Prun 2005 - Unità Locale
1. Premessa - E’ da pochi decenni che il fenomeno della criminalità informatica (computer crime) è emerso quale problema d’interesse per la giurisprudenza e per la dottrina penale.
Dopo i primi casi eclatanti, che attiravano l’attenzione dell’opinione pubblica e dei mezzi di comunicazione di massa, gli abusi realizzati “tramite” le nuove tecnologie (frodi e falsificazioni informatiche, intrusioni e accessi non autorizzati, intercettazioni e violazioni della riservatezza) ovvero “a danno” dei suoi prodotti (sabotaggi e cancellazioni di dati, riproduzioni e messa in circolazione abusive di programmi o altri prodotti tecnologici, ecc.), sono divenuti oggetto anche di concrete questioni ermeneutiche e di ricerche giuridiche.
E poiché non sempre tali inedite offese di interessi e beni giuridici di primaria importanza, sia della persona che della collettività (come la riservatezza, il patrimonio, la fede pubblica, l’ordine pubblico, il diritto d’autore, ecc.), risultavano suscettibili di essere sanzionate dal diritto penale vigente, è emersa la necessità di prevedere nuove fattispecie incriminatrici o quantomeno di estendere legislativamente l’ambito di alcune esistenti, per colmare le lacune via via emergenti nella prassi, non superabili con il ricorso all’analogia espressamente vietata in materia penale in forza del fondamentale principio di stretta legalità.
2. Le “nuove” legislazioni in materia di diritto penale dell’informatica – A partire dai Paesi che per primi hanno visto lo svilupparsi di questi fenomeni (Stati Uniti d’America, Canada, Germania, Austria, Francia, Gran Bretagna, Italia, Giappone, ecc.), con gli anni ’80 si è assistito, in quasi tutti gli ordinamenti giuridici, ad ondate di “nuove” legislazioni penali, che non solo hanno toccato i reati “comuni” solitamente previsti nei codici penali (come nel caso di frodi e falsità informatiche, danneggiamenti ed intercettazioni di dati, accessi abusivi e violazioni di segreti, ecc.), ma hanno anche configurato od esteso sanzioni penali per violazioni di specifiche regolamentazioni extrapenali di singole materie, quali il diritto d’autore, per quanto concerne le opere in forma elettronica (programmi per computer, banche di dati, opere digitali in genere), ovvero il trattamento e la circolazione dei dati personali (c.d. leggi sulla privacy).
Ne è nato un “diritto penale dell’informatica” assai articolato, spesso sovrabbondante di incriminazioni e caratterizzato da livelli sanzionatori severi, ma mancante di un organico disegno sistematico e della capacità di garantire un livello adeguato di prevenzione e controllo, di fronte all’incessante evoluzione delle tecnologie ed alla rapidissima estensione delle connessioni e dei rapporti in rete, specie grazie all’espansione degli accessi e collegamenti in Internet.
3. Il ruolo degli organismi internazionali e le esigenze di armonizzazione - In questo processo hanno avuto un peso crescente le fonti sovranazionali, quali le raccomandazioni e convenzioni del Consiglio d’Europa (in particolare la Raccomandazione del 1989 sulla criminalità informatica e le Convenzioni di Strasburgo del 1981 sulla privacy e di Budapest del 2001 sul Cybercrime), le direttive della Comunità europea (in particolare in materia di diritto d’autore e di trattamento dei dati personali, di commercio elettronico, di telecomunicazioni), i trattati e le raccomandazioni di altri organismi ed enti internazionali, come ad esempio l’Organizzazione Mondiale per la Proprietà Intellettuale (OMPI) per quanto attiene al diritto d’autore, o più in generale l’Organizzazione per la Cooperazione economica e lo Sviluppo (OECD), il G8 sulla difesa dalla “criminalità tecnologica”, od anche l’Association international de Droit pénal (AIDP), per risoluzioni dirette a porsi come guida per legislatori, operatori e studiosi a livello mondiale (cfr. Risoluzione del XV Congresso di Rio de Janeiro del 1994).
Le istanze di armonizzazione internazionale non hanno però impedito ed hanno, anzi, talora paradossalmente incrementato la moltiplicazione di interventi settoriali da parte dei singoli legislatori nazionali. Per cui è forte l’esigenza di razionalizzazione sistematica della materia e di studi e ricerche approfonditi, specie di fronte alle incessanti esigenze di adeguamento allo sviluppo ed estensione delle nuove tecnologie nella società contemporanea, rappresentate emblematicamente da Internet.
4. Le competenze penali dell’Unione europea in base ai Trattati vigenti – La Comunità europea ha già svolto un peculiare ruolo di promozione ed armonizzazione del diritto dell’informatica, attraverso fonti comunitarie (c.d. Primo Pilastro) competenti a regolare settori specifici di materia (come le menzionate direttive sul diritto d’autore, la protezione dei dati personali, il commercio elettronico, le telecomunicazioni, ecc.), che hanno però indirettamente avuto effetto anche sulla disciplina penale posta dai legislatori nazionali a presidio di tali regole, nella fase della loro attuazione.
La Comunità europea non è però potuta intervenire direttamente sul terreno penale, essendo priva di un’esplicita competenza in materia, affidata - nell’ambito dell’Unione - ai soli strumenti intergovernativi del c.d. Terzo Pilastro (convenzioni e, soprattutto, decisioni quadro).
In tale più circoscritta prospettiva, si sono comunque avuti alcuni significativi interventi che hanno riguardato la criminalità informatica.
Da un lato, essa è stata inclusa esplicitamente nel campo di applicazione della decisione quadro sul c.d. mandato di cattura europeo del 13 giugno 2002 (art. 2), in conformità con le conclusioni del vertice europeo di Tampere del 1999, oltre che essere già menzionata nell’allegato alla Convenzione Europol del 1995 e più di recente nella decisione istitutiva di Eurojust del 2003.
Dall’altro lato, la criminalità informatica è stata oggetto di una specifica proposta di decisone quadro, relativa agli attacchi contro i sistemi di informazione, presentata dalla Commissione europea in data 19 aprile 2002 COM (2002) 173 definitivo.
Seppur non ancora operante, tale ultima iniziativa è di estrema importanza, per dimostrare il rilievo della materia per l’Unione europea sotto almeno due distinti profili: quello del suo impegno fondamentale per la sicurezza della “società dell’informazione”, che a partire dal piano globale d’azione per l’Europa telematica, si è articolato in azioni ulteriori per la sicurezza delle reti elettroniche (cfr. ad es. il documento della Commissione europea per un “approccio strategico europeo” del 6 giugno 2001); e quello del “ravvicinamento” delle normative penali degli Stati membri nel settore degli attacchi ai sistemi d’informazione, finalizzato a garantire la massima cooperazione giudiziaria e di polizia possibile in questa materia, vista come strettamente legata al terrorismo ed alla criminalità organizzata.
Tanto che la “base giuridica” della decisione quadro in esame viene ravvisato, dalla Commissione, negli artt. 29, 30 lettera a), 31 e 34, paragrafo 2, lettera b) del Trattato sull’Unione europea, in cui sono menzionati “il terrorismo” e “la criminalità organizzata”, anche se non espressamente la criminalità informatica.
5. Le competenze penali dell’Unione europea previste dal Trattato costituzionale – Due sono le principali novità che in materia introduce il Trattato che istituisce una Costituzione per l’Europa, sottoscritto a Roma il 29 ottobre 2004.
Nell’ambito delle norme dedicate allo “spazio di libertà, sicurezza e giustizia” (Capitolo IV del Titolo III), la cui realizzazione costituisce uno degli obiettivi primi dell’Unione (art. I-3), non solo è superata ogni divisione in “pilastri” delle fonti e competenze europee in materia penale, ma è espressamente menzionata la “criminalità informatica” fra le “sfere di criminalità” particolarmente grave ed avente dimensione transnazionale, per cui “la legge quadro europea può stabilire norme minime relative alla definizione dei reati e delle sanzioni” (art. III-271, paragrafo 1).
Inoltre, poiché molti settori che rilevano per il diritto penale dell’informatica (quali la protezione dei dati personali, il diritto d’autore, il commercio elettronico, le reti telematiche e di telecomunicazione, ecc.) sono già oggetto di misure di armonizzazione a livello europeo, è configurabile un ulteriore profilo di competenza penale dell’Unione, connesso al fatto che la materia penale si riveli strumento “indispensabile per garantire l’attuazione efficace di una sua politica” (art. III-271, paragrafo 2).
Si tratta, quindi, di sviluppare la ricerca sui possibili campi di intervento dell’Unione europea contro la criminalità informatica a partire dall’individuazione ed analisi dei settori interessati dalle sue “politiche” e che siano (già) oggetto di misure di armonizzazione, come sono quelli sopra delineati.