Rassegna bimestrale di novità in materia di diritto e processo penale e nuove tecnologie
Responsabili scientifici: Prof. Lorenzo Picotti e Prof. Luca Lupária.
* In collaborazione con l’Osservatorio Cybercrime dell’Università degli Studi di Verona.
1. Novità sovranazionali
Il regolamento UE ha previsto norme temporanee e rigorosamente limitate che derogano a determinati obblighi previsti dalla direttiva 2002/58/CE, direttiva relativa alla vita privata e alle comunicazioni elettroniche, al solo scopo di consentire ai fornitori di alcuni servizi di comunicazione interpersonale indipendenti dal numero di utilizzare tecnologie specifiche per il trattamento di dati personali e di altro tipo nella misura strettamente necessaria ad individuare gli abusi sessuali online sui minori sui propri servizi e segnalarli e a rimuovere il materiale pedopornografico online dai loro servizi. In particolare, il regolamento prevede la sospensione del divieto di ascolto, captazione, memorizzazione e altre forme di intercettazione o di sorveglianza delle comunicazioni e dei relativi dati sul traffico, divieto di cui all’art. 5 par. 1 della direttiva 2002/58/CE, nonché dell’obbligo di cancellare o anonimizzare i dati sul traffico relativi agli abbonati ed agli utenti, trattati e memorizzati dal fornitore di una rete pubblica o di un servizio pubblico di comunicazione elettronica, di cui all’art. 6 part. 1 della direttiva 2002/58/CE. Tale deroga opera solo qualora il trattamento dei dati personali sia strettamente necessario per l’uso della tecnologia specifica al solo scopo di individuare e rimuovere materiale pedopornografico online e di segnalarlo alle autorità di contrasto e alle organizzazioni che agiscono nell’interesse pubblico contro gli abusi sessuali sui minori, nonché di individuare l’adescamento di minori e segnalarlo alle autorità di contrasto o alle organizzazioni che agiscono nell’interesse pubblico contro gli abusi sessuali sui minori. Qualora venga individuato un presunto abuso sessuale online a danno di minori, i fornitori devono conservare in modo sicuro i dati sul contenuto e i relativi dati sul traffico, unicamente per segnalare senza indugio il presunto abuso sessuale online sui minori alle competenti autorità di contrasto e giudiziarie o alle organizzazioni che agiscono nell’interesse pubblico contro l’abuso sessuale sui minori. Inoltre devono bloccare il conto dell’utente interessato o sospendere o porre fine al servizio offertogli, ma devono altresì consentire all’utente interessato di presentare ricorso presso il fornitore o di chiedere l’avvio di un riesame amministrativo o di proporre ricorsi giurisdizionali su questioni relative al presunto abuso sessuale online sui minori e devono rispondere, in conformità del diritto applicabile, alle richieste di fornire i dati necessari per la prevenzione, l’accertamento, l’indagine o il perseguimento di reati di cui alla direttiva 2011/93/UE, provenienti delle autorità giudiziarie e di contrasto competenti. (C.C.)
L’European Data Protection Board si esprime sul progetto della BCE dell’“euro digitale”
L’European Data Protection Board (EDPB) ha espresso la propria opinione in relazione al report sull’euro digitale elaborato dalla Banca Centrale Europea (BCE) nell’ottobre 2020, inviando una lettera alle diverse istituzioni europee coinvolte. La BCE ha infatti iniziato un’opera di consultazione degli stakeholders e del pubblico sul suo progetto di creare una valuta digitale nella zona Euro (“digital euro”) per renderla disponibile con riguardo ai pagamenti del commercio al dettaglio quale alternativa alla moneta fisica.
Tale progetto solleva diverse questioni in tema di privacy e protezione dei dati personali. Tra questi l’EDPB evidenzia come l’uniformarsi ad un alto standard sia cruciale per rinforzare la fiducia degli utenti verso l’utilizzo di un “euro digitale”, traducendo il rispetto della protezione dei dati personali già nel corso delle preliminari fasi e misure di progettazione e programmazione, secondo i dettami del principio della data protection by design e by default.
I maggiori rischi che l’iniziativa per un “euro digitale” presenta riguardano la potenziale tracciabilità delle transazioni degli utenti effettuate attraverso tale sistema di pagamento. A questo riguardo l’EDPB formula diversi suggerimenti, tra questi la preferibilità di un approccio decentralizzato fondato sull’utilizzo di token (token-based, decentralised approach) e l’opportunità di offrire una modalità di transazioni offline effettuabili anonimamente o, quantomeno, con un alto livello di pseudonimizzazione. (B.P.)
Pacchetto proposte Commissione per il contrasto del riciclaggio e del finanziamento del terrorismo (cd. AML/CFT)
In data 20 luglio 2021 la Commissione ha proposto un pacchetto d’interventi legislativi per il miglioramento del sistema antiriciclaggio al fine di agevolare l'individuazione delle operazioni e delle attività sospette e sanare le lacune che sono sfruttate dai criminali.
Il pacchetto, con l’obiettivo esplicito di attuare gli impegni assunti con il piano d'azione per una politica integrata dell'Unione in materia di prevenzione del riciclaggio di denaro e del finanziamento del terrorismo, adottato dalla Commissione il 7 maggio 2020, si compone delle seguenti quattro proposte di atti normativi, differenti per forma e contenuto:
• Una proposta di regolamento che istituisce una nuova autorità dell'UE in materia di AML/CFT: Sono previste disposizione per l’istituzione di una nuova autorità antiriciclaggio sovranazionale (cd. Authority for Anti-Money Laundering and Countering the Financing of Terrorism o AMLA) quale centrale di coordinamento delle autorità nazionali. La proposta, nel regolamentarne composizione e poteri, affida, in particolare, all’AMLA: a. l’istituzione di un unico sistema integrato di vigilanza AML/CFT con metodologie uniche di valutazione del rischio e standard elevati, nonché il controllo e la gestione del c.d. AML/CFT database; b. il monitoraggio e il coordinamento degli organismi di vigilanza nazionali; c. la supervisione diretta - con poteri di indagine e sanzionatori particolarmente invasivi - di alcuni selezionati enti finanziari, identificati sulla base di appositi criteri, quali il carattere transfrontaliero ovvero l’esposizione elevata a determinati fattori di rischio; d. il miglioramento del coordinamento e della cooperazione tra le Unità di informazione finanziaria nazionali ( c.d. FIU), mediante, anche, messa a disposizione, attraverso l'hosting FIU.net, di servizi e strumenti informatici e di intelligenza artificiale.
• Una proposta di regolamento in materia di AML/CFT: La scelta operata con la proposta di usare un regolamento nasce dall’esigenza di garantire un maggiore livello di uniformazione nell'applicazione della disciplina antiriciclaggio nei vari Stati membri, prevedendo norme direttamente applicabili in tema di adeguata verifica e segnalazioni di operazioni sospette, nonché in termini di definizione delle nozioni di “titolare effettivo” o di “persone politicamente esposte” (c.d. PEP) o ancora di “paesi terzi”. Quando l’iter legislativo sarà completato, verranno introdotte modifiche sostanziali a partire dell'elenco stesso dei soggetti obbligati alla disciplina antiriciclaggio, con riferimento soprattutto agli operatori di servizi digitali, per cui è prevista l’inclusione di tutti i fornitori di servizi di crowdfunding e l’estensione della cerchia dei fornitori di servizi di criptovalute. In particolare, rispetto a questi ultimi la Commissione intende recepire in toto le indicazioni del Gruppo d’Azione Finanziaria (GAFI-FAFT), vietando, anche, i portafogli anonimi di cripto-attività. Si prevede, inoltre, l’adozione, quale soglia per i pagamenti in contanti, nelle sole transazioni commerciali, di 10.000 euro, e si fissano, al fine di raggiungere una maggiore coerenza con la disciplina sulla protezione dei dati personali posta dal Regolamento UE 2016/679 (c.d GDPR), norme più specifiche circa le modalità di gestione e i tempi di conservazione di alcuni dati particolarmente sensibili acquisiti in sede di adeguata verifica, quali quelli previsti agli artt. 9 comma 1 e 10 del citato GDPR, includenti le informazioni relative a condanne penali riportate.
• Una proposta di direttiva sui meccanismi che gli Stati membri devono mettere in atto per la prevenzione dell'uso del sistema finanziario a fini di riciclaggio o finanziamento del terrorismo e che abroga la direttiva (UE) 2015/849: la Commissione intende dar avvio ad una riforma organica del quadro disciplinare ed istituzionale in conformità sia alla proposta di direttiva relativa all’istituzione di una nuova autorità di vigilanza di settore (c.d. AMLA vedi punto 1), sia a quella del regolamento sul contenuto degli obblighi antiriciclaggio (vedi supra punto 2). In particolare, con riguardo a questo ultimo ambito la proposta ha una funzione integrativa-ampliativa, consentendo, anche, agli Stati membri di estendere le disposizioni del progetto di regolamento ad altri settori, con previsioni peculiari per i fornitori di servizi di gioco d'azzardo e dei fornitori di servizi di criptovalute. L’intervento intende anche implementare la coerenza complessiva operativa del sistema, prevendendo l'obbligo per la Commissione di condurre ogni 4 anni la valutazione dei rischi di riciclaggio e finanziamento del terrorismo (cd. AML/CFT) a livello dell'UE, basandosi sui pareri dell’AMLA, nonché sugli esiti delle valutazioni nazionali. All’AMLA compete la fissazione di linee guida e standard tecnici sulle condizioni per valutare e classificare i profili di rischio, nonché l’emanazione di norme tecniche di regolamentazione sulle condizioni generali per il funzionamento dei collegi di vigilanza AML/CFT su alcuni enti creditizi o finanziari transfrontalieri operanti in più Stati membri. Costituiscono novità le disposizioni relative all’operatività e alla vigilanza sugli organismi di autoregolamentazione, mentre sono una conferma del quadro esistente le previsioni sui requisiti di onorabilità degli alti dirigenti delle funzioni antiriciclaggio, relativamente alla ricorrenza, soprattutto, quale effetto ostativo, di precedenti penali. Ulteriori previsioni rilevanti attengono, poi, alla definizione dei potei e delle responsabilità delle FIU nazionali, nonché la cooperazione tra loro mediante la rete FIU.net e con le autorità nazionali. Sono regolamentati i casi di realizzazione di analisi congiunte da parte di più FIU e la delega all’AMLA dell’adozione di linee guida sui criteri per determinare quando una segnalazione di operazioni sospetta è di interesse per le FIU di altri Stati membri. Sul piano della cooperazione con le autorità nazionali è prevista l’istituzione di uno sportello unico dei registri dei conti bancari (c.d. RCB) che sarà sviluppato dalla Commissione e nel quale confluiranno le informazioni provenienti dai registri centralizzati dei conti bancari dei singoli Stati. La proposta contempla l'accesso a questo sportello soltanto da parte delle FIU, delegando ad un’apposita proposta di direttiva ad emendamento della direttiva (UE) 2019/1153, che reca disposizioni per agevolare l'uso di informazioni finanziarie e di altro tipo a fini di prevenzione, accertamento, indagine o perseguimento di determinati reati, l’individuazione delle autorità nazionali legittimati all’accesso e dei casi in cui possono farlo. È previsto che sia affidato sempre alla Commissione in tema di titolarità effettiva l’emanazione di un modello armonizzato per la notifica delle informazioni ai registri nazionali. Completano il quadro prospettato gli obblighi sanzionatori in capo agli Stati membri per violazione della disciplina antiriciclaggio: pur muovendosi nel solco dei precedenti interventi, le norme della proposta prevedono un certo livello di dettaglio e completezza, fissando anche una previsione apposita sulla tutela degli informatori o Whistleblower. Si tratta di una disposizione che individua i requisiti della tutela che gli Stati devono loro garantire, nonché i criteri procedurali e le forme di protezione che devono essere assicurati nel procedimento di segnalazione. Sul piano della natura delle sanzioni irrogabili, viene ribadita la preferenza per la natura amministrativa, con salvezza della facoltà dei singoli Stati membri di prevedere sanzioni penali e obbligo di comunicazione all’autorità giudiziaria competente nel caso in cui la violazione comporti anche la commissione di reati. Sul piano della tipologia delle sanzioni applicabili, ferma la previsione dei criteri sulla base dei quali valutare la gravità della violazione, ne sono individuate alcune con previsione in generale dell’obbligo della pubblicazione delle sanzioni irrogate e di comunicazione dell’irrogazione ed in generale dell’esito del procedimento sanzionatorio all’AMLA, che farà, anche, da tramite in proposito per lo scambio d’informazioni con le autorità di vigilanza degli altri Stati membri. Solo per le violazioni gravi e ripetute, attinenti ad alcuni aspetti espressamente indicati della disciplina antiriciclaggio, tra cui, ad esempio, l’adeguata verifica della clientela, la sanzione indicata è espressamente contemplata sia nella tipologia che nella misura, stabilendo la proposta quella pecuniaria pari nel massimo a due volte il beneficio tratto dalla violazione, laddove determinabile, ovvero ad almeno un milione di euro. È altresì stabilito che questo importo sia ulteriormente aumentato per alcune tipologie di soggetti, consentendo in ogni caso agli Stati membri di autorizzare le autorità di vigilanza ad imporre sanzioni ancora superiori.
• Una proposta di revisione del regolamento UE/2015/847 sui trasferimenti di fondi per il tracciamento dei trasferimenti di cripto-attività: In questo modo la Commissione intende conformarsi agli standard del GAFI e specificatamente alla Raccomandazione 15 relativa ai virtual assets ed ai relativi fornitori di servizi (c.d. VASP). E’ prevista, nello specifico, l’estensione della disciplina sui bonifici internazionali (c.d. ‘travel rule’) ai trasferimenti, anche in valuta fiat, effettuati dai ‘crypto-assets services providers’ (CASP), con oneri di tracciamento duplici, sia dell’ordinante che del beneficiario e previsione di forme di monitoraggio - in tempo reale ed ex post - a garanzia della completezza delle informazioni. (R.M. V.)
In data 5 luglio 2021 il GAFI ha completato la revisione prevista dopo 12 mesi degli standard in oggetto, rilevando come ad oggi - sulla base dei dati relativi a 128 giurisdizioni - ancora 70 non si sono conformati, con conseguente assenza di un regime globale per prevenire l'uso per il riciclaggio di denaro o il finanziamento del terrorismo dei virtual assets e dell’operatività dei VASP. Il rapporto riporta anche dei dati relativi a transazioni peer-to-peer, riconoscendo come, nonostante il quadro non sia pienamente chiaro, si tratta certamente di una quota rilevante del mercato dei virtual assets e con una percentuale di commistione illecita certamente più alta rispetto alle transazioni mediante VASP. Alla luce di questi esiti, il GAFI intende proseguire le azioni di sostegno e monitoraggio sull'attuazione degli standard relativi a virtual assets e VASP, con un ulteriore verifica programmata per novembre 2021. (R.M. V.)
L’European Banking Authority (EBA) ha posto in pubblica consultazione, dal 29 luglio 2021 e fino al 2 novembre 2021 una proposta di Linee guida sul ruolo, i compiti e le responsabilità della funzione compliance in materia di contrasto al riciclaggio e al finanziamento del terrorismo (AML/CFT), da implementare proporzionalmente alla tipologia, alle dimensioni, alla natura, alla portata e alla complessità delle attività dell'operatore del settore finanziario, nonché ai rischi a cui è esposto. Obiettivo della proposta in consultazione è superare le differenze esistenti tra gli Stati Membri nell’implementazione della direttiva (UE) 2015/849 sulla governance AML/CFT degli operatori del settore finanziario, favorendo, in particolare, l’adozione di regole uniche e chiare sulla tempistica, il contenuto e la portata della procedura di segnalazione di operazioni sospette, quali presupposti di eventuali profili di responsabilità. (R.M. V.)
In data 26 agosto 2021 è stato pubblicato nella Gazzetta Ufficiale dell’Unione Europea il parere del 4 giugno 2021 che la BCE ha emanato sulla proposta di regolamento in oggetto, manifestando il proprio favore per l’obiettivo - suo tramite perseguito - di eliminare gli ostacoli che si frappongono all’istituzione del mercato interno dei servizi finanziari e migliorarne il funzionamento, armonizzando le norme applicabili nel settore della gestione, della segnalazione e della verifica dei rischi relativi alle tecnologie dell’informazione e della comunicazione (TIC), nonché dei rischi relativi alle TIC derivanti da terzi. Tra le proposte avanzate per un migliore coordinamento dei contenuti della proposta con gli strumenti normativi esistenti si indica: 1. la definizione dell’esatto ambito di applicazione delle segnalazioni a cui una determinata entità finanziaria può essere soggetta ai sensi della proposta di regolamento e della proposta di direttiva NIS2; 2. l’introduzione di disposizioni apposite sul piano dei requisiti patrimoniali; 3. La previsione di un regime transitorio per gestire il periodo compreso tra l’entrata in vigore della proposta di regolamento e l’entrata in vigore delle norme tecniche di regolamentazione, in considerazione della circostanza che alcuni intermediari, compresi gli enti creditizi, sono già soggetti con riguardo a settori specifici a norme sui rischi relativi alle TIC più dettagliate rispetto alle disposizioni generali della proposta di regolamento; 4. l’allineamento di tutti i quadri di riferimento esistenti con riguardo alle definizioni, alle soglie e ai parametri relative alla segnalazione degli incidenti. Con specifico riferimento, invece, al miglioramento delle disposizioni della proposta di regolamento, relative alla gestione dei rischi relativi alle TIC, ai test di resilienza operativa e ai rischi relativi alle TIC derivanti da terzi, tra le osservazioni avanzate dalla BCE si evidenzia: 1. l’introduzione sia di una definizione di «modifica di rilievo» in occasione della quale le entità finanziarie debbano effettuare la valutazione del rischio, sia di soglie quantitative dei costi e delle perdite rilevanti, da segnalare alle autorità competenti, causati dalle perturbazioni a livello di TIC e dagli incidenti connessi alle TIC; 2. la previsione nell’ambito della proposta di regolamento solo delle prescrizioni generiche in materia di test, con una descrizione più precisa nelle norme tecniche di regolamentazione e di attuazione; 3. ai fini della corretta classificazione dei fornitori terzi di servizi TIC critici, l’inserimento della consultazione della BCE previa adozione degli atti delegati che ne integrano i criteri. (R.M. V.)
La Commissione ha pubblicato le relazioni di Facebook, Twitter, TikTok, Microsoft e Google sulle misure adottate a giugno per combattere la disinformazione sul coronavirus. Gli attuali firmatari e la Commissione stanno anche invitando nuove aziende ad aderire al codice di condotta sulla disinformazione, in quanto contribuirà ad ampliare il suo impatto e a renderlo più efficace.
Per esempio, su Twitter gli utenti possono ora addestrare sistemi automatici per identificare meglio le violazioni delle policies contro la disinformazione COVID-19 della piattaforma. Facebook ha collaborato con le autorità sanitarie internazionali per aumentare la consapevolezza pubblica sull'efficacia e la sicurezza dei vaccini e con i ricercatori della Michigan State University (MSU) per individuare e attribuire meglio i deepfakes. La prossima serie di rapporti sarà pubblicata a settembre. A seguito della recente pubblicazione (26 maggio 2021) da parte della Commissione degli orientamenti per rafforzare il codice di buone pratiche sulla disinformazione, i firmatari hanno dato il via al processo di rafforzamento del codice e hanno lanciato un invito congiunto a manifestare interesse per potenziali nuovi firmatari.
Per approfondire: GUERINI T., Fake news e diritto penale. La manipolazione digitale del consenso nelle democrazie liberali, Torino, 2020. (B.P.)
Quinta riunione del Comitato ad hoc sull’Intelligenza Artificiale del Consiglio d’Europa
Il Comitato ad hoc sull’Intelligenza artificiale del Consiglio d’Europa (Council of Europe’s Ad hoc Committee on Artificial Intelligence, CAHAI) ha tenuto la sua quinta riunione plenaria online il 5-7 luglio 2021. In questa occasione il Comitato ha preso atto della relazione sui progressi compiuti e ha fornito orientamenti in merito alle questioni sollevate in tale documento. Tra i punti ritenuti rilevanti figurano la questione della natura dell’AI quale dual-use technology, potendo essere impiegata sia per svolgere attività lecite sia per perseguire finalità illecite. Evidenziando che gli aspetti militari non rientrano nelle competenze del Consiglio d’Europa, alcune delegazioni ritengono che la questione del dual-use debba essere completamente esclusa dagli elementi relativi al campo di applicazione di un eventuale strumento giuridicamente vincolante, a causa della difficoltà di distinguere tra l’uso civile e quello militare. Mentre altre delegazioni hanno sottolineato il valore aggiunto di affrontare le questioni relative agli usi non militari o civili delle applicazioni dual-use attraverso uno strumento giuridico.
Per quanto riguarda la classificazione dei rischi, tutte le delegazioni che si sono espresse hanno convenuto che dovrebbero essere formalizzati criteri chiari e comuni per la valutazione dell’impatto delle applicazioni d’AI, con un’enfasi sull’identificazione dei rischi per i diritti umani, la democrazia e lo stato di diritto. È stato anche notato che la valutazione dei rischi dovrebbe generalmente essere fatta in modo equilibrato, fornendo certezza e gradualità.
Infine, soffermandosi sugli aspetti relativi alla progettazione, sviluppo e ricerca dei sistemi di Intelligenza Artificiale, non vi è stata una chiara maggioranza tra le delegazioni che si sono espresse su come affrontare la regolamentazione delle fasi della ricerca dei sistemi di AI. Potrebbe quindi essere prudente non procedere con uno strumento trasversale giuridicamente vincolante, ma si potrebbe ricorrere in futuro ad uno strumento (settoriale) giuridicamente non vincolante.
Per approfondire: SALVADORI I., Agenti artificiali, opacità tecnologica e distribuzione della responsabilità penale, in Rivista italiana di diritto e procedura penale, 2021, n. 1, p. 83 ss.; ID., Il diritto penale dei software a “duplice uso”, in WENIN R., FORNSASARI G. (a cura di), Diritto penale e modernità. Le nuove sfide fra terrorismo, sviluppo tecnologico e garanzie fondamentali, Napoli, 2017, p. 361 ss. (B.P.)
Corte Europea dei diritti dell’Uomo, 31 agosto 2021, app. n. 23314/19 Üçdağ v. Turkey
E’ lesiva della libertà d’espressione la condanna per propaganda terroristica ed incitamento alla violenza del ricorrente, il quale, nella sua qualità di imam, aveva condiviso nella sua pagina Facebook due immagini, postate da altri utenti del social network, relative rispettivamente ad un gruppo di uomini con armi ed uniformi, riferibili ad un gruppo considerato come terroristico in Turchia, e a dei manifestanti che avevano acceso un fuoco per strada, accompagnati dall’invito a condividerle per supportare le proteste che erano in corso al momento dei due post. Per la Corte Europea dei diritti dell’Uomo le decisioni nazionali di condanna, di primo e secondo grado, sono censurabili nella misura in cui non hanno valutato la condotta del ricorrente alla luce dei criteri fissati dalla giurisprudenza CEDU, non spiegando come i post in questione, alla luce del loro contenuto complessivo e del potenziale impatto sugli altri utenti di Facebook, fossero da considerare incitanti effettivamente alla violenza terroristica. In conseguenza di quanto sopra per la Corte i giudici nazionali non hanno realizzato quel legittimo bilanciamento tra le esigenze di prevenzione della criminalità e di tutela della sicurezza nazionale e il rispetto, che deve essere garantito in una società democratica, alla libertà di espressione. (R.M. V.)
Il Consiglio d’Europa coopera da tempo con un significativo numero di Stati localizzati in tutti i continenti, e attraverso il Cybercrime Programme Office supporta molti di essi nella riforma delle rispettive legislazioni relative al cybercrime e alle prove elettroniche. L’obiettivo del presente documento è quello di fornire un’ampia panoramica dei trend globali in tema di legislazione sul cybercrime e sulle prove elettroniche; in questo modo, tale report rappresenta un punto di partenza per compiere analisi più precise e dettagliate, ed in particolare per fornire supporto a specifici Stati o regioni nell’ottica di rafforzare ulteriormente i rispettivi quadri normativi e la capacità dei sistemi giudiziari di applicare i nuovi strumenti legislativi. (C.G.)
5 luglio 2021, Eurojust, “Guidelines on how to prosecute investment fraud”
In queste linee guida, Eurojust fornisce una panoramica delle principali questioni giuridiche e operative che i pubblici ministeri si trovano (o possono trovarsi) a dover affrontare nel compiere indagini relative a truffe in materia di investimenti; le linee guida, inoltre, spiegano come Eurojust ed Europol siano in grado di fornire supporto affinchè le suddette indagini conducano ad esiti di successo.
Le linee guida sono basate principalmente su un’analisi dei casi di truffe in materia di investimenti che Eurojust si è trovata a dover affrontare tra il 2016 e il 2020, unitamente alle esperienze che i membri degli Eurojust National Desks hanno condiviso durante specifiche discussioni.
Nella Parte I delle linee guida, Eurojust fornisce informazioni relative al fenomeno delle truffe in materia di investimenti. La parte II sottolinea le sfide collegate alle indagini in tale settore; la parte III fornisce linee guida pratiche su diverse tematiche (es. come assicurare che misure di coordinamento e cooperazione siano fruttuose). La parte IV spiega che tipo di supporto è in grado di fornire Eurojust nelle diverse fasi dell’indagine. Al termine delle linee guida è collocata un’infografica che sottolinea gli aspetti fondamentali dei casi di truffe in materia di investimenti. (C.G.)
Nel corso della settantaseiesima Assemblea Generale delle Nazioni Unite, nel rassegnare le proprie conclusioni e mettere in evidenza le priorità dell’Unione Europea, il Consiglio dell’Unione Europea ha sottolineato come tra tali priorità rientri indubbiamente la lotta al cybercrime.
In particolare, l’Unione Europea continuerà a promuovere la piena applicazione del diritto internazionale nel cyberspazio e coopererà con i partner internazionali nell’ottica della prevenzione dei conflitti, del miglioramento della cooperazione e della stabilità. A tale proposito, l’Unione continuerà a promuovere la creazione di un programma delle Nazioni Unite dedicato alle azioni per un comportamento responsabile Stati nel Cyberspazio (UN Programme of Action for Responsibile State Behaviour in Cyberspace). L’Unione sottolinea il suo perdurante supporto per la Convenzione di Budapest sul Cybercrime, interpretata come una cornice normativa multilaterale idonea a consentire il miglioramento delle legislazioni nazionali e della cooperazione internazionale; a tal proposito, l’unione mette in evidenza la complementarietà tra gli sforzi delle Nazioni Unite e gli strumenti internazionali già esistenti, nonché l’importanza del rispetto dei diritti umani.
Per tale ragione, l’Unione sottolinea che le negoziazioni di una nuova convenzione internazionale contro l’utilizzo delle tecnologie dell’informatica e delle comunicazioni a scopo criminale devono consentire un processo di discussione trasparente ed un reale coinvolgimento di tutti i soggetti interessati. (C.G.)
In tale sintesi, compilata da Eurojust e dalla Rete sulla base delle informazioni ricevute dagli Stati, si fornisce un quadro delle misure intraprese dagli Stati membri dell’Unione (oltre ad Islanda e Norvegia) per combattere l’impatto negativo del COVID-19 sulla cooperazione giudiziaria in materia penale. (C.G.)
In tale dichiarazione, l’Alto Rappresentante sottolinea come l’Unione, i suoi membri e i suoi partner siano intenzionati ad esporre le malicious cyber activities di cui sono stati vittime e che hanno negativamente influenzato l’economia, la sicurezza, la democrazia e le società europee.
L’Unione e i suoi Stati Membri hanno concluso nel senso che tali attività siano state intraprese dal territorio della Cina.
Ci si riferisce in primo luogo alla compromissione e allo sfruttamento dei server di Microsoft Exchange, attività che hanno minacciato la sicurezza e l’integrità di migliaia di computer e network, inclusi quelli di Stati Membri ed istituzioni Europee. In aggiunta, sono stati scoperti attacchi che hanno avuto come mira istituzioni governative e industrie chiave degli Stati Membri.
Tali attacchi possono essere collegate a gruppi hacker noti come Advanced Persistent Threat 40 e Advanced Persistent Threat 31 e sono stati condotti nel territorio cinese con obiettivi di spionaggio e furto di proprietà intellettuale.
L’Unione e i suoi Membri denunciano pertanto tali attività, intraprese in contrasto con le regole che disciplinano il comportamento responsabile degli Stati (condivise da tutti i membri delle Nazioni Unite). L’Unione, pertanto, invita con urgenza le autorità cinesi a rispettare tali regole e a non consentire che il proprio territorio venga utilizzato per la commissione di tali attacchi, adottando tutte le misure necessarie, appropriate e possibili per scoprire, investigare ed affrontare tali fenomeni. (C.G.)
Apple analizzerà i propri iPhone per cercare immagini di abuso sessuale di minori
La Apple ha annunciato, in data 6 agosto 2021, i dettagli di un sistema operativo finalizzato a trovare materiale pedopornografico (CSAM) sui dispositivi dei clienti statunitensi. Prima che una singola immagine venga conservata su iCloud, la nuova tecnologia verificherà se la singola immagine corrisponde a materiale pedopornografico già esistente e conosciuto. Apple ha comunicato che nel caso di corrispondenza, interverrà un revisore umano che verificherà il match e riporterà l’utente alle autorità. Il nuovo sistema dovrebbe essere operativo sulle nuove versioni di iOS e iPadOS, che dovrebbero essere sul mercato entro la fine dell’anno corrente. Il sistema utilizzerà un database di materiale pedopornografico compilato dallo US National Center for Missing and Exploited Children e altre organizzazioni che si occupano della sicurezza dei minori. Le immagini presenti nel database verranno tradotti in codici numerici, suscettibili di essere comparati con immagini presenti sui dispositivi Apple.
Apple ha comunicato che tale tecnologia sarà in grado di individuare anche immagini simili o modificate, ma che in ogni caso si tratta di una tecnologia estremamente accurata in grado di assicurare un margine di errore infinitesimale (uno su 1.000.000.000.000.). (C.G.)
2. Novità giurisprudenziali nazionali
Nell’ipotesi di truffe online seriali, non è sufficiente la mera intestazione della carta prepagata su cui sono pervenuti i proventi dei reati per ritenere dimostrata oltre ogni ragionevole dubbio la responsabilità penale dell’imputato. Nel caso di specie, la Corte d’appello aveva ribaltato la pronuncia assolutoria del giudice di primo grado facendo leva unicamente sul dato – pacifico – che una carta prepagata intestata all’imputato fosse stata impiegata per incassare i proventi delle condotte di truffa oggetto di addebito, accreditando l’ipotesi di una responsabilità concorsuale con terzi rimasti ignoti. Tale impianto motivazionale è stato ritenuto carente dalla Corte di cassazione, che ne ha censurato la limitata coerenza e consequenzialità logica, tenendo a mente che, in caso di riforma in appello della pronunzia assolutoria di primo grado, è imposto al giudice del gravame l’onere di rendere una motivazione rafforzata, la quale, per un verso, dia atto delle ragioni poste dal primo giudice a sostegno della decisione assolutoria, con puntuale dimosrazione dell’insostenibilità sul piano logico e giuridico degli argomenti più rilevanti della sentenza di primo grado, nonché, per altro verso, dia ragione delle diverse scelte operate in ordine alla maggiore considerazione accordata ad elementi di prova diversi o diversamente valutati.
In senso conforme: con riferimento all’onere di motivazione rafforzata in caso di riforma della sentenza assolutoria in appello, ex multis, Corte di Cassazione, Sez. Un., sentenza 6 luglio 2016 (ud. 28 aprile 2016), n. 27620, Pres. Canzio, Rel. Conti. (M.P.)
La Corte di Cassazione torna sui propri passi e, in evidente distonia con i più recenti e apprezzabili approdi in tema di adeguatezza e pertinenza del sequestro informatico, afferma che è inammissibile il ricorso per cassazione avverso il provvedimento di sequestro di materiale informatico se, a seguito di duplicazione integrale del dato mediante bit-stream image, i supporti originali sono già stati restituiti al legittimo titolare e qualora l’impugnazione sia finalizzata alla verifica della legittimità del provvedimento ablativo. Invero, secondo i giudici di legittimità, per contestare dinanzi alla Corte di cassazione l’ordinanza del tribunale del riesame di conferma del sequestro probatorio di un computer o di un supporto informatico non è sufficiente dedurre l’interesse al ripristino del diritto all’esclusiva diponibilità delle informazioni e alla reintegrazione del suo diritto alla privacy, ma occorre specificare quale sia l’interesse concreto e attuale leso dal venir meno della disponibilità esclusiva delle informazioni contenute nelle cose sottoposte a vincolo in capo alla ricorrente.
In senso conforme: Corte di Cassazione, sez. V penale, sentenza 28 marzo 2019 (ud. 15 febbraio 2019), n. 13694, Pres. Pezzullo, Rel. Tudino; Corte di Cassazione, Sez. Un., sentenza 7 settembre 2017 (ud. 20 luglio 2017), n. 40963.
In senso difforme: Corte di Cassazione, sez. III penale, sentenza 21 settembre 2015 (ud. 23 giugno 2015), n. 38148, Pres. Franco, Rel. Rosi; Corte di Cassazione, sez. VI penale, 11 ottobre 2019 (ud. 14 febbraio 2019), n. 41974, Pres. Paoloni, Rel. Silvestri.
Per approfondire: NULLO L., Sequestro probatorio di materiale documentativo e principi di adeguatezza e proporzionalità, in Proc. pen. giust., 2020, p. 660 ss.; PITTIRUTI M., Adeguatezza e proporzionalità nel sequestro di un sistema informatico, in Dir. internet, 2019, p. 777 ss.; ID., Dalla Corte di cassazione un vademecum sulle acquisizioni probatorie informatiche e un monito contro i sequestri digitali omnibus, in questa Rivista, 14 gennaio 2021. (M.P.)
Il reato di produzione di materiale pedopornografico di cui all’art. 600-ter co. 1 c.p. sussiste anche nell’ipotesi in cui la persona offesa minorenne ritratta nel video abbia prestato il suo consenso alla videoregistrazione dell’atto sessuale. Inoltre, la ripresa del compimento di atti sessuali espliciti è senz’altro ricompresa nel concetto di pedopornografia di cui all’art. 600-ter co. 7 c.p., in quanto costituisce materiale pedopornografico la rappresentazione, con qualsiasi mezzo atto alla conservazione, di atti sessuali espliciti coinvolgenti soggetti minori di età, oppure degli organi sessuali di minori con modalità tali da rendere manifesto il fine di causare concupiscenza od ogni altra pulsione di natura sessuale alla rappresentazione degli organi sessuali di un minore “per scopi sessuali”. Peraltro, una videoripresa siffatta è certamente idonea a provocare nello spettatore istinti erotici, contestualmente al compiacimento legato alla visione del materiale così prodotto.
In senso conforme: Corte di Cassazione, sez. un. penali, sentenza 15 novembre 2018 (ud. 31 maggio 2018), n. 51815/2018, Pres. Carcano – Rel. Andronio, con nota di PICOTTI L. La pedopornografia nel Cyberspace: un opportuno adeguamento della giurisprudenza allo sviluppo tecnologico ed al suo impatto sociale, in Dir. di Internet, 2019, n. 1, p. 177 ss.; Corte di Cassazione, sez. V penale, sentenza 19 luglio 2018 (ud. 8 giugno 2018), n. 33862/2018, Pres. Sabeone – Rel. Tudino.
Per approfondire: ROSANI D., Cessione di immagini pedopornografiche autoprodotte (‘selfie’): la Cassazione rivede la propria lettura dell’art. 600-ter c.p., in questa Rivista, 4 dicembre 2020; ROSANI D., «Send nudes». Il trattamento penalistico del sexting in considerazione dei diritti fondamentali del minore d’età, in Dir. pen. cont. – Riv. trim., 2019, n. 2, p. 9 ss. (C.C.)
Integra il reato di cessione di materiale pedopornografico di cui all’art. 600-ter co. 4 c.p. la divulgazione tramite Whatsapp di selfie pedopornografici realizzati dallo stesso minore, in quanto, con riferimento a tale ipotesi delittuosa, non rileva la modalità della produzione del materiale pedopornografico, che ben può essere stato realizzato anche dallo stesso minore. Infatti, il principio di necessaria alterità tra l'agente autore del fatto ed il minore opera solo con riferimento alle condotte sanzionate dal co. 1 dell’art. 600-ter c.p., mentre negli altri casi il materiale pedopornografico può essere autoprodotto dal minore.
In senso conforme: Corte di Cassazione, sez. III penale, sentenza 12 febbraio 2020 (ud. 21 novembre 2019), n. 5522/2020 – Pres. Izzo, Rel. Macrì in Newsletter febbraio 2020, con nota di ROSANI D., Cessione di immagini pedopornografiche autoprodotte (‘selfie’): la Cassazione rivede la propria lettura dell’art. 600-ter c.p., in questa Rivista, 4 dicembre 2020.
Per approfondire: ROSANI D., «Send nudes». Il trattamento penalistico del sexting in considerazione dei diritti fondamentali del minore d’età, in Dir. pen. cont. – Riv. trim., 2019, n. 2, p. 9 ss.; PICOTTI L., La pedopornografia nel Cyberspace: un opportuno adeguamento della giurisprudenza allo sviluppo tecnologico ed al suo impatto sociale, in Dir. di Internet, 2019, n. 1, p. 177 ss.; SALVADORI I., Sexting, minori e diritto penale, in CADOPPI A., CANESTRARI S., MANNA A. e PAPA M.(a cura di), Cybercrime, Torino, 2019, p. 567 ss; ID., I minori da vittime ad autori di reati di pedopornografia? Sui controversi profili penali del sexting, in Ind. pen., 2017, n. 3, 789 ss.; PICOTTI L., I delitti di sfruttamento sessuale dei bambini, la pornografia virtuale e l’offesa dei beni giuridici, in BERTOLINO M., FORTI G. (a cura di), Scritti per Federico Stella, Napoli, 2007, vol. II, p. 1267 ss.. (C.C.)
La Corte di Cassazione ha ribadito che è legittima l’acquisizione di e-mail mediante il sequestro dell’hardware che le contiene, anche qualora i server del provider utilizzati per l’invio della comunicazione si trovino in territorio estero. Nel rigettare la doglianza del ricorrente, che lamentava la mancata attivazione dello strumento rogatoriale, i giudici di legittimità hanno, in primo luogo, escluso che l’acquisizione delle conversazioni in parola rientri nell’ambito operativo dell’art. 266-bis c.p.p., trattandosi di una mera acquisizione ex post di dati conservati nella memoria dei dispositivi. In secondo luogo, la Corte ha fatto leva sulla circostanza che il sequestro dell’attrezzatura fosse avvenuto in Italia per affermare, in via generale, che i documenti informatici ben possono essere sequestrati nel luogo ove avviene l’accesso da parte dell’utente attraverso l’inserimento della password, indipendentemente dalla localizzazione all’estero del provider, dovendosi escludere che si tratti di corrispondenza.
In senso conforme: Corte di Cassazione, sez. IV penale, sentenza 30 settembre 2016 (ud. 28 giugno 2016), n. 40903 – Pres. Bianchi, Rel. Pezzella
Per approfondire: CERQUA F., Tra comunicazioni telematiche e rito: il sequestro della corrispondenza elettronica, in Lupária L., Marafioti L. e Paolozzi G., (a cura di), Dimensione tecnologica e prova penale, Torino, 2019, p. 105 ss.; PITTIRUTI M., Digital evidence e procedimento penale, Torino, 2017, p. 52 ss. (M.P.)
Qualora il pubblico ministero emetta un decreto di perquisizione e sequestro di materiale informatico lasciando alla Polizia giudiziaria la scelta degli strumenti informatici da vincolare, è indispensabile procedersi a una verifica circa la correttezza dell’attività investigativa attraverso la convalida dell’organo inquirente. Segnatamente, nel caso di specie, il decreto emesso dal pubblico ministero disponeva la perquisizione, anche informatica e il sequestro di quanto rinvenuto al fine di acquisire ed esaminare il complesso delle tracce informatiche e telematiche utili alla ricostruzione dei fatti oggetto del procedimento, limitando, al contempo, il sequestro degli apparecchi informatici al solo caso in cui, avendo effettuato la perquisizione, fossero stati rinvenuti dati utili”. Il provvedimento ablativo non individuava, dunque, le res da sottoporre al vincolo probatorio, né la polizia giudiziaria procedeva alla perquisizione informatica mediante live analysis, provvedendo, al contrario, al sequestro dell’intera attrezzatura rinvenuta nella disponibilità del ricorrente. In ragione di ciò, la Corte di cassazione ha ritenuto indispensabile la convalida di cui all’art. 355, comma 2, c.p.p., giacché, ragionando altrimenti, la qualificazione giuridica delle cose sequestrate come corpo del reato o pertinenti al reato sarebbe rimessa esclusivamente alla polizia giudiziaria, fuori dai casi di urgenza previsti in ordine alle medesime attività di sua iniziativa di cui all’art. 354 c.p.p.
In senso conforme: Corte di Cassazione, sez. II penale, sentenza 10 febbraio 2016 (ud. 28 gennaio 2016), n. 5494, Pres. Gallo, Rel. Sgadari.
Per approfondire: BUZZELLI A., Perquisizione di spazi informatici e preview, in Lupária L., Marafioti L. e Paolozzi G. (a cura di), Dimensione tecnologica e prova penale, Torino, 2019, p. 117 ss. (M.P.)
La presente ordinanza di remissione alle Sezioni Unite della Corte di Cassazione trae origine dal ricorso dell’imputato, secondo cui la Corte territoriale avrebbe fornito un’erronea lettura della fattispecie di reato di pornografia minorile, contraria a quella stabilita dalla Sezione Unite nella sentenza n. 51815/2018. La Corte aveva infatti ritenuto che la minore, di anni quindici, fosse stata “utilizzata” dall’imputato per realizzare immagini pedopornografiche anche se questa aveva prestato il proprio consenso alla produzione del materiale.
Secondo la difesa il consenso della minore deve considerarsi rilevante in quanto le Sezioni Unite hanno incentrato l’interpretazione della norma sul concetto di “utilizzazione”. In effetti, con riguardo alle condotte rientranti nell’ambito dell’autonomia privata sessuale, le Sezioni Unite hanno concluso che è la condotta di utilizzazione del minore a circoscrivere l’area del penalmente rilevante, in quanto “presuppone la ricorrenza di un differenziale di potere tra soggetto che realizza le immagini e il minore rappresentato”.
Tuttavia, la Corte nell’ordinanza di remissione rileva che, legittimando implicitamente il c.d. sexting primario, questo orientamento presenta il rischio di lasciare un vuoto di tutela coincidente con il sexting secondario, ossia con la successiva cessione o diffusione del materiale prodotto a soggetti estranei alla loro produzione, non ritenendosi sufficiente l’introduzione del reato di cui all’art. 612-ter c.p., che non si occupa esplicitamente della tutela dei minori.
La questione sollevata dalla terza Sezione riguarda quindi la produzione di materiale pornografico coinvolgente minori che hanno raggiunto l’età per esprimere il consenso sessuale, nelle diverse aree riguardanti la produzione del materiale e la successiva cessione e diffusione, in particolare quando i minori siano parte di una relazione interpersonale con un adulto, più difficilmente definibile quale paritaria.
Con questa ordinanza di remissione la Sezione III chiede quindi alle Sezioni Unite di approfondire le diverse aree del consenso del minore ultraquattordicenne, rivolgendo il seguente quesito: “se il reato di cui all’art. 600-ter, comma 1, n. 1, c. p. risulti escluso nell’ipotesi in cui il materiale pedo-pornografico sia prodotto, ad esclusivo uso privato delle persone coinvolte, con il consenso di persona minore, che abbia compiuto gli anni quattordici, in relazione ad atti sessuali compiuti nel contesto di una relazione affettiva con persona minorenne che abbia la capacità di prestare un valido consenso agli atti sessuali, ovvero con persona maggiorenne”.
Per approfondire: BIANCHI M., I confini della repressione penale della pornografia minorile. La tutela dell'immagine sessuale del minore fra esigenze di protezione e istanze di autonomia, Torino, 2019; PICOTTI L., La pedopornografia nel Cyberspace: un opportuno adeguamento della giurisprudenza allo sviluppo tecnologico ed al suo impatto sociale, in Dir. di Internet, 2019, n. 1, p. 177 ss.; SALVADORI I., Sexting, minori e diritto penale, in CADOPPI A., CANESTRARI S., MANNA A. e PAPA M. (a cura di), Cybercrime, Torino, 2019, p. 567 ss.; ROSANI D., «Send nudes». Il trattamento penalistico del sexting in considerazione dei diritti fondamentali del minore d’età, in Rivista trimestrale di diritto penale contemporaneo, 2019, n. 2, p 9 ss. (B.P.)
Commette il reato di diffamazione colui che pubblica su un sito Internet da lui gestito una sentenza penale evidenziando i punti riferiti alla vita affettiva dell’imputata e aggiungendo chiose e commenti deplorevoli e volgari relativi a quest’ultima. Il carattere diffamatorio della pubblicazione si desume dal richiamo in termini umilianti e dileggianti della relazione intrattenuta dalla donna con il dirigente dell'ufficio, strumentalizzata al fine di denigrare e offendere l'onore di quest’ultima. L’uso di espressioni volgari e offensive esclude la continenza delle forme usate e, dunque, la sussistenza della scriminante del diritto di critica.
Per approfondire: PICOTTI L., Profili penali delle comunicazioni illecite via Internet, in Dir. inf. inf., 1999, n. 2, p. 283 ss.; CORRIAS LUCENTE G., Il diritto penale dei mezzi di comunicazione di massa, Padova, 2000; CASSANO G., SGROI M., La diffamazione civile e penale, Milano, 2011. (C.C.)
In relazione ad un reato di diffamazione realizzato sul social network Facebook veniva contestava la riferibilità della condotta all'imputata essendo stata omessa ogni indagine sui file di log, indirizzo IP e dati informatici, a prescindere dal nickname utilizzato, risultando quindi basata su prove non certe. La motivazione fonderebbe sulla mera riferibilità del profilo all'imputata, sulla circostanza logica del contenuto dei post che riportavano fatti della vita privata della parte lesa. A sostegno di tale posizione parte ricorrente richiama un precedente della Corte di legittimità secondo cui era stato ritenuto necessario l'accertamento dell'IP per la certa riferibilità del post.
La Corte di legittimità, evidenziando come il precedente richiamato si rifacesse ad un caso diverso, in cui era controversa l’intestazione dell’IP riferibile al profilo Facebook registrato a nome di persona diversa, evidenzia come la costante giurisprudenza della Corte di legittimità si attesta sulla riferibilità della diffamazione anche su base indiziaria, a fronte della convergenza, pluralità e precisione di dati quali il movente, l'argomento del forum su cui avviene la pubblicazione, il rapporto tra le parti, la provenienza del post dalla bacheca virtuale dell'imputato, con utilizzo del suo nickname, anche in mancanza di accertamenti circa la provenienza del post di contenuto diffamatorio dall'indirizzo IP dell'utenza telefonica intestata all'imputato medesimo. Si è, inoltre, attribuito rilievo, assieme agli elementi indiziari sopra sottolineati, anche all’assenza di denuncia di cd. furto di identità da parte dell'intestatario della bacheca sulla quale vi è stata la pubblicazione dei post incriminati.
In senso conforme: Corte di Cassazione, sez. V penale, sentenza 9 ottobre 2018 (ud. 13 luglio 2018), n. 45339/2018 - Pres. Pezzullo, Rel. Settembre; Corte di Cassazione, sez. V, sentenza 1° marzo 2016 (ud. 13 luglio 2015) n. 8328/2016 - Pres. Bruno, Rel. Pezzullo. (B.P.)
Ai fini della configurabilità del reato di accesso abusivo ad un sistema informatico, qualora il soggetto agente sia dotato delle credenziali per accedere ad una banca dati riservata è necessario accertare se la condotta addebitata all'imputato esuli o meno dalle competenze dell'operatore, ponendosi in contrasto con le prescrizioni relative all'accesso e al trattenimento nel sistema informatico, contenute in disposizioni organizzative impartite dal titolare dello stesso, indipendentemente dalle finalità soggettivamente perseguite. In particolare, qualora l’accesso non sia finalizzato ad acquisire conoscenza di atti di altro ufficio o di informazioni riservate perché avente oggetto un atto proprio del dipendente, la giurisprudenza di merito deve chiarire perché si tratterebbe di un accesso ontologicamente inibito, nel senso di attività svolta per finalità estranee alle ragioni di istituto e agli scopi sottostanti alla protezione dell'archivio informatico, illustrando in che modo vi sarebbe stato sviamento di potere, individuando la norma organizzativa asseritamente violata e spiegando perché l’accesso sarebbe ontologicamente inibito, in quanto incompatibile con le mansioni del dipendente.
In senso conforme: Corte di Cassazione, sez. unite penali, sentenza 8 settembre 2017 (ud. 18 maggio 2017), n. 41210/2017, Pres. Canzio - Rel. Savani; Corte di Cassazione, sez. unite penali, sentenza 7 febbraio 2012 (ud. 27 ottobre 2011), n. 4694/2012, Pres. Lupo - Rel. Fiale.
Per approfondire: SALVADORI I., I reati contro la riservatezza informatica, in CADOPPI A., CANESTRARI S., MANNA A. e PAPA M. (a cura di), Cybercrime, Torino, 2019, p. 656 ss.; FLOR R., La condotta del pubblico ufficiale fra violazione della voluntas domini, “abuso” dei profili autorizzativi e “sviamento di poteri”, in Dir. Pen. Proc., 2018, n. 4, p. 506 ss.; FLOR R., Verso una rivalutazione dell’art. 615-ter c.p.?, in Dir. pen. cont. – Riv. trim., 2011, p. 126 ss.; SALVADORI I., Quando un insider accede abusivamente ad un sistema informatico o telematico? Le Sezioni Unite precisano l’ambito di applicazione dell’art. 615-ter c.p., in Riv. Trim. Dir. Pen. Economia, 2012, p. 369 ss.; SALVADORI I., L’accesso abusivo ad un sistema informatico o telematico. Una fattispecie paradigmatica dei nuovi beni giuridici emergenti nel diritto penale dell’informatica, in PICOTTI L. (a cura di), Tutela penale della persona e nuove tecnologie, Padova, 2013, p. 125 ss.; PICOTTI L., Sistematica dei reati informatici, tecniche di formulazione legislativa e beni giuridici tutelati, in ID. (a cura di), Il diritto penale dell’informatica nell’epoca di Internet, Padova, 2004, p. 21 ss. (C.C.)
Commette il reato di accesso abusivo a sistema informatico aggravato ex art. 615-ter co. 2 n. 1 e 3 c.p. il militare della Guardia di Finanza che, abusando della password e della matricola meccanografica a lui assegnate, accede alle banche dati della Guardia di Finanza senza alcuna autorizzazione e senza che ricorresse alcuna ragione di servizio, in quanto, non essendo egli assegnato a funzioni operative, non era legittimato ad accedere ad alcuna banca dati. Tale condotta, per le sue connotazioni abusive, sarebbe stata penalmente rilevante anche alla stregua dell'orientamento giurisprudenziale precedente alla sentenza ‘Savarese’ delle Sezioni Unite. Invero, le Sezioni Unite ‘Casani’ avevano già affermato il principio secondo cui commette il delitto previsto dall'art. 615-ter c.p., colui che, pur essendo abilitato, acceda o si mantenga in un sistema informatico o telematico protetto violando le condizioni ed i limiti risultanti dal complesso delle prescrizioni impartite dal titolare del sistema per delimitarne oggettivamente l'accesso, rimanendo invece irrilevanti, ai fini della sussistenza del reato, gli scopi e le finalità che abbiano soggettivamente motivato l'ingresso nel sistema. Pertanto, si deve escludere la sussistenza di un overruling in malam partem.
In senso conforme: Corte di Cassazione, sez. unite penali, sentenza 8 settembre 2017 (ud. 18 maggio 2017), n. 41210/2017, Pres. Canzio - Rel. Savani; Corte di Cassazione, sez. unite penali, sentenza 7 febbraio 2012 (ud. 27 ottobre 2011), n. 4694/2012, Pres. Lupo - Rel. Fiale.
Per approfondire: SALVADORI I., I reati contro la riservatezza informatica, in CADOPPI A., CANESTRARI S., MANNA A. e PAPA M. (a cura di), Cybercrime, Torino, 2019, p. 656 ss.; FLOR R., La condotta del pubblico ufficiale fra violazione della voluntas domini, “abuso” dei profili autorizzativi e “sviamento di poteri”, in Dir. Pen. Proc., 2018, n. 4, p. 506 ss.; FLOR R., Verso una rivalutazione dell’art. 615-ter c.p.?, in Dir. pen. cont. – Riv. trim., 2011, p. 126 ss.; SALVADORI I., Quando un insider accede abusivamente ad un sistema informatico o telematico? Le Sezioni Unite precisano l’ambito di applicazione dell’art. 615-ter c.p., in Riv. Trim. Dir. Pen. Economia, 2012, p. 369 ss.; SALVADORI I., L’accesso abusivo ad un sistema informatico o telematico. Una fattispecie paradigmatica dei nuovi beni giuridici emergenti nel diritto penale dell’informatica, in PICOTTI L. (a cura di), Tutela penale della persona e nuove tecnologie, Padova, 2013, p. 125 ss.; PICOTTI L., Sistematica dei reati informatici, tecniche di formulazione legislativa e beni giuridici tutelati, in ID. (a cura di), Il diritto penale dell’informatica nell’epoca di Internet, Padova, 2004, p. 21 ss. (C.C.)
3. Novità legislative e normative nazionali
Legge di conversione 4 agosto 2021, n. 109 del decreto-legge 14 giugno 2021, n. 82 sulla cybersecurity
È stata pubblicata sulla Gazzetta Ufficiale n. 185 del 4 agosto 2021 la legge 4 agosto 2021, n. 109, di conversione in legge, con modificazioni, del d.l. 14 giugno 2021, n. 82, contenente disposizioni urgenti in materia di cybersicurezza, definizione dell'architettura nazionale di cybersicurezza e istituzione dell'Agenzia per la cybersicurezza nazionale. Con la legge di conversione è stata modificata leggermente la definizione di cybercicurezza ed è stata introdotta la definizione di resilienza nazionale nello spazio cibernetico, nei seguenti termini: “le attività volte a prevenire un pregiudizio per la sicurezza nazionale come definito dall'articolo 1, comma 1, lettera f), del regolamento di cui al decreto del Presidente del Consiglio dei ministri 30 luglio 2020, n. 131”. Altra novità è costituita dall’implementazione delle competenze della neocostituita Agenzia per la cybersicurezza nazionale, la quale, oltre a quelli già indicati nel decreto-legge, avrà anche il compito di assumere le iniziative idonee a valorizzare la crittografia come strumento di cybersicurezza e di provvedere alla qualificazione dei servizi cloud per la pubblica amministrazione. Inoltre, viene istituito, con funzioni di consulenza e di proposta, un Comitato tecnico-scientifico, presieduto dal direttore generale della medesima Agenzia, o da un dirigente da lui delegato, e composto da personale della stessa Agenzia e da qualificati rappresentanti dell'industria, degli enti di ricerca, dell'accademia e delle associazioni del settore della sicurezza, designati con decreto del Presidente del Consiglio dei ministri. (C.C.)
E' stato pubblicato nella Gazzetta Ufficiale n. 198 del 19 agosto 2021, il decreto del Presidente del Consiglio dei Ministri del 15 giugno 2021 che individua le categorie di beni, sistemi e servizi ICT destinati ad essere impiegati nel perimetro di sicurezza nazionale cibernetica, in attuazione dell’articolo 1, comma 6, lettera a), del decreto-legge 21 settembre 2019, n. 105 (c.d. Decreto Cybersecurity), convertito, con modificazioni, dalla legge 18 novembre 2019, n. 133. A tal fine all’allegato 1 sono individuate quattro categorie generali con specificazione per ciascuna di esse dei beni, sistemi e servizi da impiegare nell’espletamento dei servizi informatici di cui all’art. 1, comma 2, lettera b), del decreto-legge e per cui vige l’obbligo dei soggetti inclusi nel perimetro e delle centrali di committenza che intendano procedere all’affidamento di forniture di beni, sistemi e servizi ICT, di previa comunicazione del rischio associato all’oggetto della fornitura sia al Centro di valutazione e certificazione nazionale, sia ai centri di valutazione del Ministero dell’interno e del Ministero della difesa. (R.M. V.)
Per approfondire: PICOTTI L., VADALA’ R.M., Sicurezza cibernetica: una nuova fattispecie delittuosa a più condotte con estensione della responsabilità degli enti, in questa Rivista, 5 marzo 2019; PICOTTI L., Cybersecurity: quid novi?, in Diritto di Internet, 2020, n. 1, p. 11 ss.. (C.C.)
Il consiglio dei Ministri del 29 luglio 2021 ha approvato in esame preliminare e trasmesso alle Camere per l’acquisizione dei pareri del caso, lo schema del decreto legislativo di attuazione della direttiva (UE) 2019/713 relativa alla lotta contro le frodi e le falsificazioni di mezzi di pagamento diversi dai contanti e che sostituisce la decisione quadro 2001/413/GAI.
In evidente trasposizione della direttiva, lo schema del decreto reca le nozioni di strumento di pagamento diverso dai contanti, di record, di mezzo di scambio digitale e, quale sottocategoria di quest’ultimo, limitatamente alla funzione di pagamento, di valuta virtuale.
Sul piano degli interventi di natura spiccatamente penale, prevede, in particolare, la modifica della rubrica dell’art. 493-ter c.p. in “indebito utilizzo e falsificazione di strumenti di pagamento diverso dai contanti”, conformemente alla sostituzione dell’oggetto materiale delle fattispecie contemplate da questo articolo con le locuzioni: “strumenti di pagamento immateriali, carte di credito o di pagamento, ovvero qualsiasi altro strumento o documento". E’, altresì, contemplata, al fine di riparametrare il regime sanzionatorio della frode informatica sulla falsariga di quello fissato dall’art. 493-ter c.p., l’introduzione- al secondo comma dell’art. 640-ter c.p.- della circostanza aggravante della produzione in conseguenza della stessa frode di un trasferimento di denaro, di valore monetario o di valuta virtuale. In ragione dell’obbligo d’incriminazione posto dall’art. 7 della direttiva, lo schema del decreto prevede, inoltre, il delitto, da contemplare in un nuovo art. 493-quater c.p., di detenzione e diffusione di apparecchiature, dispositivi o programmi informatici diretti a commettere reati riguardanti strumenti di pagamento diversi dai contanti al fine di farne uso o di consentire ad altri di farne uso nella commissione di questi reati. Si tratta di un reato a dolo specifico avente ad oggetto dispositivi o programmi informatici per cui si richiede espressamente che siano materialmente progettati o specificatamente adattati al fine principale sopra indicato.
Per la menzionata fattispecie da emendare dell’art. 493-ter c.p., per quella aggravata di frode informatica e per quelle di nuovo conio di cui all’art. 493-quater, è stabilita, anche, la responsabilità amministrativa dipendente da reato delle persone giuridiche mediante introduzione nel d.lgs. 231/01 dell’art. 25-octies.1, che sarà rubricato “illeciti in materia di mezzi di pagamento diversi dai contanti".
L'art. 4 dello schema di decreto contempla, altresì, disposizioni apposite relative agli oneri di trasmissione da parte del Ministero della giustizia alla Commissione Europea d’informazioni sull’implementazione della direttiva e sui dati statistici inerenti i procedimenti penali e le indagini relativi agli strumenti di pagamento diversi dai contanti; mentre l’art. 5 definisce l’organo nazionale competente e la procedura da seguire per le richieste di scambio d’informazioni formulate dalle autorità degli stati membri sui reati relativi a questi strumenti. (R.M. V.)
Sempre nel Consiglio dei Ministri del 29 luglio 2021 è stato approvato e trasmesso alle Camere per i pareri del caso il predetto schema di decreto, il quale si aggiunge a quanto già previsto sia dal d.lgs. 231/2001 sia dal d.lgs. 109/2007 ed individua nel procedimento penale ed in quello per l’applicazione delle misure di prevenzione patrimoniale le attività in relazione alle quali è possibile per alcune tipologie di reati l’accesso al registro centralizzato dei conti bancari e la richiesta di informazioni/ analisi finanziarie all’Unità d’informazione Finanziaria.
A tal fine l’art. 2 definisce, in particolare, le informazioni o analisi finanziarie, quali quelle detenute nella attività di prevenzione del riciclaggio e del finanziamento del terrorismo, e le informazioni “di contrasto”, come i dati detenuti dalle autorità nazionali di prevenzione, indagine, accertamento e perseguimento dei reati.
Rispetto a questi si definisce cosa si intende per “reati gravi”, per riciclaggio, per “reati presupposti associati”, tra cui è espressamente inclusa la criminalità informatica, nonché per finanziamento del terrorismo; di quest’ultimo viene, in particolare, data una definizione quale fornitura o raccolta fondi per la realizzazione di ben 21 categorie di reati espressamente contemplati.
Gli artt. da 3 a 9 individuano le Autorità nazionali competenti a richiedere le informazioni, nonché le procedure e tempistiche relative allo scambio d’informazioni con le autorità e le Unità d’intelligence finanziaria degli Stati Membri, nonché con Europol. Nello specifico, sono designate, tra le autorità nazionali competenti abilitate ad accedere al registro nazionale centralizzato dei conti bancari, l’Ufficio nazionale per il recupero dei beni istituito presso il Ministero dell’interno, il Capo della polizia - direttore generale della pubblica sicurezza, i questori, il direttore della Direzione investigativa antimafia, mentre il Nucleo speciale di polizia valutaria della Guardia di finanza e della Direzione investigativa antimafia sono individuati per la ricezione e richiesta delle informazioni finanziarie o analisi finanziarie detenute dall’UIF.
Gli artt. 10 e 11 fissano apposite disposizioni a garanzia del correttamente trattamento dei dati e del rispetto dei diritti degli interessati. (R.M. V.)
Sulla scia dell’avvenuta comunicazione da parte della Commissione europea dell'avvio, nei confronti della Repubblica italiana, di una procedura di infrazione ex articolo 258 T.F.U.E. per mancato recepimento della direttiva in oggetto, nel Consiglio dei Ministri del 5 agosto 2021 è stato approvato e trasmesso alle Camere per i pareri del caso lo schema di decreto di attuazione.
Sulla base della relazione illustrativa, le modifiche normative portate dallo schema di decreto sarebbero meri interventi correttivi sostanzialmente conservativi della disciplina nazionale di contrasto al riciclaggio, in quanto si limiterebbero solo ad estendere il campo di applicazione delle norme nazionali dei delitti di riciclaggio, autoriciclaggio, impiego e ricettazione.
Relativamente a questi reati, lo schema del decreto prevede, infatti, solo l’estensione della cerchia dei reati presupposto, mediante inclusione, negli articoli da 648 a 648-ter.1 c.p., anche dei delitti colposi e delle contravvenzioni, con previsione per questi ultimi di una disciplina sanzionatoria apposita di minor rigore. Le ulteriori modifiche attengono, poi, all’allineamento sanzionatorio delle fattispecie emendate sul piano circostanziale; in proposito si segnala la riformulazione all’art. 648 c.p. della circostanza attenuante del fatto di particolare tenuità e l’introduzione dell’aggravante della commissione nell’esercizio di attività professionale. Rispetto a questa disposizione, sulla base della relazione risulta, inoltre, che il legislatore nazionale ha volutamente evitato d’intervenire sulla struttura del delitto di ricettazione, considerando, da un lato, la condotta sanzionata idonea a ricomprendere, anche, le condotte- oggetto degli obblighi d’incriminazione da attuare - di “detenzione e utilizzazione” nella consapevolezza della provenienza delittuosa; dall’altro, il fine di profitto non generativo di alcun effetto restrittivo che ne possa giustificare l’eliminazione.
Nulla è stato previsto in generale per la manifestazione informatica dei fatti di reato incriminati, nemmeno sul piano dell’oggetto materiale, nonostante la nozione ampia di “beni” portata dalla direttiva; anzi, sempre in ordine al delitto di ricettazione, nella relazione il mantenimento del riferimento a “cose provenienti da delitto” è stato giustificato in considerazione dell’adozione da parte della recente giurisprudenza nazionale di una concezione di “cosa” dei delitti contro il patrimonio comprensiva dei dati informatici.
Anche relativamente alla sussistenza della giurisdizione italiana conformemente ai criteri fissati dalla direttiva, lo schema del decreto, a fronte di un giudizio di conformità delle disposizioni nazionali vigenti, prevede solo per i delitti di ricettazione e autoriciclaggio l’esclusione della condizione di procedibilità prevista dall’art. 9, comma 2, c.p., che in mancanza della modifica sarebbe applicabile sulla base dei limiti edittali previsti dagli articoli 648 e 648 e ter l c.p. (R.M. V.).
Rapporto Consob. Congiuntura e rischi del sistema finanziario italiano in una prospettiva comparata
Il Rapporto della Consob analizza la congiuntura e i rischi del sistema finanziario italiano nel confronto internazionale, tenendo anche in conto i processi innescati dalla crisi economica generata dalla pandemia di Covid-19 sui mercati azionari e obbligazionari e sul risparmio delle famiglie italiane.
Tra gli ambiti di analisi, un'autonoma considerazione è assegnata agli investimenti mediante cripto attività e, in generale, al ricorso agli strumenti di finanza decentralizzata, basata su infrastrutture che utilizzano la tecnologia blockchain e gli smart contracts.
Sulla base dei dati analizzati, risulta che nel 2021 si è registrato un significativo aumento soprattutto delle attività di lending ed un rilevante rialzo delle quotazioni di Bitcoin.
Oltra alla più marcata volatilità che connota queste forme d’investimento rispetto alle opzioni tradizionali, è messo in luce come questa crescita non sia, però, associata anche ad una conforme implementazione dei livelli di sicurezza informatica delle piattaforme di scambio e delle relative tecnologie sottostanti. Sulla base dei dati disponibili - relativi a 479 piattaforme digitali dedicate a cripto attività - emerge, infatti, come meno di 30 possono ritenersi molto affidabili per la qualità delle informazioni pubblicate e solo 7 ottengono una valutazione molto positiva in termini di sicurezza cibernetica. Ne deriva che rimane elevato il rischio di frodi e attacchi informatici, il quale sulla base di stime per il 2019 era già quantificato in 4,5 miliardi di dollari, in netta crescita rispetto al biennio precedente. (R.M. V.)
4. Segnalazioni bibliografiche
Aranci M., L’acquisizione dei dati esteriori delle comunicazioni nel processo penale italiano dopo la sentenza H.K.: alcuni spunti di riflessione sulle prime applicazioni giurisprudenziali, in Legisl. pen., 19 luglio 2021
Baccari G.M. e Marraffino M., Le prospettive di utilizzo delle chatbot nel procedimento penale, in Dir. pen. proc., 2021, n. 8, p. 1008 ss.
Nagni E., Artificial intelligence, l’innovativo rapporto di (in)compatibilità fra machina sapiens e processo penale, in questa Rivista, 2 luglio 2021
Delvecchio F., L'informatizzazione della giustizia penale, in Dir. pen. cont. – Riv. trim., 2021, n. 2, p. 60 ss.
Di Stefano P., La Corte di Giustizia interviene sull'accesso ai dati di traffico telefonico e telematico e ai dati di ubicazione ai fini di prova nel processo penale: solo un obbligo per il legislatore o una nuova regola procedurale?, in Cass. pen., 2021, n. 7-8, p. 2556 ss.
Gaeta G., Le Sezioni unite civili e il captatore informatico. Notazioni tecniche all’esito di un recente e atteso procedimento disciplinare, in Arch. pen. web, n. 2, 26 agosto 2021
Kostoris R.E., Predizione decisoria, diversion processuale e archiviazione, in Dir. pen. cont. – Riv. trim., 2021, n. 2, p. 42 ss.
Lavorgna A. e Suffia G., La nuova proposta europea per regolamentare i Sistemi di Intelligenza Artificiale e la sua rilevanza nell’ambito della giustizia penale, in Dir. pen. cont. – Riv. trim., 2021, n. 2, p. 88 ss.
Nocerino W., Il tramonto dei mezzi di ricerca della prova nell’era 2.0, in Dir. pen. proc., 2021, n. 8, p. 1017 ss.
Rafaraci T., Verso una law of evidence dei dati, in Dir. pen. proc., 2021, n. 8, p. 853 ss.
Salvadori I., Agenti artificiali, opacità tecnologica e distribuzione della responsabilità penale, in Riv. it. di dir. e proc. pen., 2021, n. 1, p. 83 ss.
Tognazzi S., Criminalità informatica e cooperazione internazionale: verso il secondo protocollo addizionale alla Convenzione di Budapest, in Dir. pen. proc., 2021, n. 8, p. 1031 ss.
Torre M., Nuove tecnologie e trattamento dei dati personali nel processo penale, in Dir. pen. proc., 2021, n. 8, p. 1042 ss.