Cybercrimes e responsabilità degli enti

di Licia Presutti

 Introduzione

Il d.lgs. 231 del 2001 introduce una responsabilità autonoma e diretta degli enti derivante dalla commissione di alcuni reati (c.d. reati presupposto) compiuti nel loro interesse o a loro vantaggio[1] da soggetti inseriti nell’organizzazione, ossia da persone con funzione apicale all’interno dell’azienda o con posizione subordinata[2]. Suddetto decreto ha adottato, infatti, un sistema di elencazione nominativa dei reati. Talché, la responsabilità da reato degli enti non si configura come naturale conseguenza di qualsiasi reato commesso dai soggetti legati all’ente da una relazione organica.

In virtù del principio di legalità l’ente non può essere ritenuto responsabile se il reato commesso da un soggetto apicale o sottoposto non è contemplato nel suddetto catalogo.

In particolare, gli artt. 24, 24-bis, 25-quater[3] e 25-quinquies[4] comma 1 lett. c del suddetto decreto fanno riferimento ai reati informatici, cioè realizzati in rete o mediante l’utilizzo di un sistema informatico, poggiando sul superamento della dimensione territoriale delle condotte e delle comunicazioni umane.

Di seguito verranno analizzate le fattispecie di reati informatici propri cioè commessi mediante Internet, i quali coinvolgono in maniera diretta l’utilizzo di tecnologie informatiche nell’iter di realizzazione della condotta stessa.

Frode informatica (ai danni dello Stato o di altro ente pubblico): art. 24 lgs. 231 del 2001 [5]

ART. 640-ter c.p. “Frode informatica”.

“Chiunque, alterando in qualsiasi modo il funzionamento di un sistema informatico o telematico o intervenendo senza diritto con qualsiasi modalità su dati, informazioni o programmi contenuti in un sistema informatico o telematico o ad esso pertinenti, procura a sé o ad altri un ingiusto profitto con altrui danno […]”.

La norma è posta a tutela della riservatezza, della regolarità dei sistemi informatici e del patrimonio altrui. L’evento consiste nel conseguimento da parte del soggetto attivo di un ingiusto profitto con altrui danno. Si tratta di un reato a forma libera che prevede una condotta consistente nell’alterazione del funzionamento del sistema informatico o telematico ovvero in un intervento non autorizzato.

La condotta è a forma aperta, includendo qualsiasi tipo di alterazione di un sistema informatico o telematico, nonché il generico intervento su dati, informazioni o programmi concretizzandosi in un’indebita interferenza al funzionamento del sistema.

L’elemento soggettivo consiste nel dolo generico, essendo sufficiente la coscienza e volontà di alterare il funzionamento del sistema ovvero di intervenire illecitamente sui dati.

La frode informatica si caratterizza rispetto alla truffa per la specificazione delle condotte fraudolente che investono non un determinato soggetto passivo, bensì il sistema informatico attraverso la manipolazione. Si tratta di un reato a forma libera finalizzato all’ottenimento di un ingiusto profitto con altrui danno, ma che si concretizza in una condotta illecita intrusiva o alterativa del sistema informatico o telematico[6].

La norma contempla due ipotesi aggravate: l’una qualora il delitto sia posto in essere in danno dello Stato o di altro ente pubblico; l’altra attiene alla qualifica soggettiva dell’agente e cioè qualora il fatto sia posto in essere da un operatore di sistema.

Per quanto concerne la responsabilità dell’ente rileva soltanto l’ipotesi di frode informatica ai danni dello Stato o di altro ente pubblico ai sensi dell’art. 24 d.lgs. 231/01.

Delitti informatici e trattamento illecito dei dati.

I reati informatici sono definiti tali in quanto puniscono comportamenti legati all’uso della tecnologia informatica, talché il computer e la rete diventano strumenti o luoghi di commissione del reato.

L’articolo 24-bis[7] del d.lgs. 231 del 2001 è stato introdotto dalla L. n. 48 del 18.03.2008 attuativa della Convenzione di Budapest sulla criminalità informatica che ha ampliato il novero dei reati presupposto, facendo scaturire la necessità per le imprese di aggiornare i modelli organizzativi, stante l’obbligo per le stesse di prevenire la commissione di reati informatici posti in essere a proprio vantaggio.

In particolare, l’art 24-bis fa riferimento a determinati reati presupposto le cui caratteristiche generali saranno analizzate di seguito.

ART 615-ter c.p. “Accesso abusivo ad un sistema informatico o telematico”.

“Chiunque abusivamente si introduce in un sistema informatico o telematico protetto da misure di sicurezza ovvero vi si mantiene contro la volontà espressa o tacita di chi ha il diritto di escluderlo […]”.

 La disposizione è stata introdotta dall’art. 4 della L. 23 dicembre 1993, n. 547 recante modificazioni ed integrazioni in tema di criminalità informatica. Attraverso suddetta disposizione il legislatore ha assicurato la protezione del domicilio informatico quale spazio ideale di pertinenza della persona, estendendo ad esso la tutela della riservatezza della sfera individuale (protetta dall’art. 2 Cost.), concretizzandosi nello ius excludendi alios quale che sia il contenuto dei dati raccolti nei sistemi informatici protetti.

Nello specifico, si definisce sistema informatico un complesso di apparecchiature destinate a compiere una qualsiasi funzione utile all’uomo attraverso l’utilizzazione di tecnologie informatiche.

Il reato è da ritenersi plurioffensivo, laddove oggetto di tutela penale sono beni giuridici ed interessi eterogenei e cioè il diritto alla riservatezza e alla protezione del domicilio informatico, nonché diritti di carattere patrimoniale ovvero inerenti all’ordine pubblico ed alla sicurezza che potrebbero essere compromessi da intrusioni o manomissioni non autorizzate[8].

Tale impostazione metodologica si rinviene nel principio elaborato dalla Suprema Corte secondo cui il delitto di turbata libertà industriale e commerciale può concorrere formalmente con quelli di accesso abusivo ad un sistema informatico e di appropriazione indebita, in ragione di un nesso teleologico tra i mezzi fraudolenti impiegati e la turbativa dell’esercizio dell’industria o del commercio che ne consegue, essendo la norma diretta a garantire il diritto individuale al libero svolgimento di un’attività industriale o commerciale (Cass. Pen. Sez III, 22 giugno 2010, n. 35731).

La giurisprudenza di legittimità ha definito il delitto di accesso abusivo ad un sistema informatico quale reato di mera condotta che si perfeziona con la violazione del domicilio informatico e quindi con l’introduzione in un sistema costituito da un complesso di apparecchiature che utilizzano tecnologie informatiche, non prevedendo necessariamente che l’intrusione sia effettuata allo scopo di insidiare la riservatezza dei legittimi utenti e che si verifichi un’effettiva lesione della stessa (Cass. Pen. Sez. V, 6 febbraio 2007, CED 236221).

La condotta tipica consiste nell’introdursi abusivamente in un sistema protetto e cioè senza il consenso del titolare del diritto. L’elemento soggettivo richiesto è il dolo generico consistente nella volontà di introdursi o di mantenersi nell’altrui sistema informatico.

Per quanto concerne la competenza territoriale sono intervenute le Sezioni Unite dettando il seguente principio di diritto: “il luogo di consumazione del delitto di accesso abusivo ad un sistema informatico o telematico è quello nel quale si trova il soggetto che effettua l’introduzione abusiva o vi si mantiene abusivamente”[9].

ART. 615-quater c.p. “Detenzione e diffusione abusiva di codici di accesso a sistemi informatici o telematici”.

 “Chiunque, al fine di procurare a sé o ad altri un profitto o di arrecare ad altri un danno, abusivamente si procura, riproduce, diffonde, comunica o consegna codici, parole chiave o altri mezzi idonei all’accesso ad un sistema informatico o telematico, protetto da misure di sicurezza, o comunque fornisce indicazioni o istruzioni idonee al predetto scopo […]”. 

La struttura dell’art. 615-quater c.p. evidenzia la volontà del legislatore di anticipare la soglia della punibilità rispetto al momento dell’effettivo conseguimento del profitto, concependo la fattispecie quale reato di pericolo di ledere l’interesse tutelato.

Infatti, secondo la dottrina maggioritaria si tratterebbe di un reato di pericolo astratto che si consuma non in dipendenza del danno o del turbamento effettivo del sistema, ma per il fatto di essere venuti a conoscenza degli strumenti descritti nella norma o di aver ceduto informazioni utili ad operare accessi[10].

La natura di reato comune e l’ampiezza della condotta vietata disegnano una fattispecie ad applicazione estesa, infatti risulta illecita non solo la condotta di procurarsi, riprodurre, diffondere, comunicare o consegnare codici d’accesso, ma addirittura il fatto di chi fornisce indicazioni idonee a tal fine. La nozione di abusività deve essere, dunque, correlata a situazioni nelle quali l’ottenimento delle passwords e degli altri mezzi di accesso sia avvenuto con violazione di specifiche norme pubblicistiche o privatistiche, anche di tipo contrattuale, poste a salvaguardia della segretezza di tali beni[11].

Inoltre, ai fini della sussistenza del delitto de quo è necessario che la condotta sia caratterizzata dal dolo specifico, consistente nel fine di procurare a sé o ad altri un profitto o di arrecare ad altri un danno.

ART. 615-quinquies c.p. “Diffusione di apparecchiature, dispositivi o programmi informatici diretti a danneggiare o interrompere un sistema informatico o telematico”.


“Chiunque, allo scopo di danneggiare illecitamente un sistema informatico o telematico, le informazioni, i dati o i programmi in esso contenuti o ad esso pertinenti ovvero di favorire l’interruzione, totale o parziale, o l’alterazione del suo funzionamento, si procura, produce, riproduce, importa, diffonde, comunica, consegna o, comunque, mette a disposizione di altri apparecchiature, dispositivi o programmi informatici […]”.

Attraverso questa disposizione il legislatore si riferisce al concetto di virus con finalità preventive. Infatti, la norma delinea un reato di pericolo, di mera condotta che si perfeziona nel luogo e nel momento in cui il programma viene diffuso. Il danno al sistema non costituisce un elemento costitutivo della fattispecie incriminatrice.

La condotta si caratterizza da un lato nel procurare, produrre, riprodurre, importare, diffondere, comunicare, consegnare o in ogni caso mettere a disposizione di altri apparecchiature, programmi o dispositivi informatici, il tutto allo scopo di danneggiare illecitamente un sistema informatico o telematico (e i relativi dati); dall’altro nel mero limitarsi a favorire l’interruzione o l’alterazione del suo funzionamento[12].

ART. 617-quater c.p. “Intercettazione, impedimento o interruzione illecita di comunicazioni informatiche o telematiche”.

“Chiunque fraudolentemente intercetta comunicazioni relative a un sistema informatico o telematico o intercorrenti tra più sistemi , ovvero le impedisce o le interrompe, è punito con la reclusione da sei mesi a quattro anni.
Salvo che il fatto costituisca più grave reato, la stessa pena si applica a chiunque 
rivela, mediante qualsiasi mezzo di informazione al pubblico, in tutto o in parte, il contenuto delle comunicazioni di cui al primo comma […].

La ratio della tutale penale della norma in esame è quella di evitare che siano divulgate con qualsiasi mezzo di informazione al pubblico comunicazioni c.d. “chiuse”, destinate a rimanere segrete, delle quali l’agente sia comunque venuto a conoscenza[13].

La condotta deve essere posta in essere con modalità non autorizzate, cioè idonee ad inserirsi nel sistema o nei sistemi che gestiscono le comunicazioni ingannando il soggetto che le trasmette. Per comunicazioni telematiche ci si riferisce alle mail, alle mailing list, alle chat, ai servizi di home banking, alla navigazione web ed in generale ai servizi di telefonia mobile[14].

Nello specifico, l’intercettazione può consistere nell’inserimento del soggetto agente nella rete di transito delle comunicazioni ovvero nell’introdursi nel sistema che le trasmette e riceve. Per impedimento si fa riferimento alle attività che determinano una disfunzione nelle comunicazioni e per interruzione si intende la totale impossibilità di trasmettere dati tra sistemi.

ART. 617-quinquies c.p. “Installazione di apparecchiature atte ad intercettare, impedire od interrompere comunicazioni informatiche o telematiche”.

“Chiunque, fuori dei casi consentiti dalla legge, installa apparecchiature atte a intercettare, impedire o interrompere comunicazioni relative a un sistema informatico o telematico ovvero intercorrenti tra più sistemi […]”.

La fattispecie incriminatrice, introdotta dall’art. 6 della legge 23 dicembre 1993 n. 547, sanziona l’installazione di apparecchiature non essendo necessaria la messa in funzione ai fini della configurazione del reato trattandosi di reato di pericolo concreto.

Nello specifico, si ritiene che il giudice, al fine di constatare la sussistenza del reato de quo, debba accertare in concreto se l’apparecchiatura installata sia o non idonea ad intercettare, impedire od interrompere comunicazioni informatiche o telematiche e se si realizzi o non quel pericolo per il bene tutelato[15].

ART. 635-bis c.p. “Danneggiamento di informazioni, dati e programmi informatici”.

“Salvo che il fatto costituisca più grave reato, chiunque distrugge, deteriora, cancella, altera o sopprime informazioni, dati o programmi informatici altrui […]”.

La suddetta disposizione sanziona il danneggiamento informatico in senso stretto. Ai fini della configurabilità del reato è necessario che tali dati abbiano il carattere dell’altruità rispetto all’autore della condotta. L’elemento materiale è costituito dal mero danneggiamento del sistema informatico o telematico e quindi da una condotta finalizzata ad impedire che il sistema funzioni.

Il patrimonio informatico è qui inteso quale complesso di dati raccoglibili, trattabili, gestibili a mezzo del computer.

Il danneggiamento che è presupposto della previsione sostanziale, sottospecie del genus rappresentato dal reato di danneggiamento di cui all’art. 635 c.p., deve intendersi integrato dalla manomissione ed alterazione dello stato del computer, rimediabili solo con postumo intervento recuperatorio e comunque non reintegrativo dell’originaria configurazione dell’ambiente di lavoro[16].

ART. 635-ter c.p. “Danneggiamento di informazioni, dati e programmi informatici utilizzati dallo Stato o da altro ente pubblico o comunque di pubblica utilità”.

“Salvo che il fatto costituisca più grave reato, chiunque commette un fatto diretto a distruggere, deteriorare, cancellare, alterare o sopprimere informazioni, dati o programmi informatici utilizzati dallo Stato o da altro ente pubblico o ad essi pertinenti, o comunque di pubblica utilità […]”.

Secondo la dottrina il legislatore delinea in questo caso un reato a consumazione anticipata nelle forme di un reato comune aggravato qualora dal fatto derivi effettivamente la distruzione, il deterioramento, la cancellazione, l’alterazione o la soppressione delle informazioni, dei dati o dei programmi informatici.

ART. 635-quater c.p. “Danneggiamento di sistemi informatici o telematici”.

“Salvo che il fatto costituisca più grave reato, chiunque, mediante le condotte di cui all’articolo 635-bis, ovvero attraverso l’introduzione o la trasmissione di dati, informazioni o programmi, distrugge, danneggia, rende, in tutto o in parte, inservibili sistemi informatici o telematici altrui o ne ostacola gravemente il funzionamento […]”.

Reato a forma vincolata, volto a reprimere la distruzione, il danneggiamento, l’inservibilità o il grave ostacolo al funzionamento dei sistemi informatici nel loro complesso, attraverso l’integrazione delle condotte di cui all’art. 635bis c.p. ovvero mediante l’introduzione o la trasmissione di dati, informazioni o programmi.

ART. 635-quinquies c.p. “Danneggiamento di sistemi informatici o telematici di pubblica utilità”.

“Se il fatto di cui all’articolo 635-quater è diretto a distruggere, danneggiare, rendere, in tutto o in parte, inservibili sistemi informatici o telematici di pubblica utilità o ad ostacolarne gravemente il funzionamento, la pena è della reclusione da uno a quattro anni.

Se dal fatto deriva la distruzione o il danneggiamento del sistema informatico o telematico di pubblica utilità ovvero se questo è reso, in tutto o in parte, inservibile, la pena è della reclusione da tre a otto anni.

Se il fatto è commesso con violenza alla persona o con minaccia ovvero con abuso della qualità di operatore del sistema, la pena è aumentata”.

La giurisprudenza di legittimità identifica quale oggetto materiale della condotta i sistemi informatici o telematici posti al servizio di una collettività indifferenziata di persone[17]. È richiesto il dolo generico, trattasi di reato a consumazione anticipata che si perfeziona con il compimento della condotta.

ART. 491-bis c.p. “Documenti informatici”.

“Se alcuna delle falsità previste dal presente capo riguarda un documento informatico pubblico avente efficacia probatoria, si applicano le disposizioni del capo stesso concernenti gli atti pubblici”.

Disposizione riformulata dalla legge n. 7 del 2016 estende ai soli documenti informatici pubblici aventi efficacia probatoria la stessa portata normativa prevista in merito alle falsità in documenti cartacei.

Suddetta norma sanziona sia la falsità concernente direttamente i dati o le informazioni di rilevanza probatoria, sia quella relativa a programmi specificamente destinati ad elaborarli. Riguarda sia l’ipotesi in cui il sistema informatico sia supportato da riscontro cartaceo che il caso in cui suddetto sistema sia del tutto sostitutivo di quello cartaceo[18].

ART. 640-quinquies c.p. “Frode informatica del soggetto che presta servizi di certificazione di firma elettronica”.

“Il soggetto che presta servizi di certificazione di firma elettronica, il quale, al fine di procurare a sé o ad altri un ingiusto profitto ovvero di arrecare ad altri danno, viola gli obblighi previsti dalla legge per il rilascio di un certificato qualificato […]”.

La norma tratteggia un reato proprio, trattandosi di un illecito che commette soltanto un soggetto munito della qualifica di certificatore. Il dolo è specifico, talché il certificatore deve agire allo scopo di arrecare ad altri un danno ovvero di procurare a sé o ad altri un ingiusto profitto, mediante la violazione degli obblighi legali per il rilascio di certificati qualificati.

La dottrina ha evidenziato le difficoltà che possono incontrare le società che vogliano predisporre un modello organizzativo per la prevenzione dei reati de quibus.

In particolare, al fine di predisporre un modello organizzativo efficace l’ente dovrà individuare le procedure atte a regolamentare l’utilizzo degli strumenti informatici e la gestione delle informazioni, ciò al fine di prevenire la commissione dei reati presupposto oggetto del d.lgs. 231/01 attraverso un’adeguata mappatura del rischio connesso alle attività coinvolte.


[1] Art 5. Responsabilità dell’ente. “1. L’ente è responsabile per i reati commessi nel suo interesse o a suo vantaggio: a) da persone che rivestono funzioni di rappresentanza, di amministrazione o di direzione dell’ente o di una sua unità organizzativa dotata di autonomia finanziaria e funzionale nonché da persone che esercitano, anche di fatto, la gestione e il controllo dello stesso; b) da persone sottoposte alla direzione o alla vigilanza di uno dei soggetti di cui alla lettera a). 2. L’ente non risponde se le persone indicate nel comma 1 hanno agito nell’interesse esclusivo proprio o di terzi”;

[2] “Responsabilità amministrativa degli enti (d.lgs. 231/01)” di Francesco Sbisà, Itinera Guide Giuridiche Ipsoa, 2017;

[3] Art. 25quater Delitti con finalità di terrorismo o di eversione dell’ordine democratico: “In relazione alla commissione dei delitti aventi finalità di terrorismo o di eversione dell’ordine democratico, previsti dal codice penale e dalle leggi speciali […]”;

[4] Art. 25quinquies Delitti contro la personalità individuale: “per i delitti di cui agli articoli 600-bis, secondo comma, 600-ter, terzo e quarto comma, e 600-quater, anche se relativi al materiale pornografico di cui all’articolo 600-quater.1, nonché’ per il delitto di cui all’articolo 609-undecies la sanzione pecuniaria da duecento a settecento quote”.

[5] Art. 24 Indebita percezione di erogazioni, truffa in danno dello Stato o di un ente pubblico o per il conseguimento di erogazioni pubbliche e frode informatica in danno dello Stato o di un ente pubblico: “In relazione alla commissione dei delitti di cui agli articoli 316-bis, 316-ter, 640, comma 2, n. 1, 640-bis e 640-ter se commesso in danno dello Stato o di altro ente pubblico, del codice penale, si applica all’ente la sanzione pecuniaria fino a cinquecento quote. 2. Se, in seguito alla commissione dei delitti di cui al comma 1, l’ente ha conseguito un profitto di rilevante entità o è derivato un danno di particolare gravità; si applica la sanzione pecuniaria da duecento a seicento quote. 3. Nei casi previsti dai commi precedenti, si applicano le sanzioni interdittive previste dall’articolo 9, comma 2, lettere c), d) ed e)”;

[6] Cass. Pen. Sez. II, 17/9191;

[7] Art. 24-bis Delitti informatici e trattamento illecito di dati: “1. In relazione alla commissione dei delitti di cui agli articoli 615-ter, 617-quater, 617-quinquies, 635-bis, 635-ter, 635-quater e 635-quinquies del codice penale, si applica all’ente la sanzione pecuniaria da cento a cinquecento quote. 2. In relazione alla commissione dei delitti di cui agli articoli 615-quater e 615-quinquies del codice penale, si applica all’ente la sanzione pecuniaria sino a trecento quote. 3. In relazione alla commissione dei delitti di cui agli articoli 491-bis e 640-quinquies del codice penale, salvo quanto previsto dall’articolo 24 del presente decreto per i casi di frode informatica in danno dello Stato o di altro ente pubblico, si applica all’ente la sanzione pecuniaria sino a quattrocento quote. 4. Nei casi di condanna per uno dei delitti indicati nel comma 1 si applicano le sanzioni interdittive previste dall’articolo 9, comma 2, lettere a), b) ed e). Nei casi di condanna per uno dei delitti indicati nel comma 2 si applicano le sanzioni interdittive previste dall’articolo 9, comma 2, lettere b) ed e). Nei casi di condanna per uno dei delitti indicati nel comma 3 si applicano le sanzioni interdittive previste dall’articolo 9, comma 2, lettere c), d) ed e);

[8] “I reati informatici. Disciplina sostanziale e questioni processuali” di Gianluca D’Aiuto e Luigi Levita, Giuffrè 2012;

[9] Cass. Sez. Un., 26 marzo 2015, n. 17325;

[10] “I reati informatici” di Vania Contrafatto, Collana diretta da Gianni Reynaud (Diritto penale dell’impresa), Cendon, 2017;

[11] “I reati informatici. Disciplina sostanziale e questioni processuali” di Gianluca D’Aiuto e Luigi Levita, Giuffrè 2012;

[12] “I reati informatici. Disciplina sostanziale e questioni processuali” di Gianluca D’Aiuto e Luigi Levita, Giuffrè 2012;

[13] Cass. Pen. 19 maggio 2005, n. 4011;

[14] “I reati informatici” di Vania Contrafatto, Collana diretta da Gianni Reynaud (Diritto penale dell’impresa), Cendon, 2017;

[15] “I reati informatici” di Vania Contrafatto, Collana diretta da Gianni Reynaud (Diritto penale dell’impresa), Cendon, 2017;

[16] Cass. Pen. 18 novembre 2011, n. 8555;

[17] Cass. Pen. Sez. II, 14 dicembre 2011, n. 9870;

[18] “I reati informatici. Disciplina sostanziale e questioni processuali” di Gianluca D’Aiuto e Luigi Levita, Giuffrè 2012.


Autore: