Cracking, le nuove misure UE

Roma – Emessa dal Consiglio dell'Unione Europea la decisione-quadro relativa agli attacchi contro i sistemi di informazione. Obiettivo principale della decisione è quello di rafforzare la cooperazione tra le autorità giudiziarie dei vari Stati membri attraverso un processo di uniformazione delle legislazioni penali nell'ambito degli attacchi contro i sistemi di informazione.

L'intervento del Consiglio trae certamente origine dal dato statistico relativo all'aumento, negli ultimi tempi, degli attacchi ai danni dei sistemi di informazione, spesso peraltro ad opera della criminalità organizzata. Vediamo pertanto quali misure occorre adottare secondo quanto previsto dalla decisione-quadro e quali condotte sono oggetto di particolare attenzione.

Anzitutto il Consiglio ha premesso le definizioni dell'oggetto della decisione-quadro: per sistema di informazione s'intende qualsiasi apparecchiatura o gruppo di apparecchi interconnessi o collegati, uno o più dei quali svolge un trattamento automatico di dati informatici secondo un programma, nonché i dati informatici immagazzinati, trattati, estratti o trasmessi dagli stessi ai fini della loro gestione, uso, protezione e manutenzione; mentre per dati informatici si intende qualsiasi rappresentazione di fatti, informazioni o concetti in una forma che può essere trattata da un sistema di informazione, compreso un programma atto a far svolgere una funzione ad un sistema di informazione.

L'accesso e l'interferenza come illeciti
Passando ai contenuti veri e propri della decisione, la stessa si apre con lo stabilire la necessità di punibilità come forma di reato di quelle condotte di accesso intenzionale e senza diritto ad un sistema di informazione o ad una parte dello stesso.

La condotta di accesso senza diritto è costituita dall'accedere o interferire – senza alcuna autorizzazione da parte di chi è titolare del diritto di proprietà o altro diritto – sul sistema o su parte di esso; è rimessa alla discrezionalità di ciascun Stato membro il determinare la punibilità di un soggetto qualora il sistema sia fornito o meno di misure di sicurezza ; ciò significa che ogni Stato potrà decidere se ritenere sussistente il reato di accesso illecito solo ed esclusivamente nei casi in cui il sistema sia dotato di misure di sicurezza, o semplicemente anche nei casi in cui l'accesso sia avvenuto senza autorizzazione e pur in assenza di misure di sicurezza.

Misure di contrasto e punitive debbono essere poi adottate in merito all'interferenza illecita: chi senza vantare alcun diritto ed intenzionalmente ostacola gravemente o interrompe il funzionamento di un sistema di informazione mediante immissione, trasmissione, danneggiamento, cancellazione, deterioramento, alterazione, soppressione di dati informatici o li rende inaccessibili, incorre in reato. Parimenti, tutela penale deve essere adottata in merito alla condotta di interferenza illecita con riguardo ai dati informatici; punibili pertanto saranno le condotte di cancellazione, deterioramento, alterazione, soppressione, danneggiamento o il rendere inaccessibili i dati in un sistema di informazione.

Favoreggiamento, istigazione, tentativo ed aggravanti specifiche
Fin qui potremmo dire che i reati, come inquadrati dalla decisione, sono già familiari alle legislazione italiana; appare però interessante come il Consiglio dell'Unione Europea abbia contemplato anche l'intervento di ciascun Stato membro in merito alla configurazione come reato penale dei casi di istigazione, favoreggiamento e tentativo: ciò appare sintomatico dell'attenzione rivolta alla materia e del livello di tutela che occorre apprestare alla stessa.
L'intervento del Consiglio concerne anche l'ambito sanzionatorio: espressamente per i reati di interferenza illecita sia nel caso di sistemi che di dati, richiede la adozione di pene detentive della durata massima compresa tra uno e tre anni .

Qualora la commissione dei reati descritti nella decisione-quadro avvenga ad opera di soggetto appartenente ad una organizzazione criminale, saranno applicate le cosiddette circostanze aggravanti con aumento della durata massima della pena, compresa tra due e cinque anni.


Introdotta anche una responsabilità specifica, quella delle persone giuridiche (definibili come qualsiasi entità che abbia tale qualifica ai sensi della legislazione dello Stato membro interessato). Laddove un soggetto che rivesta una posizione preminente in seno alla persona giuridica commetta uno dei reati suddetti, e ciò comporti beneficio per la persona giuridica stessa, si riterrà configurata una responsabilità anche della persona giuridica.

Anzitutto occorre precisare che per soggetto detentore di una posizione preminente il Consiglio intende tassativamente un soggetto che abbia o potere di rappresentanza della persona giuridica; o potere decisionale per conto della persona giuridica; o esercizio di poteri di controllo in seno a tale persona giuridica.

Parimenti, ogni Stato membro dovrà assicurare una responsabilità della persona giuridica qualora non avendo adottato sorveglianza o controllo di un soggetto sottoposto alla sua autorità, abbia tratto beneficio dalla commissione di uno dei reati da parte dello stesso.

Ed ancora: sanzioni specifiche sono previste per le persone giuridiche, ovvero oltre alle sanzioni pecuniarie penali e non, potranno anche essere contemplate sanzioni quali provvedimenti giudiziari di scioglimento, assoggettamento a sorveglianza giudiziaria, misure di esclusione dal godimento di benefici o aiuti pubblici, nonché divieti temporanei o permanenti di esercizio di attività commerciali.

Termine entro cui gli Stati membri dovranno adottare le misure sopra descritte, il 16 marzo 2007. Entro tale data gli Stati membri dovranno trasmettere al Segretario Generale del Consiglio ed alla Commissione il testo delle disposizioni inerenti al recepimento nella legislazione nazionale degli obblighi come imposti nella decisione-quadro.

Avvocato Valentina Frediani
www.consulentelegaleinformatico.it
www.consulentelegaleprivacy.it