Sicurezza Legale

Cosa sono i reati informatici e perché sono una minaccia

I reati informatici rappresentano una sfida significativa per il diritto penale e la cyber security, in quanto implicano l’uso illecito della tecnologia per danneggiare individui, aziende o istituzioni, spesso per ottenere un profitto ingiusto. Con la diffusione di Internet, sono emerse nuove minacce alla sicurezza, rendendo necessarie normative specifiche. In Italia, i reati informatici sono stati formalmente introdotti nel Codice Penale con la legge n. 547 del 23 dicembre 1993, colmando un vuoto giuridico. Infatti, i reati tradizionali come furto e truffa non erano applicabili al contesto digitale, richiedendo regolamentazioni specifiche per le nuove forme di criminalità informatica.

Reati informatici nel Codice penale

13 Febbraio 2025

Indice dei contenuti

  • Quali sono i principali reati informatici 
  • Intercettazione, impedimento o interruzione illecita di comunicazioni informatiche o telematiche (art. 617-quater c.p.) 
  • La legge 28 giugno 2024 n. 901 
  • Come difendersi dai reati informatici 

I reati informatici rappresentano una delle sfide più complesse per il diritto penale e la cyber security.  

Questi crimini si basano sull’uso illecito delle tecnologie informatiche per danneggiare persone, aziende o istituzioni, spesso con l’obiettivo di ottenere un ingiusto profitto con altrui danno

Con la diffusione di internet e dei sistemi informatici o telematici, sono emerse nuove modalità di violazione della sicurezza, rendendo necessaria una normativa più specifica. In Italia, i reati informatici nel Codice penale sono stati introdotti con la legge 23 dicembre 1993, n. 547 (“Modificazioni ed integrazioni alle norme del Codice Penale e del Codice di procedura penale in tema di criminalità informatica”) . 

L’intervento normativo si era reso necessario per colmare un vuoto di tutela giuridica di fronte alle nuove forme tecnologiche di aggressione. 

Difatti, da un lato, i reati “classici” previsti dal codice penale – quali il furto, il danneggiamento e la truffa – non erano suscettibili di applicazione analogica, in virtù dei principi di legalità e tassatività in materia penale; dall’altro, alcune attività illecite si rivelavano completamente nuove rispetto alle condotte già previste dalla legge. 

Una tappa fondamentale in materia è stata poi l’approvazione da parte del Consiglio d’Europa della Convenzione di Budapest” nel 2001, il primo trattato internazionale avente ad oggetto sulla criminalità informatica, ratificato dal Parlamento italiano con la legge del 18 marzo 2008 n. 48; quest’ultima ha introdotto alcune modifiche nel codice penale. 

La Convenzione si è posta l’obiettivo di armonizzare i quadri normativi dei diversi Stati in materia di criminalità informatica, rafforzando anche la cooperazione internazionale necessaria dal punto di vista procedurale e giudiziario per combattere questi crimini di carattere transnazionale. 

Successivamente, il primo Protocollo addizionale, entrato in vigore nel 2006, ha avuto lo scopo di integrare le disposizioni relative alla criminalizzazione dei comportamenti di natura razzista e xenofoba diffusi attraverso sistemi informatici. 

Il Secondo Protocollo Addizionale è stato adottato nel 2021 – e ratificato dall’Italia nel 2023 – ed ha introdotto misure di protezione per i diritti umani e le libertà fondamentali, l’accesso transfrontaliero alle prove elettroniche e ha favorito l’assistenza giudiziaria reciproca, consentendo alle autorità competenti di richiedere direttamente informazioni e dati ai prestatori di servizi sotto determinate condizioni, e infine ha introdotto procedure per la mutua assistenza giudiziaria di emergenza in caso di attacchi informatici gravi o imminenti. 

Questi crimini possono essere perpetrati da criminali informatici con vari obiettivi: 

  • furto di dati, informazioni o programmi
  • accesso abusivo ad un sistema
  • alterazione del funzionamento di un sistema informatico; 
  • truffe online. 

Comprendere quali sono i reati informatici e come prevenirli è fondamentale per proteggersi nel mondo digitale. 

Quali sono i principali reati informatici 

È opportuno premettere che non esiste una definizione legislativa precisa di “reati informatici” ma, da una lettura sistematica delle norme rilevanti, si può affermare che il minimo comune denominatore sia la commissione del reato per mezzo o con l’ausilio di un sistema o programma informatico e/o l’avere come oggetto lo stesso sistema o programma informatico. 

Nella giurisprudenza italiana, si può trovare la seguente definizione in una recente pronuncia della Corte di Cassazione, sezione V penale

ciò che viene in rilievo, per definire la nozione di sistema informatico, è l’attitudine della macchina (hardware) ad organizzare ed elaborare dati, in base ad un programma (software), per il perseguimento di finalità eterogenee. Nella definizione che qui interessa, dunque, alla funzione di registrazione e di memorizzazione dei dati, anche elettronica, si affianca l’attività di elaborazione e di organizzazione dei dati medesimi” (sentenza 16 aprile – 12 settembre 2018, n. 40470). 

Il diritto penale ha individuato diverse categorie di reato informatico, regolamentando comportamenti illeciti che possono compromettere la sicurezza di persone e organizzazioni. 

Ecco alcune delle tipologie più comuni. Partiamo dai reati informatici disciplinati nel Titolo relativo ai delitti contro la persona, in particolare quelli riguardanti l’inviolabilità del domicilio. 

Il bene tutelato è il domicilio digitale, intenso come “un’espansione ideale dell’area di rispetto pertinente al soggetto interessato, garantito dallo art. 14 Cost.” (cfr. Relazione illustrativa del Ministro della Giustizia Giovanni Conso al d.d.l. AS 2773 – XI Legislatura). 

In particolare, vengono in rilievo gli articoli 615-ter e 615-quater. 

Accesso abusivo a un sistema informatico o telematico (art. 615-ter c.p.) 

L’accesso abusivo a un sistema informatico o telematico (art. 615-ter c.p.) reprime la condotta di “chiunque abusivamente si introduce in un sistema informatico o telematico protetto da misure di sicurezza o vi si mantiene contro la volontà espressa o tacita di chi ha il diritto di escluderlo” (co. 1); il reato è punibile a querela della persona offesa. 

La norma prevede poi pene più severe e la procedibilità d’ufficio nei seguenti casi: 

  • se il fatto è commesso da un pubblico ufficiale o da un incaricato di un pubblico servizio, con abuso dei poteri o con violazione dei doveri inerenti alla funzione o al servizio, o da chi esercita abusivamente la professione di investigatore privato, o con abuso della qualità di operatore del sistema; 
  • se il colpevole per commettere il fatto usa minaccia o violenza sulle cose o sulle persone, ovvero se è palesemente armato; 
  • se dal fatto deriva la distruzione o il danneggiamento del sistema, l’interruzione del suo funzionamento, la sottrazione, il danneggiamento, la sottrazione, o l’inaccessibilità al titolare dei dati, delle informazioni o dei programmi in esso contenuti; 
  • se si tratta di sistemi informatici di interesse pubblico. 

La norma reprime due condotte: 

  • sia l’accesso non autorizzato in un sistema informatico o telematico protetto, 
  • sia il mantenimento in esso contro la volontà del legittimo proprietario. 

È interessante notare che – secondo la giurisprudenza maggioritaria – la fattispecie criminosa risulta integrata anche se il soggetto agente era in possesso delle chiavi di accesso al sistema informatico protetto (ossia la password) qualora l’utilizzo di quest’ultimo “abbia portato a un risultato certamente in contrasto con la volontà della persona offesa ed esorbitante l’eventuale ambito autorizzatorio” (Cass. pen., Sez. V, Sentenza, 02/10/2018, n. 2905). 

La Cassazione inoltre, in una recente pronuncia (la sentenza n. 40295 del 2024), che rappresenta un importante sviluppo nella giurisprudenza italiana sui reati informatici ha affermato che l’articolo 615-ter è applicabile 

Detenzione e diffusione abusiva di codici di accesso a sistemi informatici o telematici (art. 615-quater c.p.) 

L’art 615-quater c.p. reprime “chiunque, al fine di procurare a sé o ad altri un vantaggio o di arrecare ad altri un danno, abusivamente si procura, detiene, produce, riproduce, diffonde, importa, comunica, consegna, mette in altro modo a disposizione di altri o installa apparati, strumenti, parti di apparati o di strumenti, codici, parole chiave o altri mezzi idonei all’accesso ad un sistema informatico o telematico, protetto da misure di sicurezza, o comunque fornisce indicazioni o istruzioni idonee al predetto scopo”. 

In sintesi, la condotta incriminata è l’acquisizione, detenzione e diffusione di codici per accedere a sistemi informatici, che è generalmente propedeutica alla commissione del delitto di cui all’art. 615- ter; l’elemento soggettivo richiesto è il dolo specifico, ossia il fine di procurarsi un profitto, di danneggiare o di permettere il danneggiamento di un sistema informatico o di comprometterne il funzionamento (anche temporaneo). 

Reati informatici in Italia

Intercettazione, impedimento o interruzione illecita di comunicazioni informatiche o telematiche (art. 617-quater c.p.) 

L’art. 617-quater c.p. punisce “chiunque fraudolentemente intercetta comunicazioni relative a un sistema informatico o telematico o intercorrenti tra più sistemi, nonché le impedisce o le interrompe”. 

Il bene giuridico protetto dalla norma è l’inviolabilità delle comunicazioni a distanza tra più soggetti, garantito dall’art. 15 della Costituzione, che protegge la libertà e la segretezza della corrispondenza e di ogni altra forma di comunicazione. 

La fattispecie concerne tre tipi di condotte: 

  • l’intercettazione in maniera fraudolenta; 
  • l’impedimento; 
  • l’interruzione di comunicazioni informatiche o telematiche. 

Frode informatica (art. 640-ter c.p.) 

L’art. 640-ter c.p. sanziona chiunque, alterando in qualsiasi modo il funzionamento di un sistema informatico o telematico oppure intervenendo senza diritto con qualsiasi modalità su dati, informazioni o programmi contenuti in esso, procura a sé o ad altri un ingiusto profitto a danno altrui. 

Il delitto in esame ha la medesima struttura ed elementi costitutivi della truffa (art. 640 c.p.), “dalla quale si differenzia solamente perché l’attività fraudolenta dell’agente investe non la persona, di cui difetta l’induzione in errore, bensì il sistema informatico di pertinenza di quest’ultima attraverso la sua manipolazione, onde, come la truffa, si consuma nel momento e nel luogo in cui l’agente consegue l’ingiusto profitto con correlativo danno patrimoniale altrui” (Cass. pen., Sez. II, Sentenza, 05/02/2020, n. 10354). 

Esempio
Tra le condotte riconducibili in tale fattispecie criminosa, vi è il phishing, che consiste nell’invio di e-mail o messaggi telefonici fraudolenti, apparentemente provenienti da istituti finanziari o da siti web che richiedono la registrazione, che invitano il destinatario a inserire le proprie credenziali riservate, a scaricare contenuti che in realtà sono malware o, in generale, a esporsi a un crimine informatico. 

I reati informatici includono anche la diffusione di virus, Trojan e altri software malevoli per ottenere informazioni o programmi contenuti in un sistema altrui. Questo può avvenire con allegati infetti, siti web compromessi o tecniche di ingegneria sociale. 

Danneggiamento di informazioni, dati e programmi (art. 635-bis c.p.) 

L’art. 635-bis c.p. punisce “chiunque distrugge, deteriora, cancella, altera o sopprime informazioni, dati o programmi informatici altrui”, salvo che il fatto costituisca più grave reato. 

Vi è poi l’art. 635-ter c.p. che sanziona il danneggiamento di informazioni, dati e programmi informatici utilizzati dallo Stato, da altri enti pubblici o comunque di pubblica utilità; 

L’art. 635-quater c.p. punisce il danneggiamento di sistemi informatici o telematici, mentre l’art 635-quinquies c.p. prevede una pena maggiore qualora questi ultimi siano di pubblica utilità. 

Il bene giuridico tutelato è il patrimonio, in relazione a dati o programmi informatici altrui. 

La legge 28 giugno 2024 n. 901 

La legge 28 giugno 2024 n. 901, intitolata “Disposizioni in materia di rafforzamento della cyber sicurezza nazionale e di reati informatici” ha introdotto rilevanti modifiche al codice penale, e in particolare: 

  • ha inasprito le pene previste per numerosi reati informatici, tra cui l’art. 615-ter c.p., e introdotto nuove aggravanti, per esempio per l’art. 617-quarter; 
  • ha ampliato il dolo specifico richiesto per il reato previsto all’art. 615-quater c.p., che ora prevede il concetto più generico di “vantaggio”, e non più il “profitto”. 
  • ha introdotto l’art. 623-quater c.p., che prevede una nuova circostanza attenuante speciale per reati informatici ivi richiamati in cui il danno o il pericolo risultino di particolare tenuità; inoltre, consente una diminuzione delle pene comminate fino a due terzi se l’autore del reato si adoperi concretamente per evitare conseguenze ulteriori, offrendo la sua collaborazione con la giustizia nella raccolta di prove o nel recupero dei proventi illeciti. Analogamente, anche l’art. 639-ter prevede una circostanza premiale per incentivare la collaborazione post delictum; 
  • ha introdotto il nuovo reato di estorsione informatica – art. 619, co. 3 c.p. – il quale punisce chiunque, mediante accesso abusivo, intercettazioni, danneggiamento di dati o sistemi informatici, o minacciando di compiere tali condotte, costringa qualcuno a fare o omettere qualcosa, procurando a sé o ad altri un ingiusto profitto con danno altrui (fattispecie riconducibile al “ransomware”). 
  • ha introdotto una nuova aggravante nel reato di truffa di cui all’art. 640, “se il fatto è commesso a distanza attraverso strumenti informatici o telematici idonei a ostacolare la propria o altrui identificazione” (nuovo comma 2-ter), applicabile pertanto nei casi di truffa perpetrata via web. 

Come difendersi dai reati informatici 

Per ridurre il rischio di essere vittime di reati informatici, è fondamentale adottare misure preventive efficaci: 

  • protezione dei dispositivi e delle reti; 
  • utilizzo di password sicure e autenticazione a due fattori; 
  • formazione e consapevolezza degli utenti; 
  • backup regolari dei dati. 

Domande e risposte

  1. Cosa sono i reati informatici? 
    Sono crimini commessi attraverso l’uso illecito di sistemi digitali, con l’obiettivo di danneggiare persone, aziende o istituzioni. 
  2. Quali sono i principali reati informatici in Italia? 
    Tra i più comuni troviamo l’accesso abusivo ai sistemi, la frode informatica, la diffusione di malware e la clonazione di carte di credito. 
  3. Come si configura la frode informatica come reato? 
    Si verifica quando un soggetto utilizza strumenti informatici per ingannare altri e ottenere un ingiusto profitto a danno altrui. 
  4. Quali normative regolano i reati informatici in Italia? 
    Le principali sono la legge 547/1993, la Convenzione di Budapest e il GDPR per la protezione dei dati personali. 
  5. Come proteggersi dai crimini informatici? 
    Utilizzando software di sicurezza, password forti, autenticazione a due fattori e facendo attenzione a email sospette. 
  6. Cosa fare in caso di attacco informatico? 
    Bisogna segnalare l’accaduto alle autorità competenti e, se necessario, consultare un esperto di cyber security. 
  7. La clonazione di carte di credito è un reato informatico? 
    Sì, rientra tra i reati informatici e può essere perseguita penalmente.  
4
To top