Camera dei deputati Dossier ES0149

Dati identificativi del disegno di legge
di ratifica

*Numero del progetto di legge*	2807
*Titolo dell’Accordo*	Ratifica ed esecuzione della Convenzione del Consiglio d’Europa sulla criminalità informatica, fatta a Budapest il 23 novembre 2001, e norme di adeguamento dell’ordinamento interno
*Iniziativa*	Governo
*Settore d’intervento*	Trattati e accordi internazionali; organizzazioni internazionali; diritto penale; diritto processuale penale
*Firma dell’Accordo*	Budapest, 23 novembre 2001
Iter al Senato	no
*Numero di articoli del ddl di ratifica*	12
*Date del ddl di ratifica*
§ Presentazione alla Camera	19 giugno 2007
§ annuncio	20 giugno 2007
§ assegnazione	24 luglio 2007
*Commissioni competenti*	II (Giustizia), III (Affari esteri e comunitari)
*Sede*	referente
*Pareri previsti*	I (Affari costituzionali), V (Bilancio), VI (Finanze), VII (Cultura), IX (Trasporti)
*Oneri finanziari*	No

Contenuto dell’accordo

La Convenzione del Consiglio d’Europa sulla criminalità informatica è il primo accordo internazionale riguardante i crimini commessi attraverso internet o altre reti informatiche. La accezione di reati informatici assunta dalla Convenzione è ben più ampia della classica area dei reati cibernetici, in quanto estende la sua portata a tutti i reati in qualunque modo commessi attraverso un sistema informatico e a quelli di cui si debbano o possano raccogliere prove in forma elettronica.

Come si può leggere nel suo Preambolo, la Convenzione si propone di perseguire una politica comune fra gli Stati membri, attraverso l’adozione di una legislazione appropriata, che consenta di combattere il crimine informatico in maniera coordinata. La Convenzione è il risultato di un lavoro condotto per quattro anni da un Comitato di esperti del Consiglio d’Europa[1] costituito ad hoc, al quale hanno dato il proprio contributo anche alcuni Paesi non appartenenti a tale istituzione quali gli Stati Uniti[2], il Canada e il Giappone.

La Convenzione è entrata in vigore il 1° luglio 2004; attualmente risulta ratificata da 21 Paesi fra i quali tuttavia non ne compaiono alcuni di quelli a più alto sviluppo tecnologico quali la Germania, il Regno Unito, la Spagna, la Svezia e la Svizzera.

Un Protocollo addizionale alla Convenzione, relativo all’incriminazione di atti di natura razzista e xenofobica commessi a mezzo di sistemi informatici è stato aperto alla firma il 28 gennaio 2003 ed è entrato in vigore il 1° marzo 2006: anche in questo caso mancano gli atti di ratifica di alcuni dei principali Paesi europei - tra questi, l’Italia, il Regno Unito e la Spagna – che non lo hanno ancora sottoscritto.

La Convenzione consta, oltre che del Preambolo, di 46 articoli raggruppati in quattro Capitoli.

Gli obiettivi fondamentali possono essere così sintetizzati: 1) armonizzare gli elementi fondamentali delle fattispecie di reato del diritto penale dei singoli ordinamenti interni e tutte le altre disposizioni riguardanti la criminalità informatica; 2) dotare le leggi e le procedure penali dei Paesi parte della Convenzione degli strumenti necessari allo svolgimento delle indagini e al perseguimento dei crimini correlati all’area informatica; 3) costruire un efficace regime di cooperazione internazionale.

Il Capitolo I, formato dal solo articolo 1 definisce i termini fondamentali utilizzati: in particolare, la Convenzione considera “sistema informatico” tutte le apparecchiature che, in base ad un programma, sono in grado di elaborare automaticamente dei dati, ricomprendendo quindi nella definizione una grandissima varietà di apparecchiature tecnologiche.

Il Capitolo II (articoli da 2 a 22) è dedicato ai provvedimenti da adottare a livello nazionale. Contiene tre Sezioni: diritto penale sostanziale (artt. 2-13), diritto procedurale (artt. 14 – 21) e competenza (art 22).

In base alla Sezione I, ogni Parte si impegna ad adottare le misure legislative e di altra natura atte a sanzionare come reati comportamenti quali l’accesso illegale ad un sistema informatico (articolo 2), l’intercettazione senza autorizzazione (articolo 3), l’attentato all’integrità dei dati o di un sistema (articoli 4 e 5), l’abuso di apparecchiature, la falsificazione informatica (art. 7), la frode informatica (art. 8), la pornografia minorile (art. 9) e i reati contro la proprietà intellettuale (art. 10)[3].

L’articolo 11 stabilisce che debbano essere considerati reati anche le complicità e i tentativi di commettere i reati poco sopra descritti.

In base all’articolo 12 le Parti vengono lasciate libere di decidere se la responsabilità delle persone giuridiche è da ritenersi penale, civile o amministrativa, in base ai principi giuridici di ciascuna Parte. L’articolo 13 prevede che le sanzioni – anche quelle comminate alle persone giuridiche – debbano essere effettive, proporzionate e dissuasive.

La Sezione II del Capitolo II (diritto procedurale) ha una portata che va oltre quella dei reati definiti nella Sezione I, in quanto essa si applica a qualunque reato commesso a mezzo di un sistema computerizzato, nonché nel caso in cui la prova del reato sia sotto forma elettronica. Nella Sezione II vengono innanzitutto delineate le disposizioni comuni e le norme di tutela applicabili a tutti gli articoli contenenti le misure procedurali previste nel Capitolo II e in seguito vengono stabilite le misure procedurali relative ai reati descritti negli articoli da 2 a 12: la conservazione rapida di dati informatici immagazzinati in sistemi informatici; la conservazione e la divulgazione rapida dei dati relativi al traffico; l’ingiunzione di produrre i dati immagazzinati; la perquisizione e il sequestro dei dati informatici immagazzinati; la raccolta in tempo reale dei dati relativi al traffico; l’intercettazione dei dati relativi al contenuto. Il Capitolo II termina con le disposizioni relative alla competenza.

Il Capitolo III (cooperazione internazionale) contiene norme relative all’estradizione e alla assistenza tra le Parti.

L’articolo 23 stabilisce tre principi generali secondo i quali la cooperazione internazionale: a) deve essere fornita nella misura più ampia possibile; b) deve essere estesa a tutti i reati relativi ai sistemi e ai dati informatizzati e c) deve rispettare non soltanto le disposizioni della Convenzione, ma anche essere conforme agli accordi internazionali in materia.

L’articolo 24 consente l’applicazione dell’estrazione ai reati previsti dagli articoli da 2 a 11 ma solo se essi sono punibili dalla legge di entrambe le Parti con la privazione della libertà di almeno un anno, o con una pena più severa.

L’articolo 25 fissa i principi generali relativi alla mutua assistenza tra le Parti al fine delle indagini o dei procedimenti sui reati relativi a sistemi e dati informatici o per la raccolta di prove in formato elettronico. La mutua assistenza è soggetta alle condizioni previste dalla legislazione della Parte richiesta o dai Trattati di mutua assistenza applicabili.

In assenza di Accordi internazionali applicabili le procedure relative alle richieste di mutua assistenza sono fissate dagli articoli 27 e 28.

Gli articoli da 29 a 35 (Sezione II del Capitolo III) contengono disposizioni specifiche al fine di poter intraprendere un’azione internazionale efficace e concertata, nei casi di reati informatici e di prove su supporto elettronico.

Gli articoli 29 e 30 prevedono meccanismi a livello internazionale – riguardanti, rispettivamente, la conservazione rapida di dati informatici e di dati di traffico – equivalenti a quelli previsti a livello nazionale dagli articoli 16 e 17; gli articoli 33 e 34, poi, obbligano le Parti alla reciproca assistenza nella raccolta in tempo reale di dati sul traffico e in materia di intercettazione di dati relativi al contenuto di specifiche comunicazioni.

Per consentire una risposta realmente rapida alla richiesta di dati che consentano alle autorità preposte di indagare sui crimini cibernetici, l’articolo 35 (Rete 24/7) prevede la costruzione di una rete attraverso l’obbligo delle Parti a designare un punto di contatto - disponibile tutti i giorni senza eccezione alcuna per 24 ore su 24 – che assicuri una assistenza immediata alle indagini.

Il Capitolo IV contiene le disposizioni finali.

Viene in particolare chiarito che tra gli effetti della Convenzione vi è quello di completare le disposizioni contenute in alcuni trattati bilaterali e multilaterali in materia e segnatamente: la Convenzione europea di estradizione (Parigi, 13 dicembre 1957), la Convenzione europea di assistenza giudiziaria in materia penale e il suo Protocollo aggiuntivo (fatti a Strasburgo, rispettivamente, il 20 aprile 1959 e il 17 marzo 1978).

Vengono inoltre descritte le procedure per l’apposizione e la cancellazione delle riserve, nonché per la proposizione di emendamenti.

Infine, è stabilito che le eventuali controversie tra le Parti sull’interpretazione o l’applicazione della Convenzione vengano da esse risolte attraverso negoziati oppure mediante altri mezzi pacifici, ad esempio la sottoposizione della questione al Comitato Europeo per i Problemi Criminali (CDPC), ad un tribunale arbitrale (la cui decisione è vincolante), o alla Corte Internazionale di Giustizia, secondo quanto concordato tra le Parti.

La denuncia della Convenzione avrà effetto dal primo giorno del mese successivo alla scadenza di un periodo di tre mesi dal ricevimento della notifica da parte del Segretario generale del Consiglio d’Europa.

Contenuto del disegno di legge di ratifica

Quadro normativo

Lo specifico connotato che definisce la categoria dei “reati informatici” è rappresentato dalla connessione dei fatti illeciti in esame con l’informatica: vale a dire con le procedure ed attività di elaborazione e trattamento automatizzato di dati e informazioni, nonché con i relativi strumenti e prodotti, intendendo tale connotazione in senso lato, fino a comprendervi le diverse modalità di trasmissione e comunicazione a distanza dei dati stessi (la c.d. telematica)[4].

Nel nostro ordinamento, lo sviluppo di una normativa in materia di criminalità informatica è avvenuto senza un previo disegno sistematico perché condizionato da contingenti necessità di tutela, cui il legislatore ha inteso via via far fronte, ovvero dall’urgenza di adeguarsi ad indicazioni e raccomandazioni di fonte sovranazionale[5].

Solo nel corso dell’XI legislatura, sulla spinta delle Raccomandazioni del Consiglio d’Europa, il legislatore italiano si è posto l’obiettivo di integrare il più possibile la disciplina penale dei nuovi fenomeni informatici in quella previgente e generale contenuta nel codice, ed ha approvato la legge 23 dicembre 1993, n. 547, che reca Modificazioni ed integrazioni alle norme del codice penale e del codice di procedura penale in tema di criminalità informatica.

La tecnica legislativa utilizzata dalla legge è duplice, in quanto prevede sia l'introduzione nel codice penale di nuove fattispecie di reato, sia la modifica di fattispecie esistenti con riferimento ai beni informatici. Altre disposizioni riguardano la procedura penale.

Da un punto di vista sistematico le tipologie di reati del codice penale integrate o modificate sono molteplici; in sintesi, la legge n. 547/1993:

§ in riferimento ai delitti contro l'amministrazione della giustizia, ha integrato l'art. 392 c.p., prevedendo che il reato di esercizio arbitrario delle proprie ragioni con violenza sulle cose comprenda anche una fattispecie di violenza sulle cose realizzata attraverso il danneggiamento di software o l'impedimento del funzionamento di un sistema informatico (art. 1);

§ in tema di delitti contro l'ordine pubblico, ha riscritto l’art. 420 c.p. relativo alla fattispecie di attentato a impianti di pubblica utilità, prevedendo l'ipotesi di danneggiamento o distruzione di sistemi informatici o telematici di pubblica utilità, oppure dei dati e del software in essi contenuti (art. 2);

§ ha inserito fra i delitti di falso in atti l’art. 491-bis, stabilendo che tra i documenti falsificati vi siano anche i documenti informatici pubblici e privati, rinviando alle sanzioni previste dagli articoli precedenti del codice per i falsi in documenti pubblici e i falsi in documenti privati; la norma detta inoltre la nozione di documento informatico (art. 3);

§ in riferimento ai delitti contro l'inviolabilità del domicilio, ha introdotto tre nuove fattispecie di reato, il cui bene giuridico tutelato è costituito sia dalla libertà individuale sia dalla tutela del bene patrimoniale costituto dal mezzo informatico. In particolare, l’art. 615-ter (Accesso abusivo ad un sistema informatico o telematico) sanziona chiunque si introduce abusivamente in un sistema informatico o telematico protetto o vi si mantiene contro la volontà espressa o tacita del titolare (la norma intende sanzionare i c.d. hackers); l’art. 615-quater (Detenzione e diffusione abusiva di codici di accesso ai sistemi informatici o telematici) sanziona l’appropriazione indebita delle parole chiave e dei codici segreti per accedere ai sistemi; l’art. 615-quinquies (Diffusione di programmi diretti a danneggiare o interrompere un sistema informatico) sanziona la diffusione dei c.d. virus informatici, ossia di programmi che diffusi nei computer danneggiano irrimediabilmente i programmi residenti, i dati immagazzinati e i sistemi operativi degli elaboratori (art. 4);

§ in riferimento all’inviolabilità dei segreti, stabilisce che la fattispecie di violazione, sottrazione e soppressione di corrispondenza (art. 616 c.p.) si applica anche in riferimento alla corrispondenza informatica, quale la posta elettronica (art. 5); interviene dunque sull’art. 621 c.p., relativo alla rivelazione del contenuto di documenti segreti, includendo tra i documenti segreti anche i supporti informatici contenenti dati (art. 7); infine, introduce, con l'art. 623-bis c.p., una norma di chiusura, stabilendo che le norme penali della sezione V del codice, relativa ai delitti contro l'inviolabilità dei segreti, si applichino anche ad ogni altra trasmissione a distanza di suoni, immagini o altri dati, con ciò precostituendo un sistema sanzionatorio penale adatto alle successive modificazioni tecnologiche (art. 8);

§ aggiunge tre nuove fattispecie di reato (art. 6): l'intercettazione, impedimento, interruzione illecita di comunicazioni informatiche o telematiche (art. 617-quater c.p.); l'installazione di apparecchiature atte ad intercettare, impedire o interrompere comunicazioni informatiche o telematiche (art. 617-quinquies c.p.) e la falsificazione, alterazione o soppressione del contenuto di comunicazioni informatiche o telematiche (art. 617-sexies c.p.);

§ in riferimento ai delitti contro il patrimonio, introduce una fattispecie speciale di danneggiamento, riferito al danneggiamento di sistemi informatici e telematici (art. 635-bis c.p.); introduce la nuova fattispecie di frode informatica (art. 640-ter c.p.), nella quale il sistema informatico non è l'oggetto del reato, bensì lo strumento con il quale viene leso il patrimonio della vittima della frode (art. 10).

Questa norma appare di notevole rilevanza pratica stante la crescita di frodi realizzate con sistemi informatici ai danni dei cittadini, ad esempio nel settore bancario, manipolando o accedendo illegalmente a strumenti di grande diffusione, quali carte di credito, bancomat, ecc., idonei a modificare direttamente le disponibilità bancarie delle vittime del reato. Le modalità commissive della frode informatica constano alternativamente: a) nell'alterazione in qualsiasi modo del sistema; b) nell'intervento abusivo (e con qualsiasi modalità) su dati, informazioni o programma (contenuti pertinenti al sistema). Dall'intervento deve discendere l'ingiusto profitto proprio e l'altrui danno. La pena e' identica a quella della truffa, anche per le ipotesi circostanziate, e identica e' la previsione riguardante la querela.

Per quanto riguarda invece la procedura penale, la legge n. 547 del 1993:

§ ha introdotto l'art. 266-bis c.p.p., che consente l'intercettazione di comunicazioni informatiche o telematiche negli stessi casi in cui il precedente art. 266 consente le intercettazioni telefoniche o di conversazioni (delitti dolosi con pena superiore a 5 anni di reclusione, reati contro la pubblica amministrazione con pena non inferiore a cinque anni, reati di droga, armi, contrabbando, ingiuria, manipolazione del mercato, abuso di informazioni privilegiate, disturbo tramite il telefono, delitti di pedopornografia), oltre ai casi in cui si perseguano reati informatici (art. 11);

§ ha modificato l’art. 268 c.p.p., precisando le modalità con le quali le intercettazioni possono essere eseguite (art. 12);

§ ha esteso la possibilità di intercettazioni preventive rispetto alla commissione di reati di criminalità organizzata, anche alle intercettazioni informatiche (art. 13).

Le disposizioni contenute nel codice penale non esauriscono il quadro dei reati informatici: per completezza occorre infatti ricordare che ulteriori fattispecie sono previste dalla legislazione speciale. Disposizioni incriminatrici sono contenute nella legislazione in materia di dati personali (d. lgs. n. 196 del 2003)[6] e in materia di diritto d’autore sui programmi per elaboratore (legge 22 aprile 1941, n. 633 e successive modificazioni).

Contenuto del disegno di legge

Il disegno di legge del Governo si compone di 4 Capi.

Il Capo I attiene alla ratifica e all’esecuzione della Convenzione sulla criminalità informatica del Consiglio d’Europa, fatta a Budapest il 23 novembre 2001.

In particolare, l’articolo 1 autorizza il Presidente della Repubblica a ratificare la Convenzione e l’articolo 2 prevede la piena esecuzione della stessa a partire dalla sua entrata in vigore (data fissata dall’articolo 36 della Convenzione stessa).

Il Capo II del disegno di legge, composto di quattro articoli, contiene modifiche al codice penale e al decreto legislativo n. 231 del 2001[7] in tema di responsabilità amministrativa delle persone giuridiche.

Analiticamente, l’articolo 3 del disegno di legge interviene sui delitti contro la fede pubblica (Libro II – Titolo VII, c.p.).

Il comma 1 modifica l’articolo 491-bis del codice penale, relativo ai documenti informatici e introdotto dalla legge n. 547 del 1993 (v. sopra).

L'articolo 491-bis estende le fattispecie di falso (materiale o ideologico) ai documenti informatici pubblici o privati e, nel secondo periodo, definisce i documenti informatici come «qualunque supporto informatico contenente dati o informazioni aventi efficacia probatoria o programmi specificamente destinati ad elaborarli». La norma riconosce in tal modo la specificità del documento informatico e ne disancora la definizione dalla nozione di documento utilizzata nel sistema penale.

Peraltro, pur non dubitando che con tale disposizione il legislatore abbia voluto alludere ai soli documenti intelligibili unicamente attraverso l'ausilio dell'elaboratore, la dottrina ha rilevato che l’equiparazione tra «documento» e «supporto» rischia di apparire in qualche misura fuorviante perché attribuisce al documento informatico una pretesa dimensione materiale da cui esso, a ben vedere, proprio per le sue intime caratteristiche, prescinde[8]. In realtà, come rilevato in dottrina, il rilievo ha carattere più generale: nel tentativo, infatti, di disciplinare secondo regole e schemi tradizionali un fenomeno ad essi irriducibile, se non, appunto, attraverso costose forzature, il legislatore non ha considerato alcune fondamentali peculiarità del sistema tecnologico; con riguardo al documento informatico tale atteggiamento ha finito col trascurare la capacità dei mezzi tecnologici informatici di garantire «la perfetta autonomia strutturale e funzionale del dato rispetto al supporto che lo ospita»[9].

Il disegno di legge del Governo elimina il secondo periodo dell’art. 491-bis c.p., attualmente recante la definizione di «documento informatico».

Il comma 2 dell’articolo in commento inserisce un nuovo articolo nel codice penale: l’art. 495-bis sanziona con la reclusione fino a un anno chiunque dichiara o attesta falsamente al certificatore l’identità, lo stato o altre condizioni proprie o altrui.

Ai sensi dell’art. 1, lett. g) del Codice dell’amministrazione digitale di cui al d. lgs. n. 82 del 2005[10] certificatore è il soggetto che presta servizi di certificazione delle firme elettroniche o che fornisce altri servizi connessi con queste ultime.

L’articolo 4 del disegno di legge sostituisce l’art. 615-quinquies c.p., relativo alla diffusione di programmi diretti a danneggiare o interrompere un sistema informatico, ic.d. programmi virus.

L’articolo 615-quinquies è stato inserito nel codice penale dalla legge n. 547 del 1993 (v. sopra) e sanziona con la reclusione fino a 2 anni e con la multa fino a 10.329 euro chiunque «diffonde, comunica o consegna un programma informatico da lui stesso o da altri redatto, avente per scopo o per effetto il danneggiamento di un sistema informatico o telematico, dei dati o dei programmi in esso contenuti o ad esso pertinenti, ovvero l'interruzione, totale o parziale, o l'alterazione del suo funzionamento». La rilevanza penale delle condotte sopra richiamate prescinde dal verificarsi del danneggiamento, evento che non figura tra gli elementi costitutivi della fattispecie; si realizza, pertanto, un'anticipazione di tutela secondo lo schema del reato di pericolo astratto, giustificata, in virtù del principio costituzionale di proporzione, dalla rilevanza del bene giuridico protetto e dalla pericolosità delle condotte tipiche incriminate, le quali implicano la probabilità che il risultato finale dell'azione possa essere il danneggiamento informatico[11]. Si ricorda che, trattandosi di un delitto, il sistema penale richiede il dolo generico, cioè la volontà di diffondere, comunicare o consegnare un programma informatico con la consapevolezza che esso, inserito in un sistema informatico, ne comporta il danneggiamento delle componenti fisiche o logiche, ovvero l'interruzione o l'alterazione del funzionamento. Quindi, il dolo in questione richiede la consapevolezza dell'esistenza e della natura del programma virus che si mette in circolazione nonché la volontà di diffonderlo.

Il disegno di legge del Governo, pur mantenendo invariata la sanzione penale (reclusione fino a 2 anni e multa fino a 10.329 euro) e, sostanzialmente, non innovando la definizione di virus (non solo programmi informatici, ma anche genericamente apparecchiature e dispositivi), apporta alla fattispecie penale le seguenti aggiunte:

- richiede che la condotta sia finalizzata a procurare all’autore o ad altri un profitto o ad arrecare ad altri un danno;

- aggiunge alle condotte attuali (diffusione, comunicazione e consegna del programma) le condotte di colui che si procura, riproduce, importa o comunque mette a disposizione il programma.

L’articolo 5 del disegno di legge di ratifica interviene sui delitti contro il patrimonio.

In particolare, il comma 1 sostituisce l’art. 635-bis del codice penale, introdotto dalla legge n. 547 del 1993, in tema di danneggiamento di sistemi informatici o telematici.

L’articolo 635-bis del codice penale sanziona con la reclusione da 6 mesi a 3 anni chiunque distrugga, deteriori o renda inservibili sistemi informatici o telematici, programmi, informazioni o dati altrui (comma 1). Ai sensi del comma 2, il reato è aggravato (reclusione da 1 a 4 anni) se il fatto è commesso con abuso della qualità di operatore del sistema o se ricorre anche solo una delle circostanze aggravanti del delitto di danneggiamento (art. 635, co. 2)[12].

L’attuale formulazione della fattispecie viene sostanzialmente riproposta dal disegno di legge (v. testo a fronte), che omette però da questa disposizione la condotta di colui che rende, in tutto o in parte, inservibili sistemi informatici o telematici altrui, condotta che è ora inserita nell’art. 635-quater (v. infra). A prescindere da questo, l’unica rilevante modifica riguarda la perseguibilità del reato: infatti, il disegno di legge prevede che il reato sia perseguibile a querela della persona offesa, consentendo la perseguibilità d’ufficio solo nell’ipotesi aggravata di cui al comma 2.

Il comma 2 inserisce due ulteriori articoli nel codice penale, l’art. 635-ter e l’art. 635-quater. In entrambi i casi, partendo dalla fattispecie di danneggiamento di informazioni, dati e programmi informatici (art. 635-bis) vengono individuate delle ipotesi aggravate.

In particolare, l’articolo 635-ter prevede la reclusione da 1 a 5 anni quando il danneggiamento – così come definito dall’art. 635-bis – riguarda dati o programmi utilizzati dallo Stato, da altro ente pubblico o comunque di pubblica utilità (comma 1). In presenza di circostanze aggravanti (v. art. 635-bis, comma 2) la reclusione è da 2 a 7 anni (comma 2).

L’articolo 635-quater prevede la reclusione da 1 a 5 anni quando il danneggiamento – così come definito dall’art. 635-bis – ovvero l’introduzione o la trasmissione di dati rende in tutto o in parte inservibili o ostacola il funzionamento di sistemi informatico o telematici altrui (comma 1). In presenza di circostanze aggravanti (v. art. 635-bis, comma 2) la reclusione è da 2 a 7 anni (comma 2).

Il comma 3 inserisce nel codice penale l’articolo 640-quinquies relativo alla truffa del certificatore di firma elettronica.

La nuova fattispecie prevede la reclusione fino a 3 anni o la multa fino a 25.000 euro per il certificatore che, violando gli obblighi previsti dal codice dell’amministrazione digitale, all’articolo 32, procuri a sé o ad altri un ingiusto profitto con altrui danno.

Gli obblighi del certificatore sono elencati all’articolo 32 del decreto legislativo n. 82/2005, ai sensi del quale il certificatore, oltre ad essere tenuto ad adottare tutte le misure organizzative e tecniche idonee ad evitare danno a terzi, deve anche, ad esempio: provvedere con certezza alla identificazione della persona che fa richiesta della certificazione; rilasciare e rendere pubblico il certificato elettronico; attenersi a precise regole tecniche; garantire un servizio di revoca e sospensione dei certificati elettronici sicuro e tempestivo; assicurare la precisa determinazione della data e dell'ora di rilascio, di revoca e di sospensione dei certificati elettronici; non copiare, né conservare, le chiavi private di firma del soggetto cui il certificatore ha fornito il servizio di certificazione.

L’articolo 6 del disegno di legge inserisce un nuovo articolo nel decreto legislativo n. 231 del 2001 in tema di responsabilità amministrativa delle persone giuridiche.

Il D.Lgs. n. 231/2001 prevede che per una serie di reati espressamente individuati possano essere applicate alla persona giuridica - mediante accertamento giudiziale - oltre a sanzioni interdittive (interdizione dall'esercizio dell'attività, sospensione o revoca delle autorizzazioni, licenze o concessioni funzionali alla commissione dell'illecito, divieto di contrattare con la pubblica amministrazione, etc.) anche sanzioni di natura pecuniaria, applicate per quote in un numero non inferiore a cento né superiore a mille; l'importo di una quota varia da un minimo di 258 euro ad un massimo di 1.548 euro. Nella commisurazione della sanzione pecuniaria il giudice determina il numero delle quote tenendo conto della gravità del fatto, del grado della responsabilità dell'ente, nonché dell'attività svolta per eliminare o attenuare le conseguenze del fatto e per prevenire la commissione di ulteriori illeciti. L'importo della quota è fissato sulla base delle condizioni economiche e patrimoniali dell'ente allo scopo di assicurare l'efficacia della sanzione.

Nello specifico il disegno di legge di ratifica inserisce nel decreto legislativo n. 231/2001 l’articolo 25-septies, volto a sanzionare la persona giuridica in relazione alla commissione di attentati ad impianti di pubblica utilità, delitti informatici e trattamento illecito di dati.

La nuova disposizione prevede le seguenti sanzioni:

Sanzione	Fattispecie
Pecuniaria: da 100 a 500 quote + Interdizione dall'esercizio dell'attività; sospensione o revoca delle autorizzazioni, licenze o concessioni funzionali alla commissione dell'illecito; divieto di pubblicizzare beni o servizi (commi 1 e 4)	§ Attentato a impianti di pubblica utilità (art. 420 c.p.) § Accesso abusivo a un sistema informatico o telematico (art. 615-ter c.p.) § Intercettazione, impedimento o interruzione illecita di comunicazioni informatiche o telematiche (art. 617-quater c.p.) § Installazione di apparecchiature atte ad intercettare, impedire o interrompere comunicazioni informatiche o telematiche (art. 617-quinquies c.p.) § Danneggiamento di informazioni, dati e programmi informatici (art. 635-bis c.p.) § Danneggiamento di informazioni, dati e programmi informatici utilizzati dallo Stato o da altro ente pubblico o comunque di pubblica utilità (art. 635-ter c.p.) § Danneggiamento di sistemi informatici o telematici (art. 635-quater)



Pecuniaria: fino a 300 quote + Sospensione o revoca delle autorizzazioni, licenze o concessioni funzionali alla commissione dell'illecito; divieto di pubblicizzare beni o servizi (commi 2 e 4)	§ Detenzione e diffusione abusiva di codici di accesso a sistemi informatici o telematici (art. 615-quater c.p.) § Diffusione di apparecchiature, dispositivi o programmi informatici diretti a danneggiare o interrompere un sistema informatico o telematico (art. 615-quinquies c.p.)

Pecuniaria: fino a 400 quote + Divieto di contrattare con la PA, salvo che per ottenere le prestazioni di un pubblico servizio; esclusione da agevolazioni, finanziamenti, contributi o sussidi e l'eventuale revoca di quelli già concessi; divieto di pubblicizzare beni o servizi (commi 3 e 4)	§ Falsità relative a documenti informatici (art. 491-bis c.p.) § Truffa del certificatore di firma digitale (art. 640-quinquies c.p.) La sanzione non si applica se ricorre la fattispecie di cui all’art. 24 del d.lgs. n. 231/2001 (Indebita percezione di erogazioni, truffa in danno dello Stato o di un ente pubblico o per il conseguimento di erogazioni pubbliche e frode informatica in danno dello Stato o di un ente pubblico).

Il Capo III del disegno di legge prevede modifiche al codice di procedura penale e al c.d. codice della privacy (d. lgs. n. 196 del 2003)[13].

In particolare, l’articolo 7 interviene sui mezzi di ricerca della prova (libro III - titolo III) novellando varie disposizioni del codice di rito.

Il comma 1 modifica l’articolo 244 c.p.p., in tema di ispezioni.

L’ispezione è l’atto con il quale si esamina una persona, una cosa o un luogo allo scopo di acquisirne conoscenza e rilevare le tracce o gli effetti del reato. In quanto mezzo di ricerca della prova, è atto irripetibile, dunque il relativo verbale va inserito nel fascicolo del dibattimento. Ai sensi dell’articolo 244 del codice di rito nel corso dell’ispezione l'autorità giudiziaria può disporre rilievi segnaletici, descrittivi e fotografici e ogni altra operazione tecnica (comma 2).

Il disegno di legge interviene sull’ultima parte della disposizione specificando che l’autorità giudiziaria può disporre rilievi anche in relazione a sistemi informatici o telematici.

Il comma 2 interviene sull’articolo 247 c.p.p., in tema di perquisizioni.

La perquisizione persegue lo scopo di ricercare “il corpo del reato o cose pertinenti al reato” sulle persone o in luoghi determinati, ovvero di eseguire in questi ultimi l’arresto dell’imputato o dell’evaso. Tale finalità consente di cogliere la distinzione esistente tra questo mezzo di ricerca della prova e l’ispezione, diretta invece ad accertare sulla persona, nei luoghi o nelle cose “le tracce o gli altri effetti materiali del reato”.

In particolare, l’art. 247 definisce la perquisizione personale e la perquisizione locale (comma 1), prevedendo in entrambi i casi il decreto motivato (comma 2) e precisando che l’attività può essere compiuta dall’autorità giudiziaria personalmente, ovvero da ufficiali di polizia giudiziaria appositamente delegati (comma 3).

Il disegno di legge inserisce all’art. 247 c.p.p. il comma 1-bis, concernente lo svolgimento della perquisizione in un sistema informatico o telematico. La condizione per attivare questo mezzo di ricerca della prova è che sussista fondato motivo di ritenere che dati, informazioni, programmi o tracce comunque pertinenti al reato si trovino all’interno del sistema informatico, anche se questo sia protetto da misure di sicurezza.

Il comma 3 modifica l’art. 248 del codice di procedura relativo alla richiesta di consegna.

L’articolo 248 dispone che laddove la perquisizione sia volta a rinvenire una cosa determinata, questa possa essere evitata attraverso la consegna della cosa (comma 1). Più che di perquisizione in questo caso si tratta dunque di sequestro, in quanto la cosa individuata viene spontaneamente consegnata. Il comma 2 prevede invece una preliminare attività ispettiva presso istituti di credito, non necessariamente tendente ad una perquisizione, inerente ad atti, documenti e corrispondenza. Solo in caso di rifiuto dell’esame l’autorità giudiziaria procede a perquisizione.

Il disegno di legge interviene sul comma 2 dell’art. 248 e specifica che oggetto dell’esame presso le banche sono non solo atti, documenti e corrispondenza, ma anche dati, informazioni e programmi informatici.

Il comma 4 modifica in più punti l’articolo 254 del codice di procedura penale, relativo al sequestro di corrispondenza.

L’articolo 254 c.p.p. prevede il sequestro di lettere, pieghi, pacchi, valori, telegrammi e altri oggetti di corrispondenza che possano costituire corpo di reato o che possano avere una qualche relazione con esso (spediti dall'imputato o a lui diretti, anche sotto nome diverso o per mezzo di persona diversa). Per la particolare tutela costituzionale che ha la corrispondenza, il codice ha voluto regolare in particolare la fattispecie sia se messa in atto dall’autorità giudiziaria che dalla polizia giudiziaria. In quest’ultimo caso, ai sensi del comma 2, la corrispondenza dovrà essere consegnata all’autorità giudiziaria senza aprire gli oggetti o prendere altrimenti conoscenza del loro contenuto.

Il disegno di legge specifica che gli oggetti di corrispondenza possono anche essere inviati per via telematica e sostituisce agli “uffici postali”, cui fa attualmente riferimento la disposizione, “coloro che forniscono servizi postali , telegrafici, telematici o di telecomunicazioni” (lett. a); specifica, inoltre, che gli ufficiali di polizia giudiziaria che procedono al sequestro non solo non possono aprire gli oggetti di corrispondenza, ma neanche alterarli (lett. b).

Il comma 5 inserisce nel codice di rito l’art. 254-bis, col quale disciplina le modalità del sequestro di dati informatici presso i fornitori dei servizi informatici, telematici e di telecomunicazioni. La disposizione prevede che l’autorità giudiziaria, nel disporre il sequestro dei dati, possa stabilire che l’acquisizione avvenga mediante copia su supporto informatico, “con una procedura che assicuri la conformità dei dati acquisiti a quelli originali e la loro immodificabilità”. Il fornitore dei servizi dovrà comunque attivarsi per conservare e proteggere adeguatamente i dati originali.

Il comma 6 modifica il primo comma dell’art. 256 c.p.p., in tema di esibizione di atti e tutela del segreto.

L’articolo 256 c.p.p., comma 1, prevede che i ministri di confessioni religiose, gli avvocati, gli investigatori privati autorizzati, i consulenti tecnici e i notai, i medici e i chirurghi, i farmacisti, le ostetriche e ogni altro esercente una professione sanitaria, gli esercenti altri uffici o professioni ai quali la legge riconosce la facoltà di astenersi dal deporre determinata dal segreto professionale, nonché i pubblici ufficiali, i pubblici impiegati e gli incaricati di un pubblico servizio debbano consegnare immediatamente all'autorità giudiziaria, che ne faccia richiesta, gli atti e i documenti e ogni altra cosa, salvo che dichiarino per iscritto che si tratti di segreto di Stato ovvero di segreto inerente al loro ufficio o professione.

Il disegno di legge aggiunge specifica che il sequestro può riguardare non solo gli atti e i documenti – come attualmente previsto dal codice – ma anche i dati e le informazioni e i programmi informatici; precisa quindi che in questo caso il sequestro può essere eseguito mediante copia del materiale su adeguato supporto.

Il comma 7 interviene sull’art. 259 del codice di rito, relativo alla custodia delle cose sequestrate.

L’art. 259 c.p.p. dispone che le cose sequestrate siano affidate in custodia alla cancelleria o alla segreteria ovvero, se non è possibile, ad un altro custode (comma 1) che dovrà essere avvertito degli obblighi connessi alla custodia e delle pene previste per la violazione di tali obblighi (comma 2).

La disposizione in commento aggiunge al comma 2 un periodo volto a specificare che se la custodia riguarda dati informatici il custode deve essere anche avvertito dell’obbligo di impedirne l’alterazione o l’accesso da parte di terzi.

Il comma 8 interviene sul procedimento per l’apposizione dei sigilli sulle cose sequestrate, disciplinato dall’art. 260 del codice di procedura.

L’articolo 260 c.p.p. descrive le attività materiali che vengono eseguite al fine di impedire che le cose sottoposte a sequestro vengano manipolate o ne venga modificato lo status quo. Ai sensi del comma 1, infatti, le cose sequestrate si assicurano con il sigillo dell'ufficio giudiziario e con le sottoscrizioni dell'autorità giudiziaria e dell'ausiliario che le assiste ovvero, in relazione alla natura delle cose, con altro mezzo idoneo a indicare il vincolo imposto a fini di giustizia. Come chiarisce la disposizione, infatti, il sigillo non è il mezzo con il quale si assicura materialmente la intangibilità della cosa, ma è uno strumento simbolico attraverso cui si manifesta la volontà dello Stato diretta ad assicurare tali beni contro la manomissione. Se le cose oggetto di sequestro possono alterarsi, l’autorità giudiziaria fa estrarre copia dei documenti e fa eseguire fotografie o altre riproduzioni (comma 2) quindi, a seconda dei casi, ne ordina l'alienazione o la distruzione (comma 3).

Il disegno di legge aggiunge all’attuale formulazione che in presenza di dati informatici le copie e le riproduzioni di cui al comma 2 devono essere realizzate su adeguati supporti e attraverso una procedura che assicuri la conformità della copia all'originale e la sua immodificabilità.

L’articolo 8 del disegno di legge modifica alcune disposizioni relative alle attività di indagine svolte dalla polizia giudiziaria di propria iniziativa (libro V, titolo IV, c.p.p.).

In particolare, il comma 1 interviene sull’art. 352 del codice di rito, dedicato alle perquisizioni.

L’articolo 352 c.p.p. dispone che gli ufficiali di polizia giudiziaria possono procedere a perquisizione locale o personale nelle ipotesi di flagranza ed evasione, se vi è fondato motivo di ritenere che sulla persona si trovino occultate cose o tracce pertinenti al reato che possono essere alterate, cancellate o disperse ovvero che tali cose o tracce o l'indagato o l'evaso si trovino in un determinato luogo (comma 1); vi possono altresì procedere nella ricorrenza di particolari ragioni di urgenza che non consentono la tempestiva emissione di un decreto di perquisizione, ricorrendo i presupposti suddetti e nell'atto di eseguire un'ordinanza cautelare o un ordine di carcerazione per reati gravi (per i quali è previsto l'arresto obbligatorio in flagranza ex art. 380) ovvero un fermo (comma 2). Se il ritardo rischia di vanificare l'esito della perquisizione domiciliare, la stessa è consentita anche in tempo di notte, senza autorizzazione del p.m. (comma 3). Quest’ultimo riceverà entro 48 ore il verbale delle operazioni compiute che dovrà convalidare nelle successive 48 ore (comma 4).

Il disegno di legge inserisce il comma 1-bis che consente agli ufficiali di polizia giudiziaria di procedere, fermi i presupposti fissati ai commi 1 e 2, alla perquisizione di sistemi informatici o telematici, anche se protetti da misure di sicurezza.

Il comma 2 interviene sull’art. 353 del codice di rito, relativo alle acquisizioni di plichi o corrispondenza.

L’articolo 353 c.p.p. disciplina l'acquisizione ed il sequestro di una particolare categoria di res, i plichi sigillati o altrimenti chiusi. In tali casi l'ufficiale di polizia giudiziaria li trasmette intatti al pubblico ministero per l'eventuale sequestro (comma 1). Nel caso in cui si ha fondato motivo di ritenere che i plichi contengano notizie utili alla ricerca e all'assicurazione di fonti di prova che potrebbero andare disperse a causa del ritardo, l'ufficiale di polizia giudiziaria informa telefonicamente o con il mezzo più rapido il pubblico ministero il quale può autorizzarne l'apertura immediata (comma 2). Se si tratta di plichi o altri oggetti di corrispondenza per i quali è consentito il sequestro a norma dell'articolo 254, gli ufficiali di polizia giudiziaria, in caso di urgenza, ordinano a chi è preposto al servizio postale di sospendere l'inoltro. Se entro 48 ore dall'ordine della polizia giudiziaria il pubblico ministero non dispone il sequestro, gli oggetti di corrispondenza sono inoltrati (comma 3).

Il disegno di legge apporta due modifiche all’attuale formulazione dell’art. 353 c.p.p.:

- specifica, al comma 2, che in caso di urgenza possa ricevere telefonicamente l’autorizzazione del PM non solo all’apertura del plico ma anche all’”accertamento del contenuto”;

- specifica che le ipotesi di sospensione dell’inoltro degli oggetti di corrispondenza di cui al comma 3 si applica anche in riferimento a corrispondenza inoltrata per via informatica o telematica.

Il comma 3 aggiunge un periodo al primo comma dell’art. 354 c.p.p., in tema di sequestro e accertamenti urgenti sui luoghi, le cose e le persone.

L’articolo 354 c.p.p. afferma che tra i doveri primari della polizia giudiziaria vi è quello di curare la conservazione delle tracce e delle cose pertinenti al reato e di evitare che lo stato dei luoghi e delle cose venga mutato prima dell'intervento dell'autorità giudiziaria (comma 1). Ed in particolare, se vi è pericolo che le cose, le tracce o i luoghi suddetti si alterino, si disperdano o si modifichino e se il p.m. non può intervenire tempestivamente o non ha assunto ancora la direzione delle indagini, gli ufficiali di polizia giudiziaria compiono «i necessari accertamenti e rilevi sullo stato dei luoghi e delle cose» (comma 2); ricorrendo i medesimi presupposti, gli ufficiali di polizia giudiziaria possono compiere accertamenti e rilievi anche sulle persone, ma è loro precluso di procedere ad ispezione personale (comma 3).

Intervenendo sul comma 2 dell’articolo 354 c.p.p., il disegno di legge specifica che quando l’attività di accertamento ha ad oggetto informazioni, programmi o dati informatici, gli ufficiali di polizia giudiziaria devono attivarsi affinché questi non siano alterati prevedendo anche, ove possibile, la loro duplicazione.

L’articolo 9 del disegno di legge novella l’art. 132 del codice della privacy[14], relativo alla conservazione dei dati relativi al traffico telefonico e telematico da parte del fornitore del servizio, con finalità di accertamento e repressione dei reati.

L’articolo 132 del d. lgs n. 196 del 2003 dispone, in particolare, al comma 1, che i dati telefonici debbano essere conservati per 2 anni e i dati telematici per 6 mesi (nel rispetto di garanzie previste ai commi 5 e 6 dell’articolo 132). Durante tale periodo, i dati sono acquisiti presso il fornitore con decreto motivato del PM; peraltro, anche il difensore dell'imputato o della persona sottoposta alle indagini può richiedere, direttamente al fornitore, i dati relativi alle utenze intestate al proprio assistito (comma 3).

Se la repressione penale concerne delitti in danno di sistemi informatici o telematici o delitti particolarmente gravi (per i quali il codice di procedura consente una particolare durata delle indagini preliminari – ex art. 407, co. 2, lett. a) c.p.p.), i termini di 2 anni e di 6 mesi sono raddoppiati (comma 2) ed è il giudice ad autorizza l'acquisizione dei dati, con decreto motivato (comma 4).

Nei casi di urgenza è il PM a disporre l’acquisizione dei dati, con proprio decreto motivato, comunicato entro 24 ore al giudice competente per il rilascio dell'autorizzazione. Il giudice, entro 48 ore dal provvedimento, decide sulla convalida con decreto motivato. Se il decreto del pubblico ministero non è convalidato nel termine stabilito, i dati acquisiti non possono essere utilizzati (comma 4-bis).

Il disegno di legge inserisce tre ulteriori commi nell’art. 132 del codice della privacy, attraverso i quali dispone che:

- comma 4-ter. Il Ministro dell'interno o una serie di soggetti da lui delegati[15], possano ordinare, anche per rispondere a richieste provenienti da autorità straniere, ai fornitori e agli operatori di servizi informatici o telematici, di conservare e proteggere, per massimo 90 giorni (prorogabili a 6 mesi), i dati relativi al traffico telematico, esclusi comunque i contenuti delle comunicazioni, ai fini dello svolgimento delle investigazioni finalizzate alla prevenzione di delitti particolarmente gravi. La disposizione, infatti, richiamando gli articoli 226 delle disposizioni di attuazione del codice di procedura penale intende far riferimento ai delitti di terrorismo (art. 407, co. 2, lett. a), n. 4), associazione a delinquere, associazione mafiosa, associazione finalizzata al traffico di stupefacenti o al contrabbando, tratta di persone, sequestro di persona a scopo di estorsione (art. 51, co.3-bis). Peraltro, subito dopo, la disposizione aggiunge che la stessa conservazione dei dati deve essere effettuata con finalità di «accertamento e repressione di specifici reati».

- comma 4-quater. Il fornitore dovrà ottemperare alla richiesta, mantenendo il segreto relativamente all'ordine ricevuto e alle attività svolte. In caso di violazione dell'obbligo si applicano le sanzioni previste per la rivelazione del segreto d’ufficio (art. 326 c.p.).

- comma 4-quinquies. In ogni caso, il provvedimento adottato dal Ministro dell’Interno o da un suo delegato dovrà essere comunicato entro 48 ore al PM del luogo di esecuzione per la convalida. In assenza di convalida, i provvedimenti assunti perdono efficacia.

In relazione alla disposizione in esame andrebbe valutata l'opportunità di sostituire la convalida del Pubblico ministero con la convalida da parte dell'Autorità giudiziaria.

L’articolo 10, attraverso una modifica all’articolo 51 c.p.p., dispone per una serie di delitti elencati che le funzioni di pubblico ministero siano esercitate nelle indagini preliminari e nei procedimenti di primo grado, dai magistrati della procura della Repubblica presso il tribunale del capoluogo del distretto nel ci ambito ha sede il giudice competente.

Si tratta dei procedimenti per i seguenti delitti, consumati o tentati:

- art. 600, Riduzione o mantenimento in schiavitù o in servitù;

- art. 600-bis, Prostituzione minorile;

- art. 600-ter, Pornografia minorile;

- art. 600-quater, Detenzione di materiale pornografico;

- art. 600-quater1, Pornografia virtuale;

- art. 600-quinquies, Iniziative turistiche volte allo sfruttamento della prostituzione minorile;

- art. 615-ter, Accesso abusivo ad un sistema informatico o telematico;

- art. 615-quater, Detenzione e diffusione abusiva di codici di accesso ai sistemi informatici o telematici;

- art. 615-quinquies, Diffusione di apparecchiature, dispositivi o programmi informatici diretti a danneggiare o interrompere un sistema informatico o telematico (come modificato dal d.d.l. in commento);

- art. 617-bis, Installazione di apparecchiature atte ad intercettare od impedire comunicazioni o conversazioni telegrafiche o telefoniche;

- art. 617-ter, Falsificazione, alterazione o soppressione del contenuto di comunicazioni o conversazioni telegrafiche o telefoniche;

- art. 617-quater, Intercettazione, impedimento o interruzione illecita di comunicazioni informatiche o telematiche;

- art. 617-quinquies, Installazione di apparecchiature atte ad intercettare, impedire o interrompere comunicazioni informatiche o telematiche;

- art. 617-sexies, Falsificazione, alterazione o soppressione del contenuto di comunicazioni informatiche o telematiche;

- art. 635-bis, Danneggiamento di informazioni, dati e programmi informatici (come modificato dal d.d.l. in commento);

- art. 635-ter, Danneggiamento di informazioni, dati e programmi informatici utilizzati dallo Stato o da altro ente pubblico o comunque di pubblica utilità (come modificato dal d.d.l. in commento);

- art. 635-quater, Danneggiamento di sistemi informatici o telematici (come modificato dal d.d.l. in commento);

- art. 640-ter, Frode informatica;

- art. 640-quinquies, Truffa del certificatore di firma elettronica (come modificato dal d.d.l. in commento).

L’articolo 11 del disegno di legge individua l’autorità centrale richiesta dalla Convenzione per l’invio o la ricezione delle richieste di estradizione o di arresto provvisorio nel Ministro della giustizia (comma 1) e demanda al Ministro dell’interno, di concerto con il Ministro della giustizia, l’individuazione del punto di contatto per l’assistenza immediata (comma 2).

L’articolo 12 prevede che la legge entri in vigore il giorno successivo alla sua pubblicazione.

Testo a fronte

Normativa vigente	A.C. 2807

Codice penale

Art. 491-bis Documenti informatici	Art. 491-bis Documenti informatici
Se alcuna delle falsità previste dal presente capo riguarda un documento informatico pubblico o privato, si applicano le disposizioni del capo stesso concernenti rispettivamente gli atti pubblici e le scritture private. A tal fine per documento informatico si intende qualunque supporto informatico contenente dati o informazioni aventi efficacia probatoria o programmi specificamente destinati ad elaborarli.	Se alcuna delle falsità previste dal presente capo riguarda un documento informatico pubblico o privato, si applicano le disposizioni del capo stesso concernenti rispettivamente gli atti pubblici e le scritture private.


	Art. 495-bis Falsa dichiarazione o attestazione al certificatore sull'identità o su qualità personali proprie o di altri.
	Chiunque dichiara o attesta falsamente al certificatore l'identità o lo stato o altre qualità della propria o dell'altrui persona è punito con la reclusione fino ad un anno.


Art. 615-quinquies Diffusione di programmi diretti a danneggiare o interrompere un sistema informatico	Art. 615-quinquies Diffusione di apparecchiature, dispositivi o programmi informatici diretti a danneggiare o interrompere un sistema informatico o telematico
Chiunque diffonde, comunica o consegna un programma informatico da lui stesso o da altri redatto, avente per scopo o per effetto il danneggiamento di un sistema informatico o telematico, dei dati o dei programmi in esso contenuti o ad esso pertinenti, ovvero l'interruzione, totale o parziale, o l'alterazione del suo funzionamento, è punito con la reclusione sino a due anni e con la multa sino a euro 10.329.	Chiunque, al fine di procurare a sé o ad altri un profitto o di arrecare ad altri un danno, si procura, produce, riproduce importa, diffonde, comunica, consegna o, comunque, mette a disposizione di altri apparecchiature, dispositivi o programmi informatici aventi per scopo o per effetto il danneggiamento di un sistema informatico o telematico, delle informazioni, dei dati o dei programmi in esso contenuti o ad esso pertinenti, ovvero l'interruzione, totale o parziale, o l'alterazione del suo funzionamento, è punito con la reclusione fino a due anni e con la multa fino a euro 10.329.


Art. 635-bis Danneggiamento di sistemi informatici e telematici	Art. 635-bis Danneggiamento di informazioni, dati e programmi informatici
Chiunque distrugge, deteriora o rende, in tutto o in parte, inservibili sistemi informatici o telematici altrui, ovvero programmi, informazioni o dati altrui, è punito, salvo che il fatto costituisca più grave reato, con la reclusione da sei mesi a tre anni.	Salvo che il fatto costituisca più grave reato, chiunque distrugge, deteriora, cancella, altera o sopprime informazioni, dati o programmi informatici altrui è punito, a querela della persona offesa, con la reclusione da sei mesi a tre anni.
Se ricorre una o più delle circostanze di cui al secondo comma dell'articolo 635, ovvero se il fatto è commesso con abuso della qualità di operatore del sistema, la pena è della reclusione da uno a quattro anni.	Se ricorre una o più delle circostanze di cui al secondo comma dell'articolo 635, ovvero se il fatto è commesso con abuso della qualità di operatore del sistema, la pena è della reclusione da uno a quattro anni e si procede d'ufficio.


	Art. 635-ter Danneggiamento di informazioni, dati e programmi informatici utilizzati dallo Stato o da altro ente pubblico o comunque di pubblica utilità
	Salvo che il fatto costituisca più grave reato, chiunque distrugge, deteriora, cancella, altera o sopprime informazioni, dati o programmi informatici utilizzati dallo Stato o da altro ente pubblico, o comunque di pubblica utilità, è punito con la reclusione da uno a cinque anni.
	Se ricorre una o più delle circostanze di cui al secondo comma dell'articolo 635, ovvero se il fatto è commesso con abuso della qualità di operatore del sistema, la pena è della reclusione da due a sette anni.


	Art. 635-quater Danneggiamento di sistemi informatici o telematici
(v. in parte art. 635-bis, comma 1)	Salvo che il fatto costituisca più grave reato, chiunque, mediante le condotte di cui all'articolo 635-bis, ovvero attraverso l'introduzione o la trasmissione di dati, informazioni o programmi, rende, in tutto o in parte, inservibili sistemi informatici o telematici altrui o ne ostacola gravemente il funzionamento è punito con la reclusione da uno a cinque anni.
	Se ricorre una o più delle circostanze di cui al secondo comma dell'articolo 635, ovvero se il fatto è commesso con abuso della qualità di operatore del sistema, la pena è della reclusione da due a sette anni.


	Art. 640-quinquies Truffa del certificatore di firma elettronica
	Il certificatore che, violando gli obblighi previsti dall'articolo 32 del codice dell'amministrazione digitale, di cui al decreto legislativo 7 marzo 2005, n. 82, e successive modificazioni, per il rilascio di un certificato, procura a sé o ad altri un ingiusto profitto con altrui danno, è punito con la reclusione fino a tre anni o con la multa fino a 25.000 euro.


D.Lgs. 8 giugno 2001, n. 231 Disciplina della responsabilità amministrativa delle persone giuridiche, delle società e delle associazioni anche prive di personalità giuridica, a norma dell'articolo 11 della L. 29 settembre 2000, n. 300.

	Art. 25-septies Attentato ad impianti di pubblica utilità, delitti informatici e trattamento illecito di dati
	1. In relazione alla commissione dei delitti di cui agli articoli 420, 615-ter, 617-quater, 617-quinquies, 635-bis, 635-ter e 635-quater del codice penale, si applica all'ente la sanzione pecuniaria da cento a cinquecento quote. 2. In relazione alla commissione dei delitti di cui agli articoli 615-quater e 615-quinquies del codice penale, si applica all'ente la sanzione pecuniaria sino a trecento quote. 3. In relazione alla commissione dei delitti di cui agli articoli 491-bis e 640-quinquies del codice penale, salvo quanto previsto dall'articolo 24 per i casi di frode informatica in danno dello Stato o di altro ente pubblico, si applica all'ente la sanzione pecuniaria sino a quattrocento quote. 4. Nei casi di condanna per uno dei delitti indicati nel comma 1 si applicano le sanzioni interdittive previste dall'articolo 9, comma 2, lettere a), b) ed e). Nei casi di condanna per uno dei delitti indicati nel comma 2 si applicano le sanzioni interdittive previste dall'articolo 9, comma 2, lettere b) ed e). Nei casi di condanna per uno dei delitti indicati nel comma 3 si applicano le sanzioni interdittive previste dall'articolo 9, comma 2, lettere c), d) ed e).


Codice di procedura penale

Art. 51 Uffici del pubblico ministero. Attribuzioni del procuratore della Repubblica distrettuale	Art. 51 Uffici del pubblico ministero. Attribuzioni del procuratore della Repubblica distrettuale
1. Le funzioni di pubblico ministero sono esercitate: a) nelle indagini preliminari e nei procedimenti di primo grado, dai magistrati della procura della Repubblica presso il tribunale; b) nei giudizi di impugnazione dai magistrati della procura generale presso la corte di appello o presso la corte di cassazione.	1. Identico:
2. Nei casi di avocazione, le funzioni previste dal comma 1 lettera a) sono esercitate dai magistrati della procura generale presso la corte di appello. Nei casi di avocazione previsti dall'articolo 371-bis, sono esercitate dai magistrati della Direzione nazionale antimafia.	2. Identico.
3. Le funzioni previste dal comma 1 sono attribuite all'ufficio del pubblico ministero presso il giudice competente a norma del capo II del titolo I.	3. Identico.
3-bis. Quando si tratta dei procedimenti per i delitti, consumati o tentati, di cui agli articoli 416, sesto comma, 600, 601, 602, 416-bis e 630 del codice penale, per i delitti commessi avvalendosi delle condizioni previste dal predetto articolo 416-bis ovvero al fine di agevolare l'attività delle associazioni previste dallo stesso articolo, nonché per i delitti previsti dall'articolo 74 del testo unico approvato con decreto del Presidente della Repubblica 9 ottobre 1990, n. 309, e dall'articolo 291-quater del testo unico approvato con decreto del Presidente della Repubblica 23 gennaio 1973, n. 43 le funzioni indicate nel comma 1 lettera a) sono attribuite all'ufficio del pubblico ministero presso il tribunale del capoluogo del distretto nel cui ambito ha sede il giudice competente.	3-bis. Identico.
3-ter. Nei casi previsti dal comma 3-bis, se ne fa richiesta il procuratore distrettuale, il procuratore generale presso la corte di appello può, per giustificati motivi, disporre che le funzioni di pubblico ministero per il dibattimento siano esercitate da un magistrato designato dal procuratore della Repubblica presso il giudice competente.	3-ter. Identico.
3-quater. Quando si tratta di procedimenti per i delitti consumati o tentati con finalità di terrorismo le funzioni indicate nel comma 1, lettera a), sono attribuite all'ufficio del pubblico ministero presso il tribunale del capoluogo del distretto nel cui ambito ha sede il giudice competente. Si applicano le disposizioni del comma 3-ter.	3-quater. Identico.
	3-quinquies. Quando si tratta di procedimenti per i delitti, consumati o tentati, di cui agli articoli 600, 600-bis, 600-ter, 600-quater, 600-quater1, 600-quinquies, 615-ter, 615-quater, 615-quinquies, 617-bis, 617-ter, 617-quater, 617-quinquies, 617-sexies, 635-bis, 635-ter, 635-quater, 640-ter e 640-quinquies del codice penale, le funzioni indicate nel comma 1, lettera a), sono attribuite all'ufficio del pubblico ministero presso il tribunale del capoluogo del distretto nel cui ambito ha sede il giudice competente.


Art. 244 Casi e forme delle ispezioni	Art. 244 Casi e forme delle ispezioni
1. L'ispezione delle persone, dei luoghi e delle cose è disposta con decreto motivato quando occorre accertare le tracce e gli altri effetti materiali del reato.	1. Identico.
2. Se il reato non ha lasciato tracce o effetti materiali, o se questi sono scomparsi o sono stati cancellati o dispersi, alterati o rimossi, l'autorità giudiziaria descrive lo stato attuale e, in quanto possibile, verifica quello preesistente, curando anche di individuare modo, tempo e cause delle eventuali modificazioni. L'autorità giudiziaria può disporre rilievi segnaletici, descrittivi e fotografici e ogni altra operazione tecnica.	2. Se il reato non ha lasciato tracce o effetti materiali, o se questi sono scomparsi o sono stati cancellati o dispersi, alterati o rimossi, l'autorità giudiziaria descrive lo stato attuale e, in quanto possibile, verifica quello preesistente, curando anche di individuare modo, tempo e cause delle eventuali modificazioni. L'autorità giudiziaria può disporre rilievi segnaletici, descrittivi e fotografici e ogni altra operazione tecnica anche in relazione a sistemi informatici o telematici.


Art. 247 Casi e forme delle perquisizioni	Art. 247 Casi e forme delle perquisizioni
1. Quando vi è fondato motivo di ritenere che taluno occulti sulla persona il corpo del reato o cose pertinenti al reato, è disposta perquisizione personale. Quando vi è fondato motivo di ritenere che tali cose si trovino in un determinato luogo ovvero che in esso possa eseguirsi l'arresto dell'imputato o dell'evaso, è disposta perquisizione locale.	1. Identico.
	1-bis. Quando vi è fondato motivo di ritenere che dati, informazioni, programmi informatici o tracce comunque pertinenti al reato si trovino in un sistema informatico o telematico, ancorché protetto da misure di sicurezza, ne è disposta la perquisizione.
2. La perquisizione è disposta con decreto motivato.	2. Identico.
3. L'autorità giudiziaria può procedere personalmente ovvero disporre che l'atto sia compiuto da ufficiali di polizia giudiziaria delegati con lo stesso decreto.	3. Identico.


Art. 248 Richiesta di consegna	Art. 248 Richiesta di consegna
1. Se attraverso la perquisizione si ricerca una cosa determinata, l'autorità giudiziaria può invitare a consegnarla. Se la cosa è presentata, non si procede alla perquisizione, salvo che si ritenga utile procedervi per la completezza delle indagini.	1. Identico.
2. Per rintracciare le cose da sottoporre a sequestro o per accertare altre circostanze utili ai fini delle indagini, l'autorità giudiziaria o gli ufficiali di polizia giudiziaria da questa delegati possono esaminare atti, documenti e corrispondenza presso banche. In caso di rifiuto, l'autorità giudiziaria procede a perquisizione.	2. Per rintracciare le cose da sottoporre a sequestro o per accertare altre circostanze utili ai fini delle indagini, l'autorità giudiziaria o gli ufficiali di polizia giudiziaria da questa delegati possono esaminare presso banche atti, documenti e corrispondenza nonché dati, informazioni e programmi informatici. In caso di rifiuto, l'autorità giudiziaria procede a perquisizione.


Art. 254 Sequestro di corrispondenza	Art. 254 Sequestro di corrispondenza
1. Negli uffici postali o telegrafici è consentito procedere al sequestro di lettere, pieghi, pacchi, valori, telegrammi e altri oggetti di corrispondenza che l'autorità giudiziaria abbia fondato motivo di ritenere spediti dall'imputato o a lui diretti, anche sotto nome diverso o per mezzo di persona diversa o che comunque possono avere relazione con il reato.	1. Presso coloro che forniscono servizi postali, telegrafici, telematici o di telecomunicazioni è consentito procedere al sequestro di lettere, pieghi, pacchi, valori, telegrammi e altri oggetti di corrispondenza, anche se inoltrati per via telematica, che l'autorità giudiziaria abbia fondato motivo di ritenere spediti dall'imputato o a lui diretti, anche sotto nome diverso o per mezzo di persona diversa, o che comunque possono avere relazione con il reato.
2. Quando al sequestro procede un ufficiale di polizia giudiziaria, questi deve consegnare all'autorità giudiziaria gli oggetti di corrispondenza sequestrati, senza aprirli e senza prendere altrimenti conoscenza del loro contenuto.	2. Quando al sequestro procede un ufficiale di polizia giudiziaria, questi deve consegnare all'autorità giudiziaria gli oggetti di corrispondenza sequestrati, senza aprirli o alterarli e senza prendere altrimenti conoscenza del loro contenuto.
3. Le carte e gli altri documenti sequestrati che non rientrano fra la corrispondenza sequestrabile sono immediatamente restituiti all'avente diritto e non possono comunque essere utilizzati.	3. Identico.


	Art. 254-bis Sequestro di dati informatici presso fornitori di servizi informatici, telematici e di telecomunicazioni
	1. L'autorità giudiziaria, quando dispone il sequestro, presso i fornitori di servizi informatici, telematici o di telecomunicazioni, dei dati da questi detenuti, compresi quelli di traffico o di ubicazione, può stabilire, per esigenze legate alla regolare fornitura dei medesimi servizi, che la loro acquisizione avvenga mediante copia di essi su adeguato supporto, con una procedura che assicuri la conformità dei dati acquisiti a quelli originali e la loro immodificabilità. In questo caso è, comunque, ordinato al fornitore dei servizi di conservare e proteggere adeguatamente i dati originali.


Art. 256 Dovere di esibizione e segreti	Art. 256 Dovere di esibizione e segreti
1. Le persone indicate negli articoli 200 e 201 devono consegnare immediatamente all'autorità giudiziaria, che ne faccia richiesta, gli atti e i documenti, anche in originale se così è ordinato, e ogni altra cosa esistente presso di esse per ragioni del loro ufficio, incarico, ministero, professione o arte, salvo che dichiarino per iscritto che si tratti di segreto di Stato ovvero di segreto inerente al loro ufficio o professione.	1. Le persone indicate negli articoli 200 e 201 devono consegnare immediatamente all'autorità giudiziaria, che ne faccia richiesta, gli atti e i documenti, anche in originale se così è ordinato nonché i dati, le informazioni e i programmi informatici, anche mediante copia di essi su adeguato supporto, e ogni altra cosa esistente presso di esse per ragioni del loro ufficio, incarico, ministero, professione o arte, salvo che dichiarino per iscritto che si tratti di segreto di Stato ovvero di segreto inerente al loro ufficio o professione.
2. Quando la dichiarazione concerne un segreto di ufficio o professionale, l'autorità giudiziaria, se ha motivo di dubitare della fondatezza di essa e ritiene di non potere procedere senza acquisire gli atti, i documenti o le cose indicati nel comma 1, provvede agli accertamenti necessari. Se la dichiarazione risulta infondata, l'autorità giudiziaria dispone il sequestro.	2. Identico.
3. Quando la dichiarazione concerne un segreto di Stato, l'autorità giudiziaria ne informa il Presidente del Consiglio dei Ministri, chiedendo che ne sia data conferma. Qualora il segreto sia confermato e la prova sia essenziale per la definizione del processo, il giudice dichiara non doversi procedere per l'esistenza di un segreto di Stato.	3. Identico.
4. Qualora, entro sessanta giorni dalla notificazione della richiesta, il Presidente del Consiglio dei Ministri non dia conferma del segreto, l'autorità giudiziaria dispone il sequestro.	4. Identico.
5. Si applica la disposizione dell'articolo 204.	5. Identico.


Art. 259 Custodia delle cose sequestrate	Art. 259 Custodia delle cose sequestrate
1. Le cose sequestrate sono affidate in custodia alla cancelleria o alla segreteria. Quando ciò non è possibile o non è opportuno, l'autorità giudiziaria dispone che la custodia avvenga in luogo diverso, determinandone il modo e nominando un altro custode, idoneo a norma dell'articolo 120.	1. Identico.
2. All'atto della consegna, il custode è avvertito dell'obbligo di conservare e di presentare le cose a ogni richiesta dell'autorità giudiziaria nonché delle pene previste dalla legge penale per chi trasgredisce ai doveri della custodia. Al custode può essere imposta una cauzione. Dell'avvenuta consegna, dell'avvertimento dato e della cauzione imposta è fatta menzione nel verbale. La cauzione è ricevuta, con separato verbale, nella cancelleria o nella segreteria.	2. All'atto della consegna, il custode è avvertito dell'obbligo di conservare e di presentare le cose a ogni richiesta dell'autorità giudiziaria nonché delle pene previste dalla legge penale per chi trasgredisce ai doveri della custodia. Quando la custodia riguarda dati, informazioni o programmi informatici, il custode è altresì avvertito dell'obbligo di impedirne l'alterazione o l'accesso da parte di terzi, salva, in quest'ultimo caso, diversa disposizione dell'autorità giudiziaria. Al custode può essere imposta una cauzione. Dell'avvenuta consegna, dell'avvertimento dato e della cauzione imposta è fatta menzione nel verbale. La cauzione è ricevuta, con separato verbale, nella cancelleria o nella segreteria.


Art. 260 Apposizione dei sigilli alle cose sequestrate. Cose deperibili	Art. 260 Apposizione dei sigilli alle cose sequestrate. Cose deperibili
1. Le cose sequestrate si assicurano con il sigillo dell'ufficio giudiziario e con le sottoscrizioni dell'autorità giudiziaria e dell'ausiliario che la assiste ovvero, in relazione alla natura delle cose, con altro mezzo idoneo a indicare il vincolo imposto a fini di giustizia.	1. Le cose sequestrate si assicurano con il sigillo dell'ufficio giudiziario e con le sottoscrizioni dell'autorità giudiziaria e dell'ausiliario che la assiste ovvero, in relazione alla natura delle cose, con altro mezzo, anche di carattere elettronico o informatico, idoneo a indicare il vincolo imposto a fini di giustizia.
2. L'autorità giudiziaria fa estrarre copia dei documenti e fa eseguire fotografie o altre riproduzioni delle cose sequestrate che possono alterarsi o che sono di difficile custodia, le unisce agli atti e fa custodire in cancelleria o segreteria gli originali dei documenti, disponendo, quanto alle cose, in conformità dell'articolo 259.	2. L'autorità giudiziaria fa estrarre copia dei documenti e fa eseguire fotografie o altre riproduzioni delle cose sequestrate che possono alterarsi o che sono di difficile custodia, le unisce agli atti e fa custodire in cancelleria o segreteria gli originali dei documenti, disponendo, quanto alle cose, in conformità dell'articolo 259. Quando si tratta di dati, di informazioni o di programmi informatici, la copia deve essere realizzata su adeguati supporti, mediante procedura che assicuri la conformità della copia all'originale e la sua immodificabilità; in tali casi, la custodia degli originali può essere disposta anche in luoghi diversi dalla cancelleria o dalla segreteria.
3. Se si tratta di cose che possono alterarsi, l'autorità giudiziaria ne ordina, secondo i casi, l'alienazione o la distruzione.	3. Identico.


Art. 352 Perquisizioni	Art. 352 Perquisizioni
1. Nella flagranza del reato o nel caso di evasione, gli ufficiali di polizia giudiziaria procedono a perquisizione personale o locale quando hanno fondato motivo di ritenere che sulla persona si trovino occultate cose o tracce pertinenti al reato che possono essere cancellate o disperse ovvero che tali cose o tracce si trovino in un determinato luogo o che ivi si trovi la persona sottoposta alle indagini o l'evaso.	1. Identico.
	1-bis. Nella flagranza del reato, ovvero nei casi di cui al comma 2 quando sussistono i presupposti e le altre condizioni ivi previsti, gli ufficiali di polizia giudiziaria procedono altresì alla perquisizione di sistemi informatici o telematici, ancorché protetti da misure di sicurezza, quando hanno fondato motivo di ritenere che in questi si trovino occultati dati, informazioni, programmi informatici o tracce comunque pertinenti al reato che possono essere cancellati o dispersi.
2. Quando si deve procedere alla esecuzione di un'ordinanza che dispone la custodia cautelare o di un ordine che dispone la carcerazione nei confronti di persona imputata o condannata per uno dei delitti previsti dall'articolo 380 ovvero al fermo di una persona indiziata di delitto, gli ufficiali di polizia giudiziaria possono altresì procedere a perquisizione personale o locale se ricorrono i presupposti indicati nel comma 1 e sussistono particolari motivi di urgenza che non consentono la emissione di un tempestivo decreto di perquisizione.	2. Identico.
3. La perquisizione domiciliare può essere eseguita anche fuori dei limiti temporali dell'articolo 251 quando il ritardo potrebbe pregiudicarne l'esito.	3. Identico.
4. La polizia giudiziaria trasmette senza ritardo, e comunque non oltre le quarantotto ore, al pubblico ministero del luogo dove la perquisizione è stata eseguita il verbale delle operazioni compiute. Il pubblico ministero, se ne ricorrono i presupposti, nelle quarantotto ore successive, convalida la perquisizione.	4. Identico.


Art. 353 Acquisizione di plichi o di corrispondenza	Art. 353 Acquisizione di plichi o di corrispondenza
1. Quando vi è necessità di acquisire plichi sigillati o altrimenti chiusi, l'ufficiale di polizia giudiziaria li trasmette intatti al pubblico ministero per l'eventuale sequestro.	1. Identico.
2. Se ha fondato motivo di ritenere che i plichi contengano notizie utili alla ricerca e all'assicurazione di fonti di prova che potrebbero andare disperse a causa del ritardo, l'ufficiale di polizia giudiziaria informa col mezzo più rapido il pubblico ministero il quale può autorizzarne l'apertura immediata.	2. Se ha fondato motivo di ritenere che i plichi contengano notizie utili alla ricerca e all'assicurazione di fonti di prova che potrebbero andare disperse a causa del ritardo, l'ufficiale di polizia giudiziaria informa col mezzo più rapido il pubblico ministero il quale può autorizzarne l'apertura immediata e l’accertamento del contenuto.
3. Se si tratta di lettere, pieghi, pacchi, valori, telegrammi o altri oggetti di corrispondenza per i quali è consentito il sequestro a norma dell'articolo 254, gli ufficiali di polizia giudiziaria, in caso di urgenza, ordinano a chi è preposto al servizio postale di sospendere l'inoltro. Se entro quarantotto ore dall'ordine della polizia giudiziaria il pubblico ministero non dispone il sequestro, gli oggetti di corrispondenza sono inoltrati.	3. Se si tratta di lettere, pieghi, pacchi, valori, telegrammi o altri oggetti di corrispondenza, anche se in forma elettronica o se inoltrati per via telematica, per i quali è consentito il sequestro a norma dell'articolo 254, gli ufficiali di polizia giudiziaria, in caso di urgenza, ordinano a chi è preposto al servizio postale, telegrafico, telematico o di telecomunicazione di sospendere l'inoltro. Se entro quarantotto ore dall'ordine della polizia giudiziaria il pubblico ministero non dispone il sequestro, gli oggetti di corrispondenza sono inoltrati.


Art. 354 Accertamenti urgenti sui luoghi, sulle cose e sulle persone. Sequestro	Art. 354 Accertamenti urgenti sui luoghi, sulle cose e sulle persone. Sequestro
1. Gli ufficiali e gli agenti di polizia giudiziaria curano che le tracce e le cose pertinenti al reato siano conservate e che lo stato dei luoghi e delle cose non venga mutato prima dell'intervento del pubblico ministero.	1. Identico.
2. Se vi è pericolo che le cose, le tracce e i luoghi indicati nel comma 1 si alterino o si disperdano o comunque si modifichino e il pubblico ministero non può intervenire tempestivamente, ovvero non ha ancora assunto la direzione delle indagini, gli ufficiali di polizia giudiziaria compiono i necessari accertamenti e rilievi sullo stato dei luoghi e delle cose. Se del caso, sequestrano il corpo del reato e le cose a questo pertinenti.	2. Se vi è pericolo che le cose, le tracce e i luoghi indicati nel comma 1 si alterino o si disperdano o comunque si modifichino e il pubblico ministero non può intervenire tempestivamente, ovvero non ha ancora assunto la direzione delle indagini, gli ufficiali di polizia giudiziaria compiono i necessari accertamenti e rilievi sullo stato dei luoghi e delle cose. In relazione ai dati, alle informazioni e ai programmi informatici o ai sistemi informatici o telematici, gli ufficiali della polizia giudiziaria adottano, altresì, le misure tecniche o impartiscono le prescrizioni necessarie ad assicurarne la conservazione e ad impedirne l'alterazione e l'accesso e provvedono, ove possibile, alla loro immediata duplicazione su adeguati supporti, mediante una procedura che assicuri la conformità della copia all'originale e la sua immodificabilità. Se del caso, sequestrano il corpo del reato e le cose a questo pertinenti.
3. Se ricorrono i presupposti previsti dal comma 2, gli ufficiali di polizia giudiziaria compiono i necessari accertamenti e rilievi sulle persone diversi dalla ispezione personale. Se gli accertamenti comportano il prelievo di materiale biologico, si osservano le disposizioni del comma 2-bis dell'articolo 349.	3. Identico.


D.Lgs. 30 giugno 2003, n. 196 Codice in materia di protezione dei dati personali
Art. 132 Conservazione di dati di traffico per altre finalità	Art. 132 Conservazione di dati di traffico per altre finalità
1. Fermo restando quanto previsto dall'articolo 123, comma 2, i dati relativi al traffico telefonico, inclusi quelli concernenti le chiamate senza risposta, sono conservati dal fornitore per ventiquattro mesi, per finalità di accertamento e repressione dei reati, mentre, per le medesime finalità, i dati relativi al traffico telematico, esclusi comunque i contenuti delle comunicazioni, sono conservati dal fornitore per sei mesi.	1. Identico
2. Decorso il termine di cui al comma 1, i dati relativi al traffico telefonico, inclusi quelli concernenti le chiamate senza risposta, sono conservati dal fornitore per ulteriori ventiquattro mesi e quelli relativi al traffico telematico, esclusi comunque i contenuti delle comunicazioni, sono conservati per ulteriori sei mesi per esclusive finalità di accertamento e repressione dei delitti di cui all'articolo 407, comma 2, lettera a) del codice di procedura penale, nonché dei delitti in danno di sistemi informatici o telematici.	2. Identico.
3. Entro il termine di cui al comma 1, i dati sono acquisiti presso il fornitore con decreto motivato del pubblico ministero anche su istanza del difensore dell'imputato, della persona sottoposta alle indagini, della persona offesa e delle altre parti private. Il difensore dell'imputato o della persona sottoposta alle indagini può richiedere, direttamente al fornitore i dati relativi alle utenze intestate al proprio assistito con le modalità indicate dall'articolo 391-quater del codice di procedura penale, ferme restando le condizioni di cui all'articolo 8, comma 2, lettera f), per il traffico entrante.	3. Identico.
4. Dopo la scadenza del termine indicato al comma 1, il giudice autorizza l'acquisizione dei dati, con decreto motivato, se ritiene che sussistano sufficienti indizi dei delitti di cui all'articolo 407, comma 2, lettera a), del codice di procedura penale, nonché dei delitti in danno di sistemi informatici o telematici.	4. Identico.
4-bis. Nei casi di urgenza, quando vi è fondato motivo di ritenere che dal ritardo possa derivare grave pregiudizio alle indagini, il pubblico ministero dispone la acquisizione dei dati relativi al traffico telefonico con decreto motivato che è comunicato immediatamente, e comunque non oltre ventiquattro ore, al giudice competente per il rilascio dell'autorizzazione in via ordinaria. Il giudice, entro quarantotto ore dal provvedimento, decide sulla convalida con decreto motivato. Se il decreto del pubblico ministero non è convalidato nel termine stabilito, i dati acquisiti non possono essere utilizzati.	4-bis. Identico.
	4-ter. Il Ministro dell'interno o, su sua delega, i responsabili degli uffici centrali specialistici in materia informatica o telematica della Polizia di Stato, dell'Arma dei carabinieri e del Corpo della guardia di finanza, nonché gli altri soggetti indicati nel comma 1 dell'articolo 226 delle norme di attuazione, di coordinamento e transitorie del codice di procedura penale, di cui al decreto legislativo 28 luglio 1989, n. 271, possono ordinare, anche in relazione alle eventuali richieste avanzate da autorità investigative straniere, ai fornitori e agli operatori di servizi informatici o telematici di conservare e proteggere, secondo le modalità indicate e per un periodo non superiore a novanta giorni, i dati relativi al traffico telematico, esclusi comunque i contenuti delle comunicazioni, ai fini dello svolgimento delle investigazioni preventive di cui al citato articolo 226 del decreto legislativo n. 271 del 1989, ovvero per finalità di accertamento e repressione di specifici reati. Il provvedimento, prorogabile, per motivate esigenze, per una durata complessiva non superiore a sei mesi, può prevedere particolari modalità di custodia dei dati e l'eventuale indisponibilità dei dati stessi da parte dei fornitori e degli operatori di servizi informatici o telematici ovvero di terzi.
	4-quater. Il fornitore o l'operatore di servizi informatici o telematici cui è rivolto l'ordine previsto dal comma 4-ter deve ottemperarvi senza ritardo, fornendo immediatamente all'autorità richiedente l'assicurazione dell'adempimento. Il fornitore o l'operatore di servizi informatici o telematici è tenuto a mantenere il segreto relativamente all'ordine ricevuto e alle attività conseguentemente svolte per il periodo indicato dall'autorità. In caso di violazione dell'obbligo si applicano, salvo che il fatto costituisca un più grave reato, le disposizioni dell'articolo 326 del codice penale.
	4-quinquies. I provvedimenti adottati ai sensi del comma 4-ter sono comunicati per iscritto, senza ritardo e comunque entro quarantotto ore dalla notifica al destinatario, al pubblico ministero del luogo di esecuzione il quale, se ne ricorrono i presupposti, li convalida. In caso di mancata convalida, i provvedimenti assunti perdono efficacia.
5. Il trattamento dei dati per le finalità di cui ai commi 1 e 2 è effettuato nel rispetto delle misure e degli accorgimenti a garanzia dell'interessato prescritti ai sensi dell'articolo 17, volti anche a: a) prevedere in ogni caso specifici sistemi di autenticazione informatica e di autorizzazione degli incaricati del trattamento di cui all'allegato B); b) disciplinare le modalità di conservazione separata dei dati una volta decorso il termine di cui al comma 1; c) individuare le modalità di trattamento dei dati da parte di specifici incaricati del trattamento in modo tale che, decorso il termine di cui al comma 1, l'utilizzazione dei dati sia consentita solo nei casi di cui al comma 4 e all'articolo 7; d) indicare le modalità tecniche per la periodica distruzione dei dati, decorsi i termini di cui ai commi 1 e 2.	5. Identico.
6. Le modalità di trattamento dei dati di cui al comma 5 sono individuate con decreto del Ministro della giustizia, di concerto con il Ministro dell'interno, con il Ministro delle comunicazioni e con il Ministro per l'innovazione e le tecnologie, su conforme parere del Garante.	6. Identico.

Onorevoli Deputati! - La criminalità informatica nei suoi aspetti sociali e giuridici attira, ormai da molti anni, oltre che l'attenzione dei mezzi d'informazione, quella dei criminologi e della dottrina giuridica, in particolare dei cultori del cosiddetto diritto penale dell'informatica.

In prosieguo di tempo, sulla scia dell'espandersi della società dell'informazione, anche le organizzazioni internazionali

e i governi nazionali hanno cominciato ad occuparsi del fenomeno.

Pioniere in questo settore è stato, certamente, il Consiglio d'Europa, con due fondamentali raccomandazioni, la n. R(89)9 sulla criminalità correlata all'elaboratore e la n. R(95)13 sui profili di procedura penale collegati alle tecnologie dell'informazione.

Il sempre più frequente ricorso alle tecnologie informatiche da parte della criminalità organizzata ha, infatti, convinto i governi nazionali ad attuare una stretta cooperazione giudiziaria a livello internazionale, fondata anche sull'armonizzazione delle normative nazionali.

Proprio la consapevolezza della necessità di una lotta a livello internazionale contro la criminalità informatica è stata alla base della decisione del Consiglio d'Europa di costituire un Comitato di esperti che, in circa quattro anni di lavoro, ha elaborato la Convenzione per la lotta contro la criminalità informatica, aperta alla firma a Budapest il 23 novembre 2001 ed entrata in vigore il 1^o luglio 2004.

La successiva attività della Commissione interministeriale incaricata di redigere il presente disegno di legge si è, peraltro, informata, nella redazione delle nuove norme, oltre che alle esigenze di tutela indicate nella Convenzione, all'attenta considerazione del rispetto dei diritti umani e del principio di proporzionalità, in conformità alle indicazioni contenute nell'articolo 15 della stessa Convenzione.

In particolare, nella redazione del disegno di legge in esame si è inteso salvaguardare il rispetto del principio di proporzionalità che, come più volte ribadito dalla Corte costituzionale, in applicazione del «principio di uguaglianza, di cui all'articolo 3, primo comma, della Costituzione, esige che la pena sia proporzionata al disvalore del fatto illecito commesso, in modo che il sistema sanzionatorio adempia nel contempo alla funzione di difesa sociale e a quella di tutela delle posizioni individuali». Ciò nella precisa consapevolezza della rilevanza dei valori tutelati e della necessità di evitare di configurare incriminazioni caratterizzate da livelli sanzionatori tali che, anche se presumibilmente idonei a realizzare le finalità statuali di prevenzione, avrebbero potuto cagionare all'individuo e alla società danni sproporzionatamente maggiori dei vantaggi ottenuti con la tutela dei beni e valori offesi dalle predette incriminazioni. Si è inteso così operare in perfetta adesione alla rilevanza del principio di proporzionalità che costituisce, nella ricostruzione effettuata dalla Corte costituzionale, uno dei parametri fondamentali per l'esercizio della potestà legislativa nella predeterminazione delle pene.

Si avverte, infine, che dal provvedimento in esame non derivano nuovi o maggiori oneri a carico del bilancio dello Stato e, pertanto, non si rende necessaria la prescritta relazione tecnica, ai sensi del comma 2 dell'articolo 11-ter della legge n. 468 del 1978, e successive modificazioni.

Cenni generali sul contenuto della convenzione.

La Convenzione di Budapest sulla criminalità informatica è articolata in quattro capitoli (definizioni, misure da adottare a livello nazionale in tema di diritto sostanziale e processuale, cooperazione internazionale, clausole finali).

In particolare, la Convenzione prevede un certo numero di misure normative di diritto penale sostanziale che le parti devono adottare a livello nazionale, indicate negli articoli da 2 a 11.

Si tratta dell'accesso illegale, intenzionale e senza diritto, a tutto o a parte di un sistema informatico (articolo 2); delle intercettazioni illegali e cioè delle intercettazioni di dati informatici, intenzionali e illecite, effettuate, attraverso mezzi tecnici, durante trasmissioni non pubbliche (articolo 3); dell'attentato all'integrità dei dati (danneggiamento, cancellazione, deterioramento, alterazione e soppressione dei dati informatici) fatto intenzionalmente e senza autorizzazione (articolo 4); dell'attentato all'integrità dei sistemi, concretantesi

in un impedimento grave al funzionamento di un sistema informatico, effettuato intenzionalmente e senza diritto mediante il danneggiamento, la cancellazione il deterioramento, l'alterazione e la soppressione dei dati informatici (articolo 5); dell'abuso intenzionale e senza autorizzazione di dispositivi (e cioè la produzione, la vendita, l'ottenimento per l'uso, l'importazione, la diffusione e altra forma di messa a disposizione), compresi i programmi informatici, specialmente concepiti per permettere la commissione dei delitti sopraccitati, nonché di parole chiave (password) o di codici di accesso o di sistemi analoghi che consentano di accedere a tutto o a parte di un sistema informatico (articolo 6).

Questa ultima disposizione reprime anche il semplice possesso di uno dei dispositivi o mezzi sopraccitati, purché sussista l'intenzione di usarlo al fine di commettere uno dei reati più innanzi indicati.

È da tener presente, peraltro, che il testo dell'articolo 4 (attentato all'integrità dei dati) prevede la possibilità per le Parti di subordinare la punibilità del detto comportamento alla produzione di seri danni. La Convenzione prevede, inoltre, all'articolo 7 la repressione delle falsificazioni informatiche, e cioè l'introduzione, l'alterazione, la cancellazione, la soppressione intenzionale e senza diritto di dati informatici non autentici con l'intenzione che essi siano usati ai fini legali come se fossero autentici.

È prevista anche la repressione della frode informatica, e cioè il fatto di causare intenzionalmente e senza diritto un pregiudizio patrimoniale ad altri (articolo 8).

Altra importante infrazione prevista dalla Convenzione è quella relativa alla produzione, intenzionale e illecita, mediante un sistema informatico, di materiale pornografico minorile, nonché l'offerta o la messa a disposizione, la diffusione o la trasmissione ovvero il procacciamento per sé o altri o il possesso di siffatto materiale (articolo 9).

La Convenzione prevede, poi, l'infrazione legata agli attentati alla proprietà intellettuale e ai delitti commessi deliberatamente a livello commerciale mediante sistemi informatici (articolo 10).

Per tutti i tipi di reati sopraccitati, tranne quelli previsti dall'articolo 2, dall'articolo 6, dall'articolo 9, paragrafo 1, lettere b, d) ed e), è prevista anche la repressione del tentativo; infine sono previste la punibilità del concorso nel reato e la responsabilità (penale, civile o amministrativa) delle persone giuridiche, quando detti reati siano commessi da una persona fisica esercitante poteri direttivi nel loro ambito (articoli 11 e 12). Nella Convenzione è stabilito, inoltre, che le sanzioni da adottare da parte degli Stati devono essere effettive, proporzionate, dissuasive e comprendenti anche pene detentive (articolo 13).

La seconda parte della Convenzione (articoli da 16 a 22) contiene le misure procedurali che riguardano il perseguimento dei reati dianzi citati, cioè la comunicazione rapida dei dati immagazzinati, compresi quelli relativi al traffico, e la loro pubblicazione, l'ordine di esibizione, la perquisizione e il sequestro dei dati informatici, la raccolta dei dati di traffico in tempo reale, l'intercettazione del contenuto dei dati e infine le misure giurisdizionali.

La terza e quarta parte della Convenzione prevedono, infine, le norme di coordinamento in tema di cooperazione internazionale e le clausole finali. Il capitolo relativo alla cooperazione internazionale enunzia le disposizioni relative all'estradizione (articolo 24), all'assistenza giudiziaria (articolo 25), all'informazione spontanea (articolo 26), alla procedura relativa alla domanda di assistenza in assenza di accordi internazionali applicabili (articolo 27); regola inoltre la riservatezza delle informazioni e le restrizioni nella loro utilizzazione (articolo 28), l'assistenza in materia di misure provvisorie (articolo 29), la divulgazione rapida dei dati conservati (articolo 30), l'assistenza concernente l'accesso ai dati immagazzinati (articolo 31), l'accesso transfrontaliero ai dati immagazzinati con il consenso o accessibili al pubblico (articolo 32), l'assistenza nella raccolta dei dati relativi al traffico in

tempo reale (articolo 33), l'assistenza in materia di intercettazione dei dati relativi al contenuto (articolo 34), l'istituzione di punti di contatto attivi ininterrottamente, costituenti la rete 24/7 (articolo 35).

Per concludere è da dire che i tre princìpi fondamentali relativi alla cooperazione internazionale vengono fissati dall'articolo 23. In primo luogo, le Parti devono cooperare le une con le altre nella misura più ampia possibile; in secondo luogo, la cooperazione deve estendersi a tutte le infrazioni penali legate a sistemi o dati informatici, così come alla raccolta delle prove sotto forma elettronica; in terzo luogo, la cooperazione deve tener conto dell'applicazione dei pertinenti strumenti internazionali relativi alla cooperazione internazionale in materia penale e agli accordi fondati su legislazioni uniformi o reciproche e del loro diritto nazionale.

Il capitolo IV della Convenzione prevede, come detto, le clausole finali relative alla firma, all'entrata in vigore - occorre la ratifica di almeno cinque Stati, dei quali almeno tre facenti parte del Consiglio d'Europa - (articolo 36), alle modalità di adesione alla Convenzione (articolo 37), all'applicazione territoriale (articolo 38), agli effetti della Convenzione (articolo 39). A questo proposito l'articolo in questione precisa che oggetto della Convenzione è quello di completare i trattati o gli accordi multilaterali o bilaterali applicabili tra le Parti, prevedendo che, in ogni caso, laddove le Parti stabiliscano le loro relazioni concernenti la materia oggetto della Convenzione in modo differente da quello in essa prevista, esse lo dovranno fare in modo non incompatibile con gli obblighi e i princìpi della Convenzione medesima.

Il successivo articolo (articolo 40) prevede le dichiarazioni che le Parti possono fare al momento della firma o del deposito della ratifica o in relazione ad eventuali clausole supplementari quali quelle previste dagli articoli 2, 3, 6, paragrafo 1, lettera b), 7, 9, paragrafo 3, 27, paragrafo 9, lettera c). Gli articoli successivi prevedono la cosiddetta clausola federale (diretta appunto agli Stati federali), la possibilità delle riserve già indicate dai precedenti articoli (articolo 42), la regolamentazione o il ritiro delle riserve (articolo 43), gli emendamenti (articolo 44), il regolamento delle eventuali controversie (articolo 45), le modalità della consultazione periodica delle Parti al fine di facilitare l'uso e la messa in opera della Convenzione e di scambiare informazioni sulle novità politiche, giuridiche o tecniche nel settore della criminalità informatica e nella raccolta delle prove elettroniche (articolo 46), la denuncia della Convenzione (articolo 47) e infine le forme della notificazione da parte del Segretario generale del Consiglio d'Europa (articolo 48).

Misure di diritto sostanziale.

Preliminarmente, deve essere sottolineato come l'Italia sia stato uno dei primi Paesi europei ad introdurre una legge organica, la legge 23 dicembre 1993, n. 547, in tema di delitti informatici.

Successivamente a questa sono entrate in vigore altre leggi, relative a specifici settori, volte a reprimere i comportamenti illeciti di pirateria informatica (legge 18 agosto 2000, n. 248, che ha modificato le disposizioni in materia della legge 22 aprile 1941, n. 633, introdotte dal decreto legislativo 29 dicembre 1992, n. 518), a garantire la protezione dei dati personali (legge 31 dicembre 1996, n. 675, e successive modificazioni), a contrastare la detenzione, lo scambio e il commercio di materiale pedopornografico in rete (legge 3 agosto 1998, n. 269) e ad estendere ai fenomeni di pedopornografia virtuale l'ambito di applicazione delle norme incriminatici introdotte dalla legge n. 269 del 1998 (legge 6 febbraio 2006, n. 38).

Alla luce di ciò, la portata dell'adeguamento normativo da realizzare, per l'esecuzione della Convenzione, nel settore del diritto penale sostanziale è risultata modesta, essendo, in molti casi, già in vigore una disciplina esaustiva, addirittura più incisiva di quella richiesta dalle disposizioni della Convenzione medesima.

Si è, comunque, ritenuto opportuno procedere all'integrazione o alla modifica di alcune disposizioni del codice penale, per considerazioni legate, da un lato, all'esigenza di una migliore collocazione sistematica, dall'altro, all'insorgere di nuove problematiche, che avevano determinato l'inadeguatezza delle originarie forme di tutela.

In quest'ottica deve essere valutata la decisione di modificare il testo dell'articolo 635-bis del codice penale, introducendo, contestualmente, gli articoli 635-ter e 635-quater. Ciò risponde sia ad un'esigenza di simmetria rispetto alla sistematica della Convenzione, che distingue nettamente il danneggiamento dell'integrità dei dati dal danneggiamento dell'integrità del sistema e disciplina le due ipotesi in distinti articoli (4 e 5), sia all'opportunità di introdurre una disciplina penale differenziata a seconda che l'oggetto della tutela (informazioni, dati e programmi informatici) abbia, o meno, rilevanza a fini pubblicistici.

Nella stessa prospettiva minimalista, si è deciso di conservare per i reati di falso l'impostazione accolta dal legislatore del 1993 che, attraverso l'equiparazione del documento informatico agli atti pubblici e alle scritture private, aveva permesso di estendere le tradizionali ipotesi di reato ai casi in cui ne fosse oggetto un documento informatico.

Peraltro, in considerazione della sopravvenuta inadeguatezza della definizione di documento informatico, inteso come «supporto informatico contenente dati o informazioni aventi efficacia probatoria o programmi destinati ad elaborarli», si è deciso di accogliere, anche ai fini penali, la più ampia e corretta nozione di documento informatico, già contenuta nel regolamento di cui al decreto del Presidente della Repubblica 10 novembre 1997, n. 513, come «rappresentazione informatica di atti, fatti o dati giuridicamente rilevanti», abrogando il secondo periodo dell'articolo 491-bis del codice penale.

In questa stessa prospettiva è sembrata opportuna anche l'introduzione dell'articolo 495-bis del codice penale, volto a sanzionare penalmente chi renda al certificatore false dichiarazioni o attestazioni, concernenti l'identità o lo stato o altre qualità della propria o dell'altrui persona.

Il disegno di legge introduce inoltre una nuova figura di truffa che ha come soggetto attivo il certificatore di firma elettronica il quale, violando gli obblighi previsti all'articolo 32 del codice dell'amministrazione digitale, di cui al decreto legislativo 7 marzo 2005, n. 82, procuri a sé o ad altri un ingiusto profitto con altrui danno. La disposizione è apparsa necessaria in quanto, sebbene l'articolo 640-ter del codice penale incrimini già la frode informatica, per la ricorrenza di questo specifico reato appaiono necessarie condotte di alterazione del funzionamento di un sistema informatico ovvero di intervento senza diritto su dati, informazioni o programmi, che potrebbero non ricorrere nel caso dell'attività di certificazione. Peraltro, la nuova incriminazione appare incentrata non solo sulla semplice violazione degli obblighi del certificatore qualificato e accreditato [già sanzionata civilmente dalla lettera d) del comma 1 dell'articolo 30 del citato codice dell'amministrazione digitale], ma anche sulla effettiva ricorrenza di un ingiusto profitto con altrui danno.

Altro elemento significativo per il presente disegno di legge è rappresentato dall'ampliamento, ai fini penali, della nozione di pornografia infantile e dalla ricomprensione, nell'ambito della stessa, del materiale pornografico che ritragga o rappresenti persone con sembianze di minori, come soggetti efebici o comunque di aspetto adolescenziale, nonché realistiche immagini virtuali di minori. Secondo la Convenzione, infatti, devono essere penalmente sanzionati anche il possesso, la produzione, la distribuzione e la divulgazione di tali immagini, potendo queste, che pure non rappresentano soggetti reali o comunque minori di età, essere utilizzate per incitare a compiere o a partecipare ad attività vietate dalla legge.

Tale disposizione ha già trovato attuazione, peraltro, a seguito dell'introduzione

nel nostro ordinamento dell'articolo 600-quater del codice penale, introdotto dall'articolo 4 della legge 6 febbraio 2006, n. 38.

Le modifiche interessanti l'articolo 615-quinquies del codice penale sono state motivate, invece, dall'esigenza di adeguare perfettamente alle disposizioni della Convenzione il dettato di tale norma. In particolare, all'estensione della portata della norma sotto il profilo oggettivo ha fatto riscontro la riformulazione dell'elemento soggettivo richiesto nei termini del dolo specifico.

Infine, l'introduzione dell'articolo 25-septies del decreto legislativo 8 giugno 2001, n. 231, risponde all'esigenza di introdurre forme di responsabilità penale per le persone giuridiche anche con riferimento ai reati informatici più gravi.

Misure di diritto processuale.

In relazione ai reati previsti dagli articoli da 2 a 11 e ad ogni altro reato commesso per mezzo di sistemi informatici, nonché ai fini della raccolta di prove elettroniche in ordine a qualunque tipo di reato, la Convenzione richiede, sul piano procedurale, che ciascuna Parte aderente disponga all'interno del proprio ordinamento:

di misure coattive per la conservazione rapida - per un periodo di tempo non superiore a novanta giorni, ma prorogabile, e in regime di segretezza - di specifici dati elettronici, compresi i dati relativi al traffico, immagazzinati per mezzo di un sistema informatico (articolo 16);

di misure strumentali all'utile attuazione delle misure di cui al punto precedente (articolo 17);

di misure coattive che consentano di acquisire la cognizione sia di specifici dati informatici, che siano in possesso o sotto il controllo di qualunque persona, immagazzinati in un sistema informatico o su un supporto informatico, sia di dati relativi agli abbonati, che siano in possesso o sotto il controllo di un fornitore di servizi, intendendosi per «dati relativi agli abbonati» ogni tipo di informazione, anche non in forma di dati informatici, riferita agli abbonati e diversa dai dati relativi al traffico o al contenuto, che permetta di accertare una serie di ulteriori dati (articolo 18);

della possibilità di effettuare perquisizioni o comunque accessi nei confronti di sistemi e supporti informatici e di dati informatici, nonché di estendere rapidamente la perquisizione o l'accesso ad altri sistemi informatici, qualora questi ultimi siano situati nel territorio nazionale e i dati in essi immagazzinati siano legalmente accessibili dai primi (articolo 19, paragrafi 1 e 2);

della possibilità di sequestrare o comunque acquisire dati, supporti e sistemi informatici oggetto di perquisizione o accesso, con l'adozione delle connesse misure finalizzate ad assicurare la conservazione, la non alterazione e l'inaccessibilità dei dati informatici (articolo 19, paragrafo 3);

di misure coattive per ottenere, dalle persone che ne dispongano, le informazioni necessarie ai fini delle perquisizioni e degli accessi di cui sopra (articolo 19, paragrafo 4);

di misure che consentano la raccolta o la registrazione in tempo reale, in regime di segretezza, di dati relativi al traffico concernenti specifiche comunicazioni, effettuate attraverso un sistema informatico (articolo 20); l'applicazione di tali misure può anche essere limitata, attraverso una riserva, a taluni tipi di reati, indicati nella riserva medesima, purché questi reati non risultino meno numerosi di quelli ai quali, ai sensi del diritto interno, sono applicabili le misure di cui al punto seguente (articolo 14);

di misure che consentano, in relazione a gravi reati determinati da ciascuno Stato, la raccolta o la registrazione, in tempo reale e in regime di segretezza, di dati relativi al contenuto di specifiche comunicazioni effettuate attraverso un sistema informatico (articolo 21).

Le misure in questione devono essere oggetto di istituti di garanzia ai fini della salvaguardia dei diritti umani e delle libertà fondamentali, con riferimento, in particolare, alla Convenzione del Consiglio d'Europa per la salvaguardia dei diritti dell'uomo e delle libertà fondamentali (1950) e al Patto internazionale sui diritti civili e politici delle Nazioni Unite (1966).

Tali istituti di garanzia devono comprendere, fra l'altro, compatibilmente e coerentemente con la natura di ciascun tipo di misura, forme di controllo giudiziario sui presupposti di adozione della misura, nonché limitazioni al campo di applicazione e alla durata delle varie misure (articolo 15).

Posto, come si è notato, che la stipula della Convenzione sulla criminalità informativa da parte degli Stati aderenti è finalizzata alla realizzazione di un «livello minimo comune» di capacità di contrasto ai fenomeni criminali che ne sono oggetto, ma non esclude che ciascuno Stato possa continuare a disporre di misure ancora più incisive o restrittive di quelle richieste dalla Convenzione stessa, il criterio seguìto per l'elaborazione delle norme di attuazione della Convenzione nell'ordinamento italiano è stato quello di limitarsi agli interventi strettamente necessari ad assicurare che nel sistema processuale penale siano disponibili tutte le misure sopra richiamate, previste dalle disposizioni della Convenzione, con i relativi istituti di garanzia.

Si è operato, di conseguenza, su due piani convergenti:

1) integrazione di talune disposizioni del codice di procedura penale - che già disciplinano misure di indagine corrispondenti a quelle previste dalla Convenzione - attraverso riferimenti espliciti e specifici alle realtà informatiche e telematiche, al fine di adeguare la formulazione testuale delle norme processuali alle esigenze applicative in ambito informatico;

2) inserimento ex novo di disposizioni procedurali che disciplinano misure richieste dalla Convenzione attualmente non presenti nell'ordinamento interno, con relativi istituti di garanzia; è il caso dell'articolo 9 del disegno di legge, che introduce i commi 4-ter, 4-quater e 4-quinquies dell'articolo 132 del codice in materia di protezione dei dati personali, di cui al decreto legislativo 30 giugno 2003, n. 196, con cui si introduce, tra l'altro, nell'ordinamento italiano la conservazione «in via di urgenza» dei dati relativi al traffico telematico.

Appare utile evidenziare che mentre l'ordine di intervento di cui al numero 2) innova l'ordinamento dal punto di vista dei contenuti normativi, le novelle di cui al numero 1) consistono in un adeguamento prevalentemente lessicale delle disposizioni processuali già vigenti, finalizzato a rendere esplicite le potenzialità applicative in campo informatico, che già oggi, peraltro, dottrina e giurisprudenza riconoscono agli istituti procedurali che ne sono interessati.

In questa seconda traccia di intervento, prevalentemente formale, si collocano le integrazioni apportate al codice di procedura penale, in particolare:

all'articolo 244, comma 2: inserimento di un riferimento espresso ai sistemi informatici o telematici con riguardo alla possibilità, per l'autorità giudiziaria, di disporre, in sede di ispezione, rilievi e altre operazioni tecniche;

all'articolo 247: introduzione del comma 1-bis, che prevede esplicitamente che la perquisizione può avere ad oggetto sistemi informatici e telematici, ancorché protetti da misure di sicurezza;

all'articolo 248, comma 2: precisazione che nel novero di ciò che può essere oggetto di esame presso le banche, da parte dell'autorità giudiziaria o degli ufficiali di polizia giudiziaria, senza necessità di ricorrere alle forme della perquisizione, sono compresi anche i dati, le informazioni e i programmi informatici;

all'articolo 254, commi 1 e 2: parziale riformulazione del comma 1, tesa ad aggiornare le nozioni e le locuzioni ivi ricorrenti ai mutamenti intervenuti, nel corso di oltre un decennio, negli assetti

organizzativi e funzionali dei servizi di corrispondenza e all'avvento della «posta elettronica»; nel comma 2, poi, attesa soprattutto la diversa struttura materiale della corrispondenza telematica rispetto a quella cartacea, viene inserita la precisazione mirante a garantire che questa non solo non venga aperta o conosciuta, ma neanche semplicemente alterata;

all'articolo 256, comma 1: precisazione che nel novero di ciò che deve essere consegnato, su richiesta, all'autorità giudiziaria da parte delle persone soggette a segreto professionale, nonché dei pubblici ufficiali, dei pubblici impiegati e degli incaricati di un pubblico servizio, sono compresi anche i dati, le informazioni e i programmi informatici;

all'articolo 259, comma 2: precisazione dei contenuti dell'obbligo di custodia quando le cose sequestrate sono costituite da dati, informazioni o programmi informatici;

all'articolo 260, commi 1 e 2: precisazione, nel comma 1, che l'imposizione del vincolo del sequestro può essere evidenziata, in relazione alla natura delle cose sequestrate, anche con mezzi elettronici o informatici; indicazione, nel comma 2, delle modalità con cui procedere all'estrazione di copia e alla conservazione degli originali quando si tratta di sequestro di dati, informazioni e programmi informatici;

all'articolo 352: introduzione del comma 1-bis, che prevede esplicitamente che la perquisizione d'iniziativa degli ufficiali di polizia giudiziaria può avere ad oggetto sistemi informatici e telematici, ancorché protetti da misure di sicurezza;

all'articolo 353, commi 2 e 3: adeguamento della formulazione delle norme in relazione alle medesime esigenze già riferite con riguardo all'articolo 254 e in modo da mantenere il parallelismo fra tali due articoli;

all'articolo 354, comma 2: precisazione delle attività che gli ufficiali di polizia giudiziaria hanno il potere di compiere, nell'ambito degli accertamenti urgenti conseguenti alla commissione di un reato, al fine di assicurare la conservazione di dati, informazioni e programmi informatici e di sistemi informatici e telematici, nonché di impedirne l'alterazione e l'accesso, fermo, in ogni caso, il potere di sequestro.

Nella medesima prospettiva si dispone, inoltre, l'inserimento dell'articolo 254-bis del codice di procedura penale, destinato a disciplinare le modalità di acquisizione dei dati oggetto di sequestro presso fornitori di servizi informatici e telematici o di telecomunicazioni, al fine di evitare turbative alla regolare fornitura di detti servizi.

Con l'introduzione, poi, dei nuovi commi 4-ter, 4-quater e 4-quinquies dell'articolo 132 del codice in materia di protezione dei dati personali, di cui al decreto legislativo 30 giugno 2003, n. 196, si è inteso prevedere, come già notato, un provvedimento che, conformemente a quanto richiesto dalla Convenzione, permetta il «congelamento» temporaneo e urgente di dati.

Infine con l'articolo 10 si è disposto l'inserimento del comma 3-quinquies nell'articolo 51 del codice di procedura penale per concentrare la competenza per i reati informatici presso gli uffici di procura distrettuali. Ciò è stato previsto al fine di facilitare il coordinamento delle indagini e la formazione di gruppi di lavoro specializzati in materia.

Giurisdizione, cooperazione internazionale, riserve e dichiarazioni.

In questo settore la norma di riferimento è rappresentata dall'articolo 696 del codice di procedura penale, in base al quale le norme delle convenzioni internazionali in vigore per lo Stato italiano sono di diretta applicazione.

Da ciò deriva che, in linea generale, non occorre introdurre nell'ordinamento norme che le riproducano. D'altra parte, l'apparato normativo contenuto nel libro

undicesimo del codice di procedura penale - più volte aggiornato in attuazione di strumenti internazionali sottoscritti dal nostro Paese - è perfettamente idoneo ad attuare le disposizioni di cooperazione internazionale contenute nella Convenzione, tanto più che si tratta di disposizioni di tipo tradizionale, comuni a molte altre convenzioni. Lo stesso può dirsi per gli articoli in materia di giurisdizione, con riferimento al nostro codice penale.

Per motivi di chiarezza, peraltro, si è deciso di indicare in questa relazione, oltre che le nuove disposizioni introdotte con la legge di autorizzazione alla ratifica, le principali corrispondenze tra le disposizioni della Convenzione in materia di giurisdizione e cooperazione internazionale e la nostra normativa interna.

Giurisdizione. L'articolo 22, paragrafo 1, lettera a), della Convenzione è attuato dall'articolo 6 del codice penale; l'articolo 22, paragrafo 1, lettera c), è attuato dagli articoli 7, 8 e 9 del codice penale; l'articolo 22, paragrafo 3, è attuato dagli articoli 9, terzo comma, e 10, secondo comma, numero 3), del codice penale.

Estradizione. L'articolo 24, paragrafi 1, 2, 3, 4 e 5, della Convenzione non richiede l'introduzione di norme di diritto interno; l'articolo 24, paragrafo 6, è già attuato dagli articoli 9 e 10 del codice penale.

In attuazione dell'articolo 24, paragrafo 7, della Convenzione è stato, invece, necessario introdurre una disposizione, contenuta nell'articolo 11, comma 1, del disegno di legge, per individuare l'Autorità responsabile (il Ministro della giustizia) per le richieste di estradizione avanzate in base alla Convenzione, ove non esistano tra le Parti trattati di mutua assistenza.

Assistenza giudiziaria. L'articolo 25 paragrafi 1, 2, 3, della Convenzione non necessita di norme di attuazione; lo stesso può dirsi per l'articolo 25, paragrafo 4: invero, la natura fiscale dell'offesa non costituisce, ai sensi dell'articolo 724, comma 5, del codice di procedura penale, base per il rifiuto di una domanda di assistenza.

L'articolo 25, paragrafo 5, della Convenzione riproduce un principio già acquisito dalla giurisprudenza in materia di «identità del fatto»; l'articolo 27, paragrafo 3, della Convenzione è compatibile con l'articolo 725, comma 2, del codice di procedura penale sulla esecuzione delle rogatorie, così come l'articolo 27, paragrafi 4, 5, 6, 7, è compatibile con l'articolo 724, comma 5, del codice di procedura penale. L'articolo 28 contiene una disposizione comune a molti trattati, già attuati nel nostro ordinamento.

L'articolo 27, paragrafo 9, prevede - in caso di urgenza - la possibilità di trasmissione diretta delle rogatorie tra autorità giudiziarie, e non richiede norme di esecuzione, poiché nel nostro ordinamento tale possibilità non è esclusa, e anzi ad essa si ricorre in base a numerosi trattati di cui l'Italia è Parte. Non si è ritenuto di avvalersi della possibilità di dichiarare, al momento del deposito dello strumento di ratifica, che le domande vadano comunque rivolte all'Autorità centrale. Invero, in considerazione della natura dei reati che sono oggetto della Convenzione, è sembrato opportuno favorire la rapidità di cooperazione nelle indagini.

Anche in relazione all'articolo 27, paragrafo 2, lettera a), della Convenzione, come già in materia di estradizione, è stato necessario introdurre una disposizione, contenuta parimenti nell'articolo 11 del disegno di legge, che designa l'Autorità competente (il Ministro della giustizia). La relativa dichiarazione verrà depositata assieme allo strumento di ratifica.

Assistenza giudiziaria in materia di misure provvisorie. In relazione all'articolo 29 della Convenzione sulla conservazione rapida dei dati informatici, nonché all'articolo 30 sulla divulgazione rapida dei dati, non occorre introdurre nuove disposizioni in considerazione delle modifiche che sono state attuate sul piano interno.

Assistenza in materia di poteri d'investigazione. L'articolo 31 della Convenzione è attuato dagli articoli 737 e 737-bis del codice di procedura penale.

Quanto all'articolo 32, sembra pacifica la possibilità per chiunque di accedere a

dati pubblici ovvero a dati messi a disposizione da chi è autorizzato a divulgarli. I dati così ottenuti verranno utilizzati secondo le norme esistenti in materia di utilizzabilità della prova.

Rete. In ossequio all'articolo 35 della Convenzione, ogni Stato Parte dovrà designare un punto di contatto per gli scopi indicati nell'articolo stesso. È stata, pertanto, introdotta una disposizione che stabilisce che spetti al Ministro della giustizia, di concerto con il Ministro dell'interno, individuare il punto di contatto.

Per quanto concerne i compiti assegnati al punto di contatto dall'articolo 35 della Convenzione, va sottolineato che, per quanto concerne i compiti attinenti alle richieste di assistenza giudiziaria, essi saranno limitati alla facilitazione delle richieste stesse, esclusa la diretta applicazione. Nel nostro ordinamento, infatti, spetta esclusivamente al Ministro della giustizia dare seguito alle rogatorie.

Riserve. Tra le riserve consentite dall'articolo 42 della Convenzione, si è ritenuta necessaria l'apposizione di quella prevista dall'articolo 29, paragrafo 4. In base a tale disposizione, ove uno Stato richieda la doppia incriminabilità come condizione per dar corso ad una richiesta di assistenza giudiziaria di conservazione, sequestro, o altro atto similare, dei dati, esso può riservarsi il diritto di negare l'assistenza, nel caso in cui il requisito della doppia incriminabilità non sia integrato in relazione a reati diversi da quelli previsti dagli articoli da 2 a 11 della Convenzione.

Poiché l'articolo 724, comma 5, lettera b), del codice di procedura penale prevede appunto il requisito della doppia incriminabilità come condizione generale per l'esecuzione delle rogatorie, la riserva corrispondente dovrà essere apposta dallo Stato italiano all'atto del deposito dello strumento di ratifica.

[1] La creazione di un primo comitato di espertisui crimini informatici da parte del Consiglio d’Europa, che per primo si è posto il problema di contrastare tali crimini, risale al 1985. Il Comitato che ha curato la stesura della Convenzione è stato creato dal Comitato dei Ministro del Consiglio d’Europa nel novembre 2001, nel corso della 109^a Sessione.

[2] Allo stato attuale, gli Stati Uniti risultano essere l’unico Paese non membro del Consiglio d’Europa ad avere ratificato la Convenzione.

[3] La lista di tali reati, che rappresenta un accordo minimo tra le Parti, è suscettibile di essere ampliata nei singoli ordinamenti interni. Essa si basa essenzialmente sulle linee guida sviluppate in seguito alla Raccomandazione del Consiglio d’Europa R (89) 9 riguardante appunto i reati informatici e quelli ad essi connessi, nonché sui lavori prodotti da altre organizzazioni internazionali (OCSE, ONU, Associazione Internazionale di Diritto Penale) e tenendo altresì conto di alcune esperienze più recenti riguardanti abusi nell’espansione di reti di telecomunicazione.

[4] Per questa definizione dei reati informatici cfr. Picotti, Reati informatici, voce “Enciclopedia giuridica”, Treccani, 1999, p. 1.

[5] Fra gli interventi a carattere settoriale, adottati prima dell’approvazione della legge del 1993, può essere ricordato l’art. 12 del d.l. 3 maggio 1991, n. 143 (Provvedimenti urgenti per limitare l'uso del contante e dei titoli al portatore nelle transazioni e prevenire l'utilizzazione del sistema finanziario a scopo di riciclaggio), conv. in legge, con modificazioni, dalla L. 5 luglio 1991, n. 197, che sanziona l’utilizzo abusivo, la falsificazione o alterazione di bancomat o mezzi similari di pagamento. Carattere più sistematico – pur se in un ambito ancora tradizionalmente regolato dalla legislazione speciale – ha invece il decreto legislativo 29 dicembre 1992, n. 518, che ha dato attuazione alla direttiva 91/250/CEE relativa alla tutela giuridica dei programmi per elaboratore.

[6] D.Lgs. 30 giugno 2003, n. 196, Codice in materia di protezione dei dati personali.

[7] D.Lgs. 8 giugno 2001, n. 231, Disciplina della responsabilità amministrativa delle persone giuridiche, delle società e delle associazioni anche prive di personalità giuridica, a norma dell'articolo 11 della L. 29 settembre 2000, n. 300.

[8] Cfr. Borgogno, Documento tradizionale e documento informatico, in “Le falsità documentali”, a cura di Ramacci, Padova, 2001, p. 79; Picotti, Commento all'art. 3, l. 23 dicembre 1993, n. 547, in Legislazione penale, 1996, p. 74.

[9] Cfr., ancora, Borgogno, Op. cit., p. 79.

[10] D.Lgs. 7 marzo 2005, n. 82, Codice dell'amministrazione digitale.

[11] Cfr. Monaco, Art. 615 quinquies, in “Comm. Crespi, Stella, Zuccalà”, Padova, 1999, p. 1741; Pecorella, Art. 615 quinquies, in “Comm. Dolcini, Marinucci”, Parte spec., Milano, 1999, p. 3266.

[12] Il delitto di danneggiamento è aggravato se il fatto è commesso: 1) con violenza alla persona o con minaccia; 2) da datori di lavoro in occasione di serrate, o da lavoratori in occasione di scioperi, ovvero in occasione di alcuno dei delitti preveduti dagli articoli 330, 331 e 333; 3) su edifici pubblici o destinati a uso pubblico o all'esercizio di un culto o su cose di interesse storico o artistico ovunque siano ubicate o su immobili compresi nel perimetro dei centri storici, o su altre delle cose indicate nel numero 7 dell'articolo 625; 4) sopra opere destinate all'irrigazione; 5) sopra piantate di viti, di alberi o arbusti fruttiferi, o su boschi, selve o foreste, ovvero su vivai forestali destinati al rimboschimento.

[13] D.Lgs. 30 giugno 2003, n. 196, Codice in materia di protezione dei dati personali.

[14] D.Lgs. 30 giugno 2003, n. 196, Codice in materia di protezione dei dati personali.

[15] Possono essere delegati dal Ministro: i responsabili degli uffici centrali specialistici in materia informatica o telematica della Polizia di Stato, dell'Arma dei carabinieri e del Corpo della guardia di finanza; i responsabili dei servizi centrali della Polizia di Stato, dell'Arma dei carabinieri e del Corpo della guardia di finanza chiamati ad assicurare il collegamento delle attività investigative relative a delitti di criminalità organizzata (ex art. 12, d.l. 152/1991; il questore o il comandante provinciale dei Carabinieri e della Guardia di finanza, il Direttore della Direzione investigativa antimafia (ex art. 226, comma 1, disp. att. c.p.p.).

CAMERA DEI DEPUTATI ¾¾¾¾¾¾¾¾
DISEGNO DI LEGGE
presentato dal ministro degli affari esteri (D'ALEMA) dal ministro della giustizia (MASTELLA) dal ministro delle comunicazioni (GENTILONI SILVERI) e dal ministro per le riforme e le innovazioni nella pubblica amministrazione (NICOLAIS) di concerto con il ministro dell'interno (AMATO) con il ministro della difesa (PARISI) e con il ministro dell'economia e delle finanze (PADOA SCHIOPPA)¾
Ratifica ed esecuzione della Convenzione del Consiglio d'Europa sulla criminalità informatica, fatta a Budapest il 23 novembre 2001, e norme di adeguamento dell'ordinamento interno