di un singolo momento dell'attività lavorativa ne investa l'intera portata o, meglio, la diligenza e l'impegno di coloro che vi sono coinvolti e di cui viene offesa la reputazione: si tratta di una rappresentazione suggestiva nella misura in cui lascia intendere ai destinatari della comunicazione che quel singolo episodio sia espressione di una condotta generalizzata.

Per approfondire: ALBAMONTE E., La diffamazione a mezzo web, in PARODI C. (a cura di), Diritto penale dell'informatica. Reati della rete e sulla rete, Milano, 2020, p. 487 ss.; LASALVIA F. P., La diffamazione via web nell’epoca dei social network, in CADOPPI A., CANESTRARI S., MANNA A., PAPA A. (a cura di), Cybercrime, Torino, 2019, p. 331 ss.; GIACHELLO E., La diffamazione su Facebook: un reato generazionale e un dilemma interpretativo, in Giurisprudenza penale, 2018, n. 9, p. 1 ss. (R.M.V.)

 

Corte di Cassazione, sez. V penale, sentenza 1° marzo 2021 (ud. 14 gennaio 2021), n. 8007/2021, Pres. Zaza – Rel. Belmonte

La Suprema Corte precisa che, in tema di diffamazione a mezzo Facebook, non sono indispensabili, ai fini dell’attribuibilità della condotta oltre ogni ragionevole dubbio all’imputato, accertamenti relativi al codice identificativo dell’autore del post ovvero alla titolarità della linea telefonica utilizzata per la connessione Internet. Invero, nella prospettiva accolta dai giudici di legittimità, va esente da censure la motivazione del giudice di merito imperniata sui dati probatori rappresentati, per un verso, dal nome e dalla foto profilo cui il post è attribuito, nonché, per altro verso, sul fatto che l’imputato non avesse denunciato il “furto” del proprio account.

In senso difforme: Corte di Cassazione, sez. V penale, sentenza 5 febbraio 2018 (ud. 22 novembre 2017), n. 5352/2018, Pres. Lapalorcia – Rel. Calaselice (M.P.)

 

Corte di Cassazione, sez. V penale, sentenza 8 aprile 2021 (ud. 4 marzo 2021), n. 13252/2021, Pres. Palla - Rel. Morsini

Poiché le e-mail non sono altro che lettere in formato elettronico recapitate dalla casella di posta elettronica del mittente a singoli destinatari, non contestualmente presenti, è ravvisabile il delitto di cui all’art. 595 c.p. nel caso di invio di una e-mail, dal contenuto offensivo, destinata sia all’offeso sia a più di due persone. La nozione di “presenza” dell'offeso implica necessariamente la presenza fisica, in unità di tempo e di luogo, di offeso e spettatori ovvero una situazione ad essa sostanzialmente equiparabile realizzata con l'ausilio dei moderni sistemi tecnologici come call conference, audio conferenza o videoconferenza. Ne deriva che in caso di offesa proferita nel corso di una riunione “a distanza” (o “da remoto”), tra più persone contestualmente collegate, alla quale partecipa anche l’offeso, ricorrerà l'ipotesi della ingiuria commessa alla presenza di più persone (fatto depenalizzato); di contro, laddove vengano in rilievo comunicazioni (scritte o vocali), indirizzate all'offeso e ad altre persone non contestualmente “presenti”, ricorreranno i presupposti della diffamazione.

Per approfondire: ALBAMONTE E., La diffamazione a mezzo web, in PARODI C. (a cura di), Diritto penale dell'informatica. Reati della rete e sulla rete, Milano, 2020, p. 487 ss.; Corbetta S., Quando si realizza la diffamazione commessa mediante invio di e-mail, in Diritto penale e processo, 2019, n. 2, p. 204 ss.; LASALVIA F. P., La diffamazione via web nell’epoca dei social network, in CADOPPI A., CANESTRARI S., MANNA A. e PAPA A. (a cura di), Cybercrime, Torino, 2019, p. 331 ss.; GIACHELLO E., La diffamazione su Facebook: un reato generazionale e un dilemma interpretativo, in Giurisprudenza penale, 2018, n. 9, p. 1 ss.; CORBETTA S., Offesa dell’onore altrui in una chat vocale: ingiuria o diffamazione?, nota a Cassazione penale, sez. V, sentenza 31/03/2020, n. 10905, in Diritto penale e processo, 2020, n. 5, p. 618 ss.; La Rosa E., Offese in videochat: la Corte di Cassazione si pronuncia sui rapporti tra ingiuria e diffamazione, in Giurisprudenza italiana, 2020, n. 7, p. 1750 ss.; Pioletti U., Ingiuria, diffamazione e reti sociali, in Giurisprudenza di merito, 2012, n. 12, p. 2652 ss.. (R.M.V.)

 

Corte di Cassazione, sez. V penale, sentenza 30 marzo 2021 (ud. 5 febbraio  2021), n. 12062/2021, Pres. Pezzullo – Rel. Scordamaglia

Con questa pronuncia la Suprema Corte ha ribadito che integra il delitto di sostituzione di persona la condotta di colui che crea ed utilizza un profilo su social network servendosi abusivamente della fotografia di un’altra persona inconsapevole, in quanto idonea alla rappresentazione di un’identità digitale non corrispondente al soggetto che ne fa uso. Inoltre, la descrizione poco lusinghiera che accompagna il profilo social evidenzia la sussistenza sia del fine di vantaggio, consistente nell’agevolazione delle comunicazioni e degli scambi di contenuti in rete, sia il fine di danno per il terzo, di cui è abusivamente utilizzata l’immagine e comporta che gli utilizzatori del servizio vengano tratti in inganno sulla disponibilità della persona associata all’immagine a ricevere comunicazioni a sfondo sessuale o sentimentale.

La Corte ha poi affermato che il reato di illecito trattamento dei dati personali, di cui all’art. 167 d.lgs. 30 giugno 2003 n. 196* ben può essere integrato dall’ostensione di dati personali del loro titolare ai frequentatori di un social network attraverso l’inserimento degli stessi, previa creazione di un falso profilo, sul relativo sito, posto che il nocumento che ne deriva al titolare medesimo s’identifica in un qualsiasi pregiudizio giuridicamente rilevante di natura patrimoniale o non patrimoniale subito dal soggetto cui si riferiscono i dati protetti oppure da terzi quale conseguenza dell’illecito trattamento.

In senso conforme: Corte di Cassazione, sez. V penale, sentenza 23 luglio 2020 (ud. 6 luglio 2020) n. 22049/2020, Pres. Palla – Rel. Riccardi; Corte di Cassazione., sez. V penale, sentenza 19 luglio 2018 (ud. 18 giugno 2018), n. 33862/2018, Pres. Sabeone - Rel. Tudino; Corte di Cassazione, sez. V penale, sentenza 16 giugno 2016 (ud. 23 aprile 2014), n. 25774/2014, Pres. Dubolino – Rel. Lignola; Corte di Cassazione, sez. V penale, sentenza 29 aprile 2013 (ud. 28 novembre 2012) n. 18826/2013, Pres. Zecca – Rel. Guardiano; Corte di Cassazione, sez. III penale, sentenza 17 ottobre 2019 (ud. 28 maggio2019) n. 42565/2019, Pres. Izzo – Rel. Ramacci; Corte di Cassazione, sez. III penale, sentenza 20 novembre 2018 (ud. 19 giugno 2018) n. 52135/2018

Per approfondire: CRESCIOLI C., Profili penali della creazione di un falso profilo Facebook a scopo diffamatorio, in Dir. di Internet, 2020, n. 4, p. 701 ss.; MARRAFFINO M., La sostituzione di persona mediante furto di identità digitale, in Cybercrime a cura di Cadoppi, Canestrari, Manna e Papa, Torino, 2019, p. 307 ss.; CRESCIOLI C., Una sentenza della Cassazione sulla sostituzione di persona online, in Dir. pen. cont., 21 giugno 2019; SANSOBRINO F., Creazione di un falso account, abusivo utilizzo dell’immagine di una terza persona e delitto di sostituzione di persona, in Dir. pen. cont., 30 settembre 2014; GIUDICI A., Creazione di un falso profilo utente sulla rete e delitto di sostituzione di persona, in Dir. pen. cont., 25 giugno 2013; PICOTTI L., I diritti fondamentali nell'uso ed abuso dei social network. aspetti penali, in Giur. Mer., 2012, n. 12, p. 2522 ss.; FLICK C., Falsa identità su internet e tutela penale della fede pubblica degli utenti e della persona, in Dir. inf. inf., 2008, p. 526 ss.; PICOTTI L., Profili penali delle comunicazioni illecite via Internet, in Dir. inf. inf., 1999, p. 283 ss.

* La Suprema Corte non specifica il riferimento è all’art. 167 d.lgs. 30 giugno 2003 n. 196 nella sua originaria formulazione o in quella modificata dal d.lgs 10 agosto 2018 n. 101. Nel novellato art. 167 cit., infatti, tra le condotte sanzionate è stata eliminata la violazione dell’abrogato art. 23 d.lgs.196/2003, ovvero il trattamento di dati personali avvenuto senza consenso dell’interessato, mentre vengono punite soltanto la violazione delle disposizioni di cui agli artt. 123 (dati relativi al traffico), 126 (dati relativi all'ubicazione), 130 (comunicazioni indesiderate) e 129 (dati personali relativi ai contraenti negli elenchi cartacei o elettronici a disposizione del pubblico) del d.lgs. 196/2003. Il co. 2 della versione attuale dell’art. 167 cit., invece, individua come dati personali penalmente tutelati solamente categorie particolari di dati personali, nonché i dati personali relativi a condanne penali e reati. (C.C.)

 

Corte di Cassazione, sez. III penale, sentenza 26 marzo 2021 (ud. 6 novembre 2020), n. 11623/2021, Pres. Rosi - Rel. Cerroni

La realizzazione indotta di fotografie ritraenti le nudità di minori, senza il compimento ovvero la sopportazione di atti sessuali non integra il reato di violenza sessuale ex art. 609-bis c.p., dal momento che la nozione di “atti sessuali” implica necessariamente il coinvolgimento della corporeità sessuale del soggetto passivo, come nel caso della condotta di chi, per soddisfare o eccitare il proprio istinto sessuale, mediante comunicazioni telematiche che non comportino contatto fisico con la vittima, induca la stessa al compimento di atti che comunque ne coinvolgano la corporeità sessuale e siano idonei a violarne la libertà personale e non la mera tranquillità.

Per quanto riguarda la causa di non punibilità dell’ignoranza da parte del soggetto agente dell’età della persona offesa, che opera solamente qualora egli, pur avendo diligentemente proceduto ai dovuti accertamenti, sia indotto a ritenere sulla base di elementi univoci che il minorenne sia maggiorenne, non può ritenersi fondata nel caso di specie, in cui il ricorrente si è affidato solamente ai tratti fisici di sviluppo delle minorenni, tipici di maggiorenni, a rassicurazioni verbali circa l’età, nonché a considerazioni di natura generale relativamente allo scarso controllo genitoriale e alla già avvenuta pubblicazione di fotografie “spinte” in siti il cui accesso è consentito ai soli maggiorenni.

In senso conforme: Corte di Cassazione, sez. III penale, sentenza 11 ottobre 2019 (ud. 5 luglio 2019), n. 41951/2019, Pres. Andreazza - Rel. Scarcella; Corte di Cassazione, sez. III penale, sentenza 8 giugno 2011 (ud. 11 maggio 2011), n. 23094/2011, Pres. Teresi - Rel. Ramacci.

Per approfondire: PICOTTI L., La violenza sessuale via whatsapp, in Diritto di Internet, 2020, n. 4, p. 685 ss., in commento a Corte di Cassazione; sez. III Penale; sentenza 8 settembre 2020 (ud. 2 luglio 2020), n. 25266/2020, Pres. Rosi - Rel. Macrì. (B.P.)

 

Corte di Cassazione, sez. III penale, sentenza 24 marzo 2021 (ud. 16 dicembre 2020), n. 11204/2021, Pres. Lapalorcia – Rel. Reynaud

In tema di divulgazione e diffusione di materiale pedopornografico, la Corte richiama l’orientamento giurisprudenziale secondo cui è configurabile il dolo generico della condotta dell’utente che non si limiti alla ricerca e raccolta di immagini e filmati di pornografia minorile, tramite programmi di file-sharing o di condivisione automatica, ma operi una selezione del materiale scaricato, inserendo i prodotti multimediali in una apposita cartella di condivisione personalizzata.

L’elemento soggettivo del reato di cui all’art. 600-ter comma 3 c.p. non può dunque ritenersi provato dal solo utilizzo di un determinato tipo di programma di condivisione, quale Emule o simili, ma solo quando sussistano ulteriori elementi indicativi della volontà dell’agente di divulgare tale materiale, anche sotto il profilo del dolo eventuale, desumibili dall’esperienza dell’imputato, dalla durata del possesso del materiale, dalla sua entità numerica e dalla condotta connotata da accorgimenti volti a rendere difficoltosa l’individuazione dell’attività.

La Corte quindi afferma che chiunque, con adeguata esperienza informatica e con condotta non occasionale, utilizzi programmi di file sharing come Emule per scaricare dalla rete Internet materiale pedopornografico, con la consapevolezza (derivante anche dalla circostanza che l’applicativo dia un apposito avviso a tale riguardo) che detto materiale, sino a quando non venga eliminato o spostato, resta in automatica condivisione con tutti gli altri utenti - essendo così oggettivamente diffuso in via telematica - laddove non provveda immediatamente a rimuovere il suddetto materiale dalla condivisione commette, quantomeno a titolo di dolo eventuale, il reato di pornografia minorile ex art. 600-ter comma 3 c.p..

In senso conforme: Corte di Cassazione, sez. III Penale, sentenza 26 marzo 2018 (ud. 14 dicembre 2017) n. 14001/2018, Pres. Di Nicola – Rel. Socci; Corte di Cassazione, sez. III penale, sentenza 8 maggio 2015 (ud. 13 gennaio 2015) n. 19174/2015, Pres. Fiale – Rel. Andronio.

Per approfondire: PICOTTI L., La pedopornografia nel Cyberspace: un opportuno adeguamento della giurisprudenza allo sviluppo tecnologico ed al suo impatto sociale, in Diritto di Internet, 2019, n. 1, p. 177 ss.; ID., Commento Art. 600-ter, III comma, c. p. (Pornografia minorile), in CADOPPI A. (a cura di), Commentario delle norme contro la violenza sessuale e contro la pedofilia, IV ed., Padova 2006, p. 175 ss. (B.P.)

 

Corte di Cassazione, sez. III penale, sentenza 19 marzo 2021 (ud. 11 febbraio 2021), n. 10759/2021, Pres. Ramacci - Rel. Corbetta

Come affermato dalle Sezioni Unite (sentenza n. 51815 del 31/05/2018), il nuovo inquadramento sistematico della fattispecie punita dall'art. 600-ter comma 1 c.p., per effetto delle modifiche introdotte, da ultimo, con la L. n. 172 del 2012, “induce a valorizzare, allo scopo di evitare l'incriminazione di un comportamento evidentemente privo di rilevanza penale, il concetto cardine di ‘utilizzazione del minore’, enfatizzandone la portata dispregiativa, nel senso che esso implica una ‘strumentalizzazione’ del minore stesso”.

Per “utilizzazione” deve dunque intendersi la trasformazione del minore, da soggetto dotato di libertà e dignità sessuali, in strumento per il soddisfacimento di desideri sessuali di altri o per il conseguimento di utilità di vario genere, condotta che rende invalido anche un eventuale consenso. Nel caso di specie, avendo l’imputato indotto una minore a compiere un rapporto orale nei suoi confronti e farsi fotografare e riprendere mediante un telefono durante tale atto, per poi divulgare tale materiale multimediale su diversi siti Internet, è stato ritenuto integrato il reato ex art. 600-ter comma 1 c.p. per aver l’imputato non solo carpito il video con l’inganno, ma anche minacciato la minore di divulgarlo.

In senso conforme: Corte di Cassazione, sez. III penale, sentenza 14 gennaio 2019 (ud. 16 ottobre 2018) n. 1509/2019, Pres. Rosi - Rel. Scarcella; Corte di Cassazione, sez. III penale, 20 luglio 2018 (ud. 7 giugno 2018) n. 34162/2018, Pres. Savani - Rel. Galterio. (B.P.)

 

Corte di Cassazione, sez. I penale, sentenza 25 marzo 2021 (ud. 27 gennaio 2021), n. 11581/2021, Pres. Tardio - Rel. Sandrini

Con questa sentenza la Corte di Cassazione ribadisce che i reati di istigazione a delinquere e di apologia di delitto, puniti dai co. 1 e 3 dell’art. 414 c.p., costituiscono fattispecie di pericolo concreto e richiedono perciò per la loro configurazione un comportamento che sia concretamente idoneo, sulla base di un giudizio ex ante, a provocare la commissione di delitti. Pertanto, è idonea a integrare il reato di apologia di delitti di terrorismo la condotta di chi condivida su social network dei link a materiale jihadista di propaganda, anche senza pubblicarli in via autonoma, in quanto, potenziando la diffusione di detto materiale, tale condotta accresce il pericolo non solo di emulazione di atti di violenza ma anche di adesione, in forme aperte e fluide, all’associazione terroristica che li propugna, dato che il pericolo concreto può concernere anche l’adesione di taluno a un’associazione terroristica ex art. 270 bis c.p. A tal proposito, non ha nessun rilievo che il numero di follower del profilo social e di like e condivisioni apposti ai file condivisi o postati sia ridotto, poiché, stante la pacifica natura di reato di pericolo dell’art. 414 c.p., per integrare il reato è sufficiente la concreta possibilità che la diffusione di documenti di contenuto apologetico e propagandista inneggianti allo Stato islamico e alle attività terroristiche dell’Isis crei o comunque incrementi il rischio potenziale di commissione di reati lesivi di beni omologhi rispetto a quelli offesi dai crimini esaltati.

In senso conforme: Corte di Cassazione, sez. V penale, sentenza 27 novembre 2019 (ud. 12 settembre 2019), n. 48247/2019, Pres. Vessichelli – Rel. Caputo; Corte di Cassazione, sez. I penale, sentenza 15 novembre 2018 (ud. 9 ottobre 2018), n. 51654/2018, Pres. Rocchi – Rel. Santalucia; Corte di Cassazione, sez. I penale, sentenza 1 dicembre 2015 (ud. 6 ottobre 2015), n. 47489/2015, Pres. Chieffi – Rel. Rocchi; Corte di Cassazione, sez. V penale, sentenza 16 gennaio 2019, (ud. 26 settembre 2018), n. 1970, Pres. Zaza – Rel. Riccardi

Per approfondire: GOVERNA J., Jihad elettronica e partecipazione nel reato di organizzazione terroristica ex art. 270-bis c.p., in Diritto di Internet, 2021, in via di pubblicazione; PICOTTI L., Terrorismo e sistema penale: realtà, prospettive, limiti, in Dir. Pen. Cont. Riv. Trim., 2017, n. 1, p. 249 ss.; ZIRULIA S., Apologia dell'IS via internet e arresti domiciliari. Prime prove di tenuta del sistema penale rispetto alla nuova minaccia terroristica, in Dir. pen. cont., 14 dicembre 2015; DAMBRUOSO S., Il cyberterrorismo di matrice religiosa, in CADOPPI A., CANESTRARI S., MANNA A., PAPA A. (a cura di), Cybercrime, Torino, 2019, p. 217 ss.; FLOR R., Perspective for new types of “technological investigation” and protection of fundamental rights in the Era of Internet. The so-called “cyberterrorism” as a prime example, between problems of definition and the fight against terrorism and cybercrime, in Delito, pena, politica criminal y tecnologìas de la informatiòn en las modernas ciencias penales, Salamanca, Ediciones Universidad de Salamanca, 2012, p. 51 ss.; SIEBER U., BRUNST P., Cyberterrorism and Other Use of the Internet for Terrorist Purposes – Threat Analysis and Evaluation of International Conventions, in Council of Europe (ed.), Cyberterrorism – the use of the Internet for terrorist purposes, Strasbourg, Council of Europe Publishing, 2007 (C.C.)

 

Corte di Cassazione, sez. II penale, sentenza 5 marzo 2021 (ud. 15 gennaio 2021), n. 9103/2021, Pres. Diotallevi – Rel. Di Pisa

In sede di giudizio abbreviato, l’utilizzo per la decisione degli sms trascritti dalla persona offesa e richiamati nella sua deposizione nel corso delle indagini preliminari non è soggetto ad alcuna sanzione processuale e può concorrere a formare il libero convincimento del giudice, avendo sostanzialmente lo stesso peso della prova dichiarativa, resa in forma indiretta. Dunque, non versandosi in un’ipotesi di inutilizzabilità patologica, ai sensi dell’art. 438, comma 6-bis, c.p.p., non trova applicazione il principio, di matrice giurisprudenziale, secondo cui l’utilizzabilità della trascrizione di messaggi originariamente trasmessi in formato informatico è subordinata all’acquisizione del supporto telematico o figurativo contenente la relativa registrazione, al fine di verificare l’affidabilità, la provenienza e l’attendibilità del contenuto di dette conversazioni.

In senso conforme: Corte di Cassazione, sez. VI penale, sentenza 17 gennaio 2020 (ud. 12 dicembre 2019), n. 1822/2020, Pres. Petruzzellis – Rel. Bassi; Corte di Cassazione, sez. I penale, sentenza 8 gennaio 2021 (ud. 2 dicembre 2020), n. 461/2021, Pres. Iasillo – Rel. Sandrini. V. anche Corte di Cassazione, sez. V penale, sentenza 25 ottobre 2017 (ud. 19 giugno 2017), n. 49016/2017, Pres. Vessichelli – Rel. Scordamaglia.

Per approfondire: DEL COCO R., L’utilizzo probatorio dei dati whatsapp tra lacune normative e avanguardie giurisprudenziali, in Proc. pen. giust., 2018, p. 532 ss.; FIORELLI G., Lo screenshot quale prova documentale: regole acquisitive e garanzie di affidabilità, in Dir. internet., 2020, p. 503 ss.; PITTIRUTI M., Digital Evidence e procedimento penale, Torino, 2017. (M.P.)

 

Trib. Roma, sez. G.I.P./G.U.P., decreto 25 aprile 2021, Dott. Sabatini

Trib. Milano, VII sez. penale, ordinanza 22 aprile 2021, Pres. Malatesta

Come ampiamente prevedibile, la recente pronuncia della Corte di giustizia dell’Unione europea in materia di data retention (C. Giust. UE, G.S., 2 marzo 2021, C‑746/18, H. K., richiamata supra nelle Novità internazionali) ha immediatamente suscitato reazioni antitetiche nella prassi. Mentre il Tribunale di Roma ha riconosciuto l’esistenza di un contrasto tra l’art. 132, d.lgs. 30 giugno 2003, n. 196 e il diritto dell’Unione, facendo conseguentemente diretta applicazione dei principi dettati dalla giurisprudenza sovranazionale, il Tribunale di Milano ha accolto una prospettiva diametralmente opposta, escludendo profili di conflitto della normativa interna in materia di data retention con la disciplina europea.

Segnatamente, il Tribunale di Roma, premessa l’operatività anche nei confronti dell’Italia dei principi di diritto stabiliti dalla pronuncia della Corte di giustizia europea, ha rilevato il «sopravvenuto contrasto tra l’art. 132 comma 3 del d.lgs. 196/2003 e la normativa dell’Unione Europa, così interpretata dal Giudice europeo». Invero, la normativa dettata dal Codice privacy non si confermerebbe ai principi stabiliti da quest’ultimo, laddove, per un verso, non delimita le ipotesi di data retention a procedure aventi per scopo la lotta contro le forme gravi di criminalità o la prevenzione di gravi minacce alla sicurezza pubblica, nonché, per altro verso, prevede che sia il pubblico ministero, soggetto privo dei necessari requisiti d’indipendenza, a poter accedere ai dati relativi al traffico e all’ubicazione. La soluzione del conflitto è stata identificata dal giudice romano nella disapplicazione della normativa interna, sostituita dalla diretta applicazione dei principi stabiliti dal giudice europeo. Dunque, quanto al “catalogo” di reati per cui il cui accertamento l’autorità giudiziaria potrebbe acquisire i dati di traffico, il decreto in parola propende per estendere in via analogica i limiti di ammissibilità delle intercettazioni di cui all’art. 266 c.p.p.; con riferimento al necessario intervento di un soggetto “terzo” con funzione autorizzativa, invece, si ritiene indispensabile fin d’ora – ovvero pure in assenza di una modifica normativa volta a riallineare la disciplina del Codice privacy con la normativa europea – che la richiesta del pubblico ministero sia rivolta a un giudice.

Simile ricostruzione, di portata evidentemente garantista e apprezzabile anche nella sua portata creativa quanto alle soluzioni offerte, non è stata, al contrario, condivisa dal Tribunale di Milano, il quale, all’opposto, nel rigettare un’eccezione di inutilizzabilità dei tabulati telefonici formulata dall’imputato, ha adottato un approccio ben più “prudente”, sulla falsariga delle pronunce sul tema della giurisprudenza di legittimità. Invero, il giudice milanese ha escluso la sussistenza di un conflitto tra la normativa interna dettata per la data retention e la disciplina europea, sia con riferimento al catalogo di reati per il cui accertamento è possibile acquisire i tabulati sia con riguardo al potere di acquisizione affidato all’accusa senza previa autorizzazione da parte di un giudice. Quanto al primo tema, la circostanza che si procedesse, in quel caso, per uno dei reati di cui all’art. 407, comma 2, lett. a) c.p.p. ha indotto il collegio a ritenere rispettato il requisito di gravità del reato da accertare delineato dai giudici comunitari. In relazione alla figura del pubblico ministero quale titolare del potere di acquisizione, poi, il Tribunale ha valorizzato i peculiari caratteri che connotano l’ufficio dell’accusa nel sistema italiano – in primis, il potere/dovere di raccogliere elementi non solo a carico, ma anche a favore della persona sottoposta alle indagini – al fine di sostenere che tale assetto varrebbe a soddisfare il requisito di indipendenza richiesto dai giudici europei.

In senso conforme alla ricostruzione operata dai giudici milanesi, cfr. Corte di Cassazione, III sez. Penale, 23 agosto 2019 (ud. 19 aprile 2019), n. 36380/2019, Pres. Andreazza – Rel. Semeraro.

Per approfondire: DELLA TORRE J., L’acquisizione dei tabulati telefonici nel processo penale dopo la sentenza della Grande Camera della Corte di Giustizia UE: la svolta garantista in un primo provvedimento del g.i.p. di Roma, in SP, 29 aprile 2021; LUPARIA L., Data retention e processo penale, in Dir. internet, 2019, n. 4, p. 757 ss.; MARCOLINI S., L’istituto della data retention dopo la sentenza della Corte di giustizia del 2014, in AA.VV., Cybercrime, diretto da A. Cadoppi, S. Canestrari, A. Manna, M. Papa, Torino, 2019, p. 1591 ss. (M.P.)

 

3. Novità legislative e normative nazionali

Relazione sulla politica dell’informazione per la sicurezza

Come previsto dalla Legge 124/2007 sul Sistema di informazione per la sicurezza della Repubblica, è stata pubblicata il 1° marzo 2021 la “Relazione sulla politica dell’informazione per la sicurezza” per il 2020, curata dal Comparto Intelligence (DIS, AISE e AISI) e mediante la quale il Governo riferisce al Parlamento sulla politica dell’informazione per la sicurezza.

Tra i Focus trattati dalla relazione vi è la minaccia cibernetica, per cui viene delineato, in connessione all’emergenza pandemica, un significativo incremento. In particolare, gli attacchi censiti rilevano progettualità ostili (di matrice statuale, hacktivista o criminale), miranti a sfruttare il massiccio ricorso al lavoro agile in danno di operatori pubblici e privati, ovvero tese a carpire dati sensibili da strutture ospedaliere, centri di ricerca e realtà impegnate nello sviluppo di vaccini e terapie contro il Covid-19. I soggetti pubblici presi di mira sono stati soprattutto enti/operatori afferenti al settore della sanità e della ricerca e dicasteri ed altre Amministrazioni dello Stato, nei cui confronti si è registrata una intensa campagna di diffusione di malware e attacchi ransomware. Le azioni digitali ostili perpetrate nei confronti dei soggetti privati hanno, invece, interessato prevalentemente, oltre il settore farmaceutico/sanitario, quello bancario, i servizi IT e l’industria del Made in Italy. Sono state, in particolare, individuate attività di phishing, nonché la registrazione di domini malevoli allo scopo di ingannare gli utenti nel corso delle procedure di erogazione dei contributi economici per far fronte alla crisi economica generata dalla pandemia.

La Relazione dà, altresì, atto del contributo del Comparto Intelligence nella definizione della posizione nazionale in seno al Consiglio dell’Unione Europea con riguardo alle proposte di altri Stati Membri per l’emissione di misure restrittive nei confronti di soggetti e/o entità ritenuti responsabili di attacchi cyber, con effetti significativi, in danno di target europei, ai sensi del Regolamento del Consiglio Europeo 2019/796 e della Decisione del Consiglio 2019/797 del 17 maggio 2019. Le misure restrittive applicabili possono includere divieti di circolazione per le persone fisiche verso l’UE e congelamento di beni.

In coerenza con l’attribuzione al Comparto intelligence di nuove specifiche competenze in materia di cybersecurity, alla Relazione è, inoltre, allegato anche il Documento di Sicurezza Nazionale, concernente le attività relative alla protezione cibernetica e alla sicurezza informatica. In proposito sono evidenziati importanti avanzamenti nel processo di rafforzamento dell’architettura nazionale di sicurezza cibernetica, specie per quel che concerne: l’elaborazione dei decreti attuativi delle norme sul “Perimetro di sicurezza nazionale cibernetica”; l’implementazione della Direttiva europea NIS; la sicurezza delle reti 5G; le attività del Nucleo di Sicurezza Cibernetica e dello CSIRT (Computer Security Incident Response Team) italiano. Completano il novero delle iniziative intese a rafforzare la resilienza cyber del Paese quelle di carattere formativo e divulgativo, per una più diffusa consapevolezza e conoscenza di rischi e contromisure. (R.M.V.)

 

I dati dei reati in rete nell’anno 2020 secondo le stime della Polizia di Stato

Nel 169° anniversario della fondazione della Polizia di Stato sono stati diffusi i dati sulla criminalità relativi al 2020, nel corso del quale, in connessione con la pandemia, il Servizio della Polizia Postale e delle Comunicazioni è stato impegnato in una capillare attività di monitoraggio dei social network e della Rete volta alla prevenzione e al contrasto di fenomenologie criminali come cyberbullismo, pedopornografia e truffe.

Nello specifico, sotto il coordinamento del Centro Nazionale per il Contrasto della Pedopornografia online sono stati analizzati i contenuti di 34.120 siti internet con l’inserimento di 2.446 spazi web illeciti nella black list per inibirne l’accesso dal territorio italiano ed è stato registrato un incremento significativo dei casi di adescamento di minori online d’età compresa tra 0-9 anni.

Nel contesto dei social network numerosi sono stati i casi trattati di estorsioni a sfondo sessuale, revenge porn, stalking, molestie, minacce, ingiurie e diffamazione online.

Significativa è stata anche l’azione di contrasto alle fake news, ai reati d’incitamento all’odio, con particolare attenzione per gli atti intimidatori posti in essere nei confronti dei giornalisti, e alla propaganda islamica con oltre 37.000 spazi web visionati.

Con riferimento ai reati contro il patrimonio, in continua crescita risultano i dati relativi alle truffe online e specificatamente quelle legate al trading online con oltre 20 milioni di euro sottratti alle vittime. Relativamente al financial cybercrime, su 4.294 casi nazionali, nonostante il dirottamento delle somme frodate verso Paesi extraeuropei, grazie alla piattaforma On line fraud cyber centre and expert network la Polizia Postale e delle Comunicazioni ha potuto recuperare alla fonte 20.046.240,51 euro, su una movimentazione complessiva di 33.186.673,91 euro.

Con riferimento alla cybersecurity, la Sala Operativa del Centro Nazionale Anticrimine Informatico per la Protezione delle Infrastrutture Critiche ha gestito, a livello nazionale, 509 attacchi a sistemi informatici di strutture nazionali di rilievo strategico, 69 richieste di cooperazione nel circuito High Tech Crime Emergency e avviato 103 indagini con 105 persone indagate. (R.M.V.)

 

Decreto legge 1° aprile 2021, n. 44: la proroga delle misure del processo penale dell’emergenza

Con il d.l. 1 aprile 2021 n. 44, intitolato Misure urgenti per il contenimento dell’epidemia da COVID-19, in materia di vaccinazioni anti SARS-CoV-2, di giustizia e di concorsi pubblici, sono state prorogate al 31 luglio 2021 le disposizioni di cui al d.l. 28 ottobre 2020 n. 137, convertito con modificazioni dalla legge 18 dicembre 2020, n. 176, relative all’esercizio dell’attività giudiziaria durante l’emergenza pandemica da COVID-19. Permane, dunque, la possibilità di compiere atti d’indagine che richiedono la partecipazione della persona sottoposta alle indagini, della persona offesa, del difensore, di consulenti, di esperti o di altre persone mediante “collegamenti da remoto”. Inoltre, sono state prorogate le misure relative al deposito telematico degli atti nella fase delle indagini preliminari presso le procure della Repubblica, che ora costituisce modalità di deposito esclusiva per gli atti indicati dall’art. 24 d.l. 137/2020 e dal Decreto del Ministero della Giustizia del 13 gennaio 2021. Il nuovo decreto legge 44/2021 ha poi introdotto la previsione per cui il deposito degli atti “è tempestivo quando è eseguito entro le ore 24 del giorno di scadenza. Inoltre, all’art. 6 co. 2-bis e 2-ter è stato previsto che in caso di malfunzionamento del portale attestato dal Direttore generale per i servizi informativi automatizzati, l'autorità giudiziaria procedente può autorizzare il deposito di singoli atti e documenti in formato analogico. Tale modalità di deposito può poi essere prevista anche per “ragioni specifiche ed eccezionali”, sempre previa autorizzazione da parte dell’autorità giudiziaria.

Per approfondire: TONDI V., Le disposizioni del d.l. 1° aprile 2021, n. 44 in materia di procedimento penale nell'emergenza COVID-19: osservazioni a prima lettura, in SP, 13 aprile 2021. (C.C)

 

Comunicato stampa congiunto Consob-Banca d’Italia 28 aprile 2021 relativo ai rischi insiti nelle cripto-attività

Facendo seguito all’avvertimento diramato a marzo 2021 dalle tre Autorità europee di vigilanza - Eba, Esma ed Eiopa - e tenuto conto che è attualmente in corso l’iter per l’approvazione della proposta della Commissione Europea di regolamentazione e contrasto agli abusi di mercato in relazione alle diverse tipologie di cripto-attività, congiuntamente Banca d’Italia e Consob in data 28 aprile 2021 hanno richiamato, soprattutto i piccoli consumatori, sugli elevati rischi connessi agli investimenti in questi strumenti.

Questi rischi, che possono determinare la perdita integrale del denaro investito, derivano, da un lato, dal fatto che le cripto-attività non sono soggette alle norme in materia di trasparenza dei prodotti bancari e dei servizi di investimento, nonché a nessuna forma di supervisione o di controllo da parte delle Autorità di vigilanza, dall’altro, dalla loro natura e circolazione digitale.

Nello specifico appartengono alla prima categoria la scarsa disponibilità di informazioni in merito alle modalità di determinazione dei prezzi, la volatilità delle quotazioni, l’assenza di obblighi informativi e di tutele legali e contrattuali, a salvaguardia, in particolare, delle somme impiegate. Ineriscono, invece, alla seconda tipologia i malfunzionamenti delle tecnologie sottostanti, gli attacchi informatici ai relativi operatori e ancora la perdita/smarrimento delle credenziali di accesso ai portafogli elettronici.

È indicata come altrettanto rischiosa, anche, l’adesione a offerte di prodotti finanziari correlati a cripto-attività, come i cd. digital token, a maggior ragione quando effettuata da operatori abusivi, non autorizzati e non vigilati da alcuna Autorità. (R.M.V.)

 

4. Segnalazioni bibliografiche

 

Barile L., Appropriazione indebita di file informatici: tra interpretazione estensiva e divieto di analogia il diritto penale è “cosa mobile”, in SP, 19 marzo 2021

Croce M., Cyberlaundering e valute virtuali. La lotta al riciclaggio nell’era della distributed economy, in SP, 27 aprile 2021

Della Torre J., L’acquisizione dei tabulati telefonici nel processo penale dopo la sentenza della Grande Camera della Corte di Giustizia UE: la svolta garantista in un primo provvedimento del g.i.p. di Roma, in SP, 29 aprile 2021

Di Domenico A., La Cassazione sulle intercettazioni mediante trojan disposte dal pubblico ministero: la convalida preclude ogni discussione sul requisito dell’urgenza, in SP, 18 marzo 2021

Filippi L., La Grande Camera della Corte di giustizia U.E. boccia la disciplina italiana sui tabulati, in Penale DP, 8 marzo 2021

Leuzzi B.M., L’estrazione della copia integrale dei dati contenuti in dispositivi informatici realizza solo una copia-mezzo, in Cass. pen., 2021, n. 3, p. 1001 ss.

Maggio P., Intercettazioni no limits: il captatore informatico “per istradamento”, in Proc. pen. giust., 2021, n. 2, p. 448 ss.

Piergallini C., Intelligenza Artificiale: da ‘mezzo' ad ‘autore’ del reato?, in Riv. it. dir. proc. pen., 2020, n. 4, p. 1745 ss.

Pagella C., La Cassazione sulla riconducibilità dei file al concetto di “cosa mobile” oggetto di appropriazione indebita: un caso di analogia in malam partem?, in SP, 4 marzo 2021

Rinceanu J., Verso una forma di polizia privata nello spazio digitale? L’inedito ruolo dei provider nella disciplina tedesca dei social network, in SP, 11 marzo 2021

Riva E., Le fattispecie di danneggiamento informatico: una comparazione tra Italia e Cina, in SP, 23 aprile 2021

 

5. Segnalazioni bibliografiche internazionali

Ahlam, R. (2021). Apple, the government, and you: Security and privacy implications of the global encryption debate. Fordham International Law Journal, 44(3), 771-[vi].

Breen, D. C. (2021). Silent no more: How deepfakes will force courts to reconsider video admission standards. Journal of High Technology Law, 21(1), 122-164.

Graham, A., Kutzli, H., Kulig, T.C., Cullen, F. T. (2021). Invasion of the Drones: A New Frontier for Victimization. Deviant Behavior, (42), 386. 

Guinchard, A. (2021). Our Digital Footprint under Covid-19: Should We Fear the UK Digital Contact Tracing App? The Future of Legal Regulation: The Intersection of Creativity, Technology and Biology: Current Development. International Review of Law, Computers and Technology, (35), 84. 

Netkova, B., & Mustafa, A. (2021). International legal standards in combating child online sexual abuse and exploitation. Journal of Liberty and International Affairs (JLIA), 6(3), 111-122.

Plazas, C. (2021). Information Crossroads: Intersection of Military and Civilian Interpretations of Cyber Attack and Defense. University of Cincinnati Intellectual Property and Computer Law Journal, 5, [xxvii]-[liv].

Rapela, S. (2021). The ugly truth about cyber insurance & governmental data breaches. Journal of High Technology Law, 21(1), 242-277.

Wallace, D., Reeves, S., & Powell, T. (2021). Direct participation in hostilities in the age of cyber: Exploring the fault lines. Harvard National Security Journal, 12(1), 164-197

Wang P., Su M., Wang J., (2021). Organized Crime in Cyberspace: How Traditional Organized Criminal Groups Exploit the Online Peer-to-Peer Lending Market in China. British Journal of Criminology (61), 303.