Dopo aver analizzato l’art. 615-ter e la distinzione fondamentale tra sistemi “protetti” ed “aperti”, dobbiamo approfondire un aspetto ancora più insidioso del diritto penale informatico, spesso ignorato dai non addetti ai lavori.

La Legge 48/2008 ha introdotto nel nostro ordinamento nuove ipotesi di reato che puniscono anche la semplice “condotta” volta a danneggiare un sistema, indipendentemente dal verificarsi del danno effettivo.

Si tratta di una rivoluzione giuridica che trasforma il tentativo e l’intenzione in reati autonomi, dove basta dimostrare la volontà di colpire per configurare responsabilità penali che prevedono pene da sei mesi fino ad otto anni di reclusione.

Questa evoluzione normativa trasforma la cyber security da questione meramente tecnica a materia di rilevanza penale diretta. Per il CISO e per la governance della sua organizzazione, significa che ogni azione informatica ostile, anche se bloccata dal firewall o dall’antivirus, ha già varcato la soglia del penalmente rilevante.

Proviamo, dunque, ad analizzare le implicazioni della Legge 48/2008 sulla governance aziendale, offrendo framework per la gestione degli incidenti che tengano conto dei rischi penali e delle responsabilità degli operatori di sistema e degli insider[1].

La rivoluzione della Legge 48/2008: punire l’intenzione

La Legge 48/2008 ha rappresentato una svolta epocale (ratifica della Convenzione di Budapest), introducendo il principio che la semplice condotta diretta a danneggiare un sistema informatico costituisce un reato perfetto in sé.

Questa impostazione riflette la consapevolezza del legislatore che, nel cyberspazio, l’intenzione e il tentativo possono essere altrettanto pericolosi del danno consumato, considerando la velocità di propagazione e l’ampiezza degli effetti a catena che un attacco informatico può produrre in pochi secondi.

Il danneggiamento vero e proprio, la distruzione dei dati o l’interruzione dei servizi concorrono “solo” a calcolare l’entità delle pene, che vengono aumentate progressivamente in base alla gravità degli effetti prodotti.

Inoltre, sono previste aggravanti specifiche se la vittima viene minacciata, se viene usata violenza sulle cose, o se il criminale abusa della qualità di operatore del sistema.

Quest’ultimo punto è fondamentale: riconosce giuridicamente che l’insider threat non è solo un problema di risorse umane, ma una delle minacce più pericolose e difficili da contrastare, meritevole di una sanzione rafforzata.

Art. 635-bis: il danneggiamento di dati e programmi

L’articolo 635-bis punisce «chiunque distrugge, deteriora, cancella, altera o sopprime informazioni, dati o programmi informatici altrui» con la reclusione da sei mesi a tre anni. La norma copre un ampio spettro di comportamenti dannosi che vanno dalla cancellazione brutale di file alla modifica sottile di dati critici, dalla corruzione di programmi software alla soppressione di informazioni strategiche.

È importante notare che il reato si configura anche per azioni apparentemente meno gravi come la semplice “alterazione”.

Infatti, nel mondo digitale, modificare una singola riga di codice in un database o cambiare un parametro di configurazione in un router può paralizzare un’intera organizzazione senza che alcun dato venga fisicamente “distrutto”.

Questa ampia formulazione protegge l’integrità logica del dato, non solo la sua esistenza. Quando ricorre la circostanza dell’abuso della qualità di operatore del sistema, la pena aumenta da uno a quattro anni e si procede d’ufficio invece che a querela di parte.

Significa che se un amministratore di sistema scontento altera i backup prima di dimettersi, lo Stato procede contro di lui indipendentemente dalla volontà dell’azienda di “lavare i panni sporchi in casa”.

Art. 635-ter: la linea rossa dei sistemi pubblici

L’articolo 635-ter estende la protezione ai sistemi informatici utilizzati dallo Stato, da enti pubblici o comunque di pubblica utilità. Qui il legislatore ha alzato l’asticella: prevede pene che vanno da uno a quattro anni per la semplice condotta diretta al danneggiamento, e da tre ad otto anni se c’è danneggiamento effettivo.

Questa graduazione riflette la particolare gravità degli attacchi contro le infrastrutture critiche o la Pubblica Amministrazione, che possono compromettere servizi essenziali per la collettività.

Infatti, la norma introduce un concetto fondamentale: punisce non solo chi effettivamente danneggia, ma anche chi «commette un fatto diretto a» distruggere o danneggiare.

Questa formulazione cattura tentativi, preparazioni e condotte prodromiche (ad esempio, il test di un exploit su un sistema gemello o un brute-forcing preliminare) che in altri contesti potrebbero non essere penalmente rilevanti.

Riconosce che la difesa dello Stato digitale richiede la prevenzione a tutti i livelli, anticipando la soglia di punibilità.

Art. 635-quater e quinquies: il sabotaggio dei servizi

Mentre il 635-bis protegge il “dato”, l’articolo 635-quater protegge il “sistema”. La norma punisce chiunque «mediante le condotte di cui all’articolo 635-bis, ovvero attraverso l’introduzione o la trasmissione di dati, informazioni o programmi, distrugge, danneggia, rende, in tutto o in parte, inservibili sistemi informatici o telematici altrui o ne ostacola gravemente il funzionamento».

Questa formulazione è particolarmente significativa perché copre il concetto di “Disponibilità” (Availability) della triade CIA (Confidentiality, Integrity, Availability). Un attacco DDoS (Distributed Denial of Service), che non cancella nessun dato ma rende il sito irraggiungibile per 24 ore, rientra perfettamente in questa fattispecie come «ostacolo grave al funzionamento».

Anche qui, l’inclusione dell’«introduzione o trasmissione di dati» come modalità di commissione del reato cattura le tecniche moderne: dall’iniezione di codice maligno (SQL Injection) alla trasmissione di pacchetti malformati.

L’articolo 635-quinquies chiude il cerchio fornendo la protezione speciale ai “sistemi di pubblica utilità”. La distinzione tra “pubblica utilità” ed i sistemi statali dell’art. 635-ter è sottile ma vitale per il business: i sistemi di pubblica utilità includono infrastrutture private che forniscono servizi essenziali alla collettività.

Banche, reti di telecomunicazioni, fornitori di energia, trasporti, sanità privata convenzionata. Se gestite la sicurezza di una di queste realtà, sappiate che la legge vi equipara, come scenario di rischio e tutela penale, ad un ministero.

Art. 640-ter: la frode informatica oltre il patrimonio

L’articolo 640-ter rappresenta l’adattamento del reato di truffa all’era digitale. Punisce «chiunque, alterando in qualsiasi modo il funzionamento di un sistema informatico o telematico o intervenendo senza diritto con qualsiasi modalità su dati, informazioni o programmi […] procura a sé o ad altri un ingiusto profitto con altrui danno».

Un aspetto fondamentale riguarda la definizione di “ingiusto profitto”, che non deve necessariamente essere denaro contante. Infatti, il reato si consuma nel momento in cui il colpevole ottiene un vantaggio indebito violando il diritto della vittima.

L’ingiusto profitto può concretizzarsi come un servizio digitale fruito senza pagare (es. pirateria streaming), l’acquisizione di un database clienti per concorrenza sleale, o semplicemente come potenziale diminuzione del patrimonio della vittima.

Un esempio paradigmatico giurisprudenziale è l’alterazione del software dei video poker per ridurre artificialmente la probabilità di vincita, trasformando un gioco aleatorio in una truffa algoritmica.

Questo dimostra come la frode possa nascondersi dietro la complessità del codice, invisibile all’utente finale ma chiara al perito forense.

Implicazioni operative per le organizzazioni

Questa architettura normativa ha implicazioni dirette per la governance della sicurezza.

1. Denuncia dei tentativi: non è più sufficiente limitarsi a prevenire i danni. Dal momento che la “condotta diretta a danneggiare” è già reato (specialmente per i sistemi pubblici/utilità), l’organizzazione ha il dovere (e talvolta l’obbligo giuridico) di rilevare, documentare e denunciare anche i tentativi di attacco falliti.
2. Gestione degli Insider: le aggravanti per l’abuso della qualità di operatore rendono essenziali politiche rigorose di Privileged Access Management (PAM). Non è solo best practice, è tutela legale. Se un sysadmin fa danni, l’azienda deve poter dimostrare che il dipendente ha agito violando le policy e abusando dei suoi poteri, per non essere chiamata in causa per culpa in vigilando.
3. Difendibilità: ogni incidente deve essere mappato non solo tecnicamente, ma anche giuridicamente. «Quale articolo del codice penale è stato violato da questo attacco?». Questa domanda aiuta a definire la gravità dell’incidente ed i passi successivi verso le autorità competenti (Polizia Postale, ACN, Garanti vari).

[1] Per approfondire le strategie di protezione legale contro i reati informatici, le metodologie di rilevamento e documentazione dei tentativi di attacco, nonché gli strumenti per implementare controlli che soddisfino i requisiti di legge, il Manuale CISO Security Manager prepara alla certificazione CISSP e fornisce framework operativi per trasformare la conformità normativa in vantaggio competitivo attraverso una sicurezza giuridicamente consapevole.