È a partire dagli anni Settanta che ci si interrogò su quanto il nostro codice penale potesse essere adoperato anche in caso di reati informatici.
Si pensò ad esempio ad un hacker introdottosi nel sistema informatico di una banca per alterare i dati del suo conto corrente a proprio favore.
Il fatto integrava gli estremi del reato di truffa, previsto dall’articolo 640 c.p.?
Dal momento che il nostro diritto penale vieta l’applicazione analogica della norma, e qualifica come reato solo ciò che la legge prevede espressamente come tale, e giacché ad essere truffato nella fattispecie non era un altro soggetto, così come previsto appunto dall’articolo succitato, ma un calcolatore, la risposta era no.
Furono queste le prime avvisaglie della necessità che il diritto penale si adeguasse alla nascita di questi nuovi reati; avvisaglie che sfociarono poi nella L. n. 547/1993, mediante la quale furono introdotti i primi reati informatici, intesi come i “reati commessi tramite o ai danni di un computer”.
Sempre allo stesso anno risale l’introduzione del reato di accesso abusivo a sistema informatico (615 ter c.p.), riguardante l’ipotesi dell’hacker che entra nel computer altrui, che richiama la fattispecie della violazione di domicilio disciplinata dall’art. 614 c.p.
È interessante notare come in questa norma appena introdotta si faccia ricorso all’espressione “si introduce” (ripresa appunto dall’art. 614 c.p.), che risulta impropria dal momento che nella realtà cibernetica le tradizionali categorie spazio-temporali vanno abbandonate in favore di concetti come:
- la smaterializzazione di dati e informazioni
- la delocalizzazione
- la de- temporalizzazione
- l’ubiquità
- la velocità
- l’anonimato.
E non si tratta solo di una disquisizione linguistica, dal momento che questo tipo di terminologia crea poi un problema circa l’individuazione del momento di consumazione del reato, e conseguentemente del foro competente a giudicare.
È dunque evidente come negli anni Novanta si approcciasse ai reati informatici come una sorta di appendice dei reati tradizionali.
Quando emergevano nuove classi di reati informatici, il legislatore le colloca vicino al reato cui “somigliavano” in ragione del bene giuridico che tali norme salvaguardavano (es. frode informatica/truffa, accesso abusivo/violazione di domicilio, etc.).
Oggi, invece, il diritto penale cibernetico prefigura delle nuove tipologie di beni giuridici: infatti, l’accesso abusivo, secondo la dottrina, non vuole tutelare il domicilio informatico, bensì mira a proteggere la riservatezza informatica, il diritto all’esclusività sul proprio spazio informatico.
Le cose hanno cominciato a cambiare a partire dal Duemila.
In particolare il d.lgs. n. 231/2001 stabilisce la responsabilità penale degli enti: anche la società può essere procedibile penalmente, per cui viene riconosciuta una responsabilità oggettiva degli enti a fronte dei comportamenti compiuti dai propri dipendenti nell’interesse degli stessi, e una responsabilità soggettiva.
Al 2008 invece risale la ratifica della Convenzione di Budapest, emanata dal Consiglio d’Europa, che riscrive completamente l’orizzonte dei reati cibernetici rispetto alle leggi degli anni Novanta.
Non solo prevedendo reati attinenti sia al sistema informatico (cioè alla macchina fisica) che al sistema telematico (la rete che collega i computer tra loro), ma definendo i crimini sui quali legiferare:
- accesso illegale ad un sistema informatico
- intercettazione abusiva
- frode informatica
- danneggiamento informatico
- attentato all’integrità dei dati
- falsificazione informatica.
È quindi evidente come anche la normativa penale italiana, a partire appunto dal nuovo millennio, si sia adeguata all’evoluzione tecnologica, ricomprendendo reati prima inesistenti.