-
- Art. 5a Cost.
- Art. 6 Cost.
- Art. 10 Cost.
- Art. 16 Cost.
- Art. 17 Cost.
- Art. 20 Cost.
- Art. 22 Cost.
- Art. 29a Cost.
- Art. 30 Cost.
- Art. 32 Cost.
- Art. 42 Cost.
- Art. 43 Cost.
- Art. 43a Cost.
- Art. 55 Cost.
- Art. 56 Cost.
- Art. 68 Cost.
- Art. 60 Cost.
- Art. 75b Cost.
- Art. 77 Cost.
- Art. 96 cpv. 2 lett. a Cost.
- Art. 110 Cost.
- Art. 117a Cost.
- Art. 118 Cost.
- Art. 123b Cost.
- Art. 136 Cost.
- Art. 166 Cost.
-
- Art. 11 CO
- Art. 12 CO
- Art. 50 CO
- Art. 51 CO
- Art. 84 CO
- Art. 143 CO
- Art. 144 CO
- Art. 145 CO
- Art. 146 CO
- Art. 147 CO
- Art. 148 CO
- Art. 149 CO
- Art. 150 CO
- Art. 701 CO
- Art. 715 CO
- Art. 715a CO
- Art. 734f CO
- Art. 785 CO
- Art. 786 CO
- Art. 787 CO
- Art. 788 CO
- Art. 808c CO
- Disposizioni transitorie per la revisione del diritto azionario del 19 giugno 2020
-
- Art. 2 LDP
- Art. 3 LDP
- Art. 4 LDP
- Art. 6 PRA
- Art. 10 LDP
- Art. 11 LDP
- Art. 12 LDP
- Art. 13 LDP
- Art. 14 LDP
- Art. 15 LDP
- Art. 16 LDP
- Art. 17 LDP
- Art. 19 LDP
- Art. 20 LDP
- Art. 21 LDP
- Art. 22 LDP
- Art. 23 LDP
- Art. 24 LDP
- Art. 25 LDP
- Art. 26 LDP
- Art. 10a LDP
- Art. 27 LDP
- Art. 29 LDP
- Art. 30 LDP
- Art. 31 LDP
- Art. 32 LDP
- Art. 32a LDP
- Art. 33 LDP
- Art. 34 LDP
- Art. 35 LDP
- Art. 36 LDP
- Art. 37 LDP
- Art. 38 LDP
- Art. 39 LDP
- Art. 40 LDP
- Art. 41 LDP
- Art. 42 LDP
- Art. 43 LDP
- Art. 44 LDP
- Art. 45 LDP
- Art. 46 LDP
- Art. 47 LDP
- Art. 48 LDP
- Art. 49 LDP
- Art. 50 LDP
- Art. 51 LDP
- Art. 52 LDP
- Art. 53 LDP
- Art. 54 LDP
- Art. 55 LDP
- Art. 56 LDP
- Art. 57 LDP
- Art. 58 LDP
- Art. 59a LDP
- Art. 59b LDP
- Art. 59c LDP
- Art. 62 LDP
- Art. 63 LDP
- Art. 67 LDP
- Art. 67a LDP
- Art. 67b LDP
- Art. 75 LDP
- Art. 75a LDP
- Art. 76 LDP
- Art. 76a LDP
- Art. 90 LDP
-
- Vorb. zu Art. 1 LPD
- Art. 1 LPD
- Art. 2 LPD
- Art. 3 LPD
- Art. 5 lit. f und g LPD
- Art. 6 cpv. 6 e 7 LPD
- Art. 7 LPD
- Art. 10 LPD
- Art. 11 LPD
- Art. 12 LPD
- Art. 14 LPD
- Art. 15 LPD
- Art. 19 LPD
- Art. 20 LPD
- Art. 22 LPD
- Art. 23 LPD
- Art. 25 LPD
- Art. 26 LPD
- Art. 27 LPD
- Art. 31 cpv. 2 lit. e LPD
- Art. 33 LPD
- Art. 34 LPD
- Art. 35 LPD
- Art. 38 LPD
- Art. 39 LPD
- Art. 40 LPD
- Art. 41 LPD
- Art. 42 LPD
- Art. 43 LPD
- Art. 44 LPD
- Art. 44a LPD
- Art. 45 LPD
- Art. 46 LPD
- Art. 47 LPD
- Art. 47a LPD
- Art. 48 LPD
- Art. 49 LPD
- Art. 50 LPD
- Art. 51 LPD
- Art. 54 LPD
- Art. 57 LPD
- Art. 58 LPD
- Art. 60 LPD
- Art. 61 LPD
- Art. 62 LPD
- Art. 63 LPD
- Art. 64 LPD
- Art. 65 LPD
- Art. 66 LPD
- Art. 67 LPD
- Art. 69 LPD
- Art. 72 LPD
- Art. 72a LPD
-
- Art. 2 CCC (Convenzione sulla cibercriminalità [Cybercrime Convention])
- Art. 3 CCC (Convenzione sulla cibercriminalità [Cybercrime Convention])
- Art. 4 CCC (Convenzione sulla cibercriminalità [Cybercrime Convention])
- Art. 5 CCC (Convenzione sulla cibercriminalità [Cybercrime Convention])
- Art. 6 CCC (Convenzione sulla cibercriminalità [Cybercrime Convention])
- Art. 7 CCC (Convenzione sulla cibercriminalità [Cybercrime Convention])
- Art. 8 CCC (Convenzione sulla cibercriminalità [Cybercrime Convention])
- Art. 9 CCC (Convenzione sulla cibercriminalità [Cybercrime Convention])
- Art. 11 CCC (Convenzione sulla cibercriminalità [Cybercrime Convention])
- Art. 12 CCC (Convenzione sulla cibercriminalità [Cybercrime Convention])
- Art. 25 CCC (Convenzione sulla cibercriminalità [Cybercrime Convention])
- Art. 29 CCC (Convenzione sulla cibercriminalità [Cybercrime Convention])
- Art. 32 CCC (Convenzione sulla cibercriminalità [Cybercrime Convention])
- Art. 33 CCC (Convenzione sulla cibercriminalità [Cybercrime Convention])
- Art. 34 CCC (Convenzione sulla cibercriminalità [Cybercrime Convention])
COSTITUZIONE FEDERALE
CODICE DELLE OBBLIGAZIONI
LEGGE FEDERALE SUL DIRITTO INTERNAZIONALE PRIVATO
CONVENZIONE DI LUGANO
CODICE DI PROCEDURA PENALE
CODICE DI PROCEDURA CIVILE
LEGGE FEDERALE SUI DIRITTI POLITICI
CODICE CIVILE
LEGGE FEDERALE SUI CARTELLI E ALTRE LIMITAZIONI DELLA CONCORRENZA
LEGGE FEDERALE SULL’ASSISTENZA INTERNAZIONALE IN MATERIA PENALE
LEGGE FEDERALE SULLA PROTEZIONE DEI DATI
LEGGE FEDERALE SULLA ESECUZIONE E SUL FALLIMENTO
CODICE PENALE SVIZZERO
CYBERCRIME CONVENTION
ORDINANZA SUL REGISTRO DI COMMERCIO
- I. Generalità
- II. Beni giuridicamente protetti
- III. Elementi costitutivi fondamentali
- IV. Elementi costitutivi aggiuntivi facoltativi
- V. Confronto con il diritto svizzero
- Bibliografia
- I Materiali
I. Generalità
1 L'accesso illegale a un sistema informatico è il reato base della criminalità informatica. Spesso è il presupposto necessario per la commissione di un altro reato informatico, come l'interferenza di dati (art. 4 CCC), l'interferenza di sistema (art. 5 CCC), la falsificazione informatica (art. 7 CCC) o la frode informatica (art. 8 CCC). Tuttavia, alcuni criminali informatici si accontentano di ottenere un accesso non autorizzato a un sistema informatico, per spavalderia o semplicemente per la sfida tecnica che rappresenta, senza commettere alcun reato successivo. È quindi giustificato incriminare questa condotta a sé stante, anziché farla confluire nei reati punibili ai sensi delle sezioni successive. Pertanto, l'autore del reato è colpevole di accesso illecito per il solo fatto di accedere a un sistema informatico. Non è necessario che rubi o modifichi i dati presenti nel sistema informatico.
2 Alcuni potrebbero considerare l'hacking come un'attività relativamente innocua e ludica, praticata da alcuni smanettoni in cerca di nuove sfide. Ma la realtà è ben diversa. Questo comportamento è molto più diffuso di quanto si possa pensare a prima vista e i suoi autori perseguono obiettivi molto meno onorevoli del semplice divertimento.
3 Naturalmente, il modo più efficace per proteggere un sistema informatico da accessi non autorizzati è rappresentato da solide misure di sicurezza. Data la minaccia che l'hacking rappresenta per la sicurezza dei sistemi informatici e dei dati, le misure tecniche devono essere accompagnate da misure legislative volte a dissuadere i criminali informatici dall'agire o a punirli se commettono atti dolosi. In questo modo, si tutelano al meglio gli interessi delle organizzazioni e dei singoli cittadini a poter gestire, operare e controllare i propri sistemi informatici senza interruzioni o impedimenti di alcun tipo.
II. Beni giuridicamente protetti
4 L'articolo 2 del Codice penale protegge l'inviolabilità dei sistemi informatici. Questa protezione penale è necessaria per almeno due motivi.
5 Da un lato, l'accesso illegale a un sistema informatico può comportare notevoli costi di riparazione per il legittimo proprietario. Gli autori dei reati spesso modificano i dati per poter accedere al sistema. Inoltre, le vittime spesso si accorgono dell'intrusione solo qualche tempo dopo che è avvenuta. È quindi particolarmente difficile rintracciare ciò che è stato modificato dagli autori, nonché i nuovi dati generati dal sistema informatico in seguito a tale modifica. Una volta identificati, questi dati devono essere ripristinati allo stato originale. Queste operazioni possono essere molto lunghe e costose.
6 D'altro canto, l'accesso illegale consente agli autori di consultare informazioni a cui non dovrebbero avere accesso (ad esempio rapporti riservati, segreti commerciali, elenchi di clienti, documenti contabili, numeri di carte di credito, dati personali, ecc.) Queste informazioni possono poi essere rivendute sul mercato nero, con danni ancora maggiori per il titolare del diritto rispetto al semplice ripristino della protezione del sistema.
III. Elementi costitutivi fondamentali
A. Un sistema informatico
7 Ai sensi dell'art. 1 let. a CCC, "per sistema informatico si intende qualsiasi dispositivo isolato o insieme di dispositivi interconnessi o collegati, che esegue o uno o più dei cui elementi esegue, in esecuzione di un programma, l'elaborazione automatica di dati". Il concetto di sistema informatico comprende quindi tutti gli elementi hardware (scheda madre, processore, disco rigido, schermo, tastiera, stampante, ecc.) e software (BIOS, sistema operativo, software, aggiornamenti, ecc.), nonché i dispositivi che consentono di collegare tra loro questi vari elementi (cavi, router, terminale wifi, ecc.).
8 Per maggiori dettagli su questo concetto, si rimanda a quanto scritto nel precedente art. 1 CCC.
B. Accesso al sistema informatico
9 Si potrebbe essere tentati di paragonare l'accesso illecito a un sistema informatico al reato di violazione di domicilio. L'accesso al sistema informatico sarebbe quindi l'equivalente digitale della violazione di domicilio. L'aspetto rassicurante di questa analogia è che è facile visualizzare la situazione a livello intellettuale. Tuttavia, il mondo virtuale è più complesso e i contorni dei concetti giuridici sono necessariamente più sfumati.
10 È complicato tracciare un'analogia con il mondo reale. Tuttavia, se si dovesse fare un'analogia, l'accesso a un sistema informatico potrebbe essere paragonato all'ingresso in una fortezza medievale. L'accesso al castello è limitato da un muro di cinta e da un fossato. Il cancello d'ingresso principale è solitamente sorvegliato da guardie. Esse controllano che le persone che entrano nella fortezza siano autorizzate a farlo. Una volta entrati, gli individui possono accedere ad alcune parti del castello e non ad altre, a seconda del loro rango. Il rango è definito dal signore a cui appartiene il castello. Ogni parte del castello contiene oggetti che possono essere visti, toccati, modificati o addirittura distrutti. Anche per questi oggetti, il signore del castello stabilisce chi può fare cosa con quale oggetto. Il signore del castello è l'unica persona che ha accesso a tutte le stanze del castello e l'unica che può agire come meglio crede con tutti gli oggetti del castello.
11 Un sistema informatico funziona in modo simile a un castello. Per accedere al sistema informatico, l'utente deve generalmente inserire un nome utente e una password. Una volta effettuato l'accesso, gli utenti possono accedere a tutto o a parte del sistema informatico, a seconda del loro livello di accreditamento, che viene determinato dall'amministratore del sistema informatico. Questo livello di accreditamento determina anche ciò che l'utente può o non può fare nelle parti del sistema informatico a cui ha accesso, ad esempio visualizzare solo il titolo dei documenti contenuti in una cartella, aprirli per leggerli, modificarli o cancellarli. L'amministratore è l'unica persona che può accedere all'intero sistema informatico e ha il diritto di eseguire qualsiasi azione desideri con i dati in esso contenuti.
12 Tuttavia, l'analogia con il mondo reale finisce qui. Il concetto di "accesso" nel mondo virtuale non può essere paragonato a quello di "penetrazione" nel mondo reale. In informatica, la nozione di "accesso" significa che l'autore riesce a stabilire una connessione con tutto o parte di un sistema informatico. A rigore, quindi, non vi è alcuno spostamento fisico dell'autore da un luogo all'altro.
13 Nella forma semplice del reato, il mezzo utilizzato dall'autore per collegarsi al sistema informatico è irrilevante. L'autore può quindi stabilire una connessione mediante accesso locale o remoto. Se l'autore stabilisce una connessione locale con un sistema informatico a cui ha accesso fisico, lo farà utilizzando una tastiera - hardware o virtuale - e un mouse, o anche semplicemente con le dita nel caso di tablet e smartphone. Può anche utilizzare un terminale per collegarsi a un sistema informatico centrale. Se invece l'autore decide di stabilire una connessione remota, può utilizzare qualsiasi rete di telecomunicazioni. Il tipo di rete (locale, pubblica, privata, ecc.) e il tipo di connessione (via cavo o wireless) sono irrilevanti.
14 Anche l'entità dell'accesso non è determinante ai fini della commissione del reato. L'accesso può essere totale, nel qual caso si estende all'intero sistema informatico. Può anche essere solo parziale. In questo caso, riguarda solo una parte del sistema informatico. È il caso, ad esempio, di chi accede solo alla sessione di un utente o a una parte dei dati memorizzati su un server.
15 Il reato viene commesso nel momento in cui viene stabilita la connessione al sistema informatico. Nulla impedisce quindi all'autore del reato di venire a conoscenza dei dati informatici contenuti nel sistema informatico. Tuttavia, non è necessario che l'autore del reato venga a conoscenza dei dati perché il reato sia stato commesso. Nella pratica, tuttavia, questi due eventi di solito coincidono, poiché i dati vengono visualizzati sullo schermo quando viene stabilito l'accesso.
16 Il concetto di accesso ai sensi dell'articolo 2 del Codice penale deve essere chiaramente distinto dall'interferenza dei dati ai sensi dell'articolo 4 del Codice penale. Per commettere il reato, è sufficiente che l'autore ottenga l'accesso a un sistema informatico. Anche se, in pratica, la creazione di un accesso illegale porta regolarmente alla modifica dei dati, tale deterioramento non è necessario per la commissione del reato.
17 Infine, solo la creazione di un accesso illegale è punibile. Il mantenimento di un accesso lecito dopo che il proprietario del sistema informatico ha informato l'utente che non è più autorizzato ad accedervi non è punibile. Un esempio è rappresentato da un dipendente che, nel corso del suo lavoro, utilizza il proprio computer privato per collegarsi alla rete aziendale e che, una volta licenziato, continua a consultare i file aziendali. Tuttavia, l'assenza di punibilità dura solo per il tempo della connessione. Se interrompe la connessione e ne stabilisce una nuova, è colpevole del reato. A nostro avviso, questa assenza di punibilità è chiaramente una scappatoia descritta in modo improprio, poiché probabilmente le parti non hanno previsto questa possibilità al momento della stesura del testo.
C. Illegalità
18 Per essere punibile, l'autore deve aver agito senza diritto. A tal fine, occorre innanzitutto stabilire se il sistema informatico è pubblico, ossia aperto a tutti, o se l'accesso ad esso è limitato, o una combinazione di entrambi. Se il sistema informatico è pubblico, l'accesso non può in alcun caso essere illecito e l'eventuale reato è escluso. Se invece l'accesso a tutto o a parte del sistema informatico è limitato, l'accesso non autorizzato è punibile.
19 È il legittimo proprietario del sistema informatico a stabilire chi è autorizzato ad accedere a quale parte del sistema informatico. Ciò significa che sono punibili non solo coloro che non sono stati autorizzati ad accedere al sistema informatico, ma anche coloro che sono stati autorizzati ad accedere a una parte del sistema informatico ma che accedono a un'altra parte del sistema informatico a cui non è stato concesso l'accesso. Non sono invece punibili le persone che sono state autorizzate ad accedere al sistema informatico dal suo legittimo proprietario e che rispettano le limitazioni di accesso.
20 Il legittimo proprietario di un sistema informatico non è sempre il suo amministratore. Ciò è particolarmente vero per i sistemi informatici di medie e grandi dimensioni. In queste situazioni, la gestione del sistema informatico è delegata dal legittimo proprietario a un amministratore terzo. Questo amministratore può essere una persona fisica o una persona giuridica. In entrambi i casi, il legittimo proprietario del sistema informatico autorizza l'amministratore ad accedere al sistema per svolgere i propri compiti. L'amministratore, quindi, non ha accesso non autorizzato al sistema informatico finché lo fa per svolgere i suoi compiti. L'accesso è invece non autorizzato quando ha un altro scopo, come la consultazione di informazioni private o riservate non destinate all'amministratore.
21 Quando la gestione di un sistema informatico è delegata a una società, tutte le persone fisiche responsabili di questo compito all'interno della società sono autorizzate ad accedervi. Tuttavia, ciò non vale per le persone fisiche all'interno dell'entità giuridica a cui non è stato assegnato questo compito. Se queste persone accedono al sistema informatico, lo fanno senza diritto, poiché non lo fanno per svolgere il compito affidato alla persona giuridica.
22 Una persona specificamente incaricata di testare la sicurezza del sistema informatico che riesce ad accedere al sistema informatico aggirando le misure di protezione predisposte non agisce illegalmente, in quanto è stata autorizzata a farlo dal suo beneficiario.
D. Intenzione
23 L'accesso illegale è intenzionale. L'intenzione deve riguardare tutti gli elementi oggettivi della violazione. L'autore deve quindi essere consapevole di accedere senza diritto a un sistema informatico e avere la volontà di farlo. È sufficiente una possibile frode. Se l'autore sospetta di accedere in tutto o in parte a un sistema informatico a cui non dovrebbe avere accesso, ma stabilisce comunque una connessione, è colpevole di accesso illecito. Se invece l'autore commette un errore di manipolazione e stabilisce suo malgrado una connessione non autorizzata, non c'è dolo e il reato non viene commesso.
24 La legge punisce solo la creazione di un accesso illegale e non il fatto di mantenere l'accesso contro la volontà del titolare del diritto. Di conseguenza, una persona che accede inavvertitamente a un sistema informatico ma, una volta collegata, ne esplora il contenuto, non è punibile.
25 Se l'autore crede erroneamente che il sistema informatico a cui sta accedendo sia pubblico, o se crede erroneamente di avere il diritto di accedervi per qualche altro motivo, è in errore sui fatti.
IV. Elementi costitutivi aggiuntivi facoltativi
26 Durante la stesura della Convenzione sulla criminalità informatica, la maggioranza delle Parti voleva rendere la pirateria un reato puro e semplice. Altre, invece, erano contrarie a una criminalizzazione generale dell'hacking, in quanto la semplice intrusione non provoca necessariamente un danno e, in alcuni casi, gli atti di hacking consentono addirittura di scoprire e colmare le lacune della sicurezza. Per tenere conto di queste considerazioni, e dato che le legislazioni nazionali di molti Paesi contenevano già disposizioni che punivano l'hacking in varie forme, alle Parti è stata data la possibilità di limitare la punibilità dell'accesso illegale richiedendo il soddisfacimento di uno o più elementi costitutivi aggiuntivi.
A. Accesso in violazione delle misure di sicurezza
27 La Convenzione sulla criminalità informatica offre innanzitutto alle Parti la possibilità di punire l'accesso illecito solo se commesso in violazione delle misure di sicurezza. La Repubblica Ceca, la Finlandia, la Germania, il Giappone, la Lituania, il Perù, la Repubblica Slovacca e la Svizzera si sono avvalsi di questa possibilità.
28 Questo requisito aggiuntivo significa che il sistema informatico deve essere protetto dall'accesso non autorizzato. In altre parole, se l'autore accede senza autorizzazione a un sistema informatico non protetto, non è punibile.
29 Il concetto di misure di sicurezza deve essere inteso in senso ampio. Esso comprende sia le misure di sicurezza fisiche che quelle virtuali. Per quanto riguarda le misure di sicurezza fisiche, il sistema informatico può, ad esempio, essere collocato in una stanza chiusa a chiave a cui si può accedere solo con una chiave, un badge magnetico, un'impronta digitale, una scansione della retina o un'impronta vocale. Le misure di sicurezza virtuali possono includere protezione firewall, codici PIN, password o doppia o addirittura tripla autenticazione.
30 Se l'autore del reato non riesce ad aggirare le misure di sicurezza, o se decide spontaneamente di interrompere la sua attività prima di averle superate, si può prevedere un solo tentativo. Ciò pone tuttavia un problema, in quanto l'art. 11 § 2 CCC non impone alle Parti di punire il tentativo di accesso illegale. Ogni Stato è quindi libero di trattare questo aspetto come meglio crede, con il risultato che questo comportamento potrebbe non essere affatto punibile, a seconda della legislazione nazionale degli Stati contraenti.
B. Lo scopo di ottenere dati informatici o un altro scopo speciale
31 Un'altra possibilità offerta alle Parti è quella di richiedere che l'autore del reato abbia agito con uno scopo particolare. Diversi Stati si sono avvalsi di questa possibilità.
32 Gli Stati Uniti d'America hanno deciso di richiedere che l'autore abbia agito allo scopo di ottenere dati. Sebbene alle Parti sia stata concessa questa possibilità, il suo utilizzo è deplorevole perché svuota la norma di gran parte della sua sostanza. Questa disposizione è stata concepita specificamente per punire gli atti degli hacker che accedono ai sistemi informatici per spavalderia, senza tuttavia essere interessati ai dati in essi contenuti. La richiesta di questa finalità specifica sembra quindi contraria allo spirito della disposizione.
33 Il Belgio, da parte sua, ha dichiarato che l'accesso illecito è considerato reato solo se commesso con intento fraudolento o doloso. L'intento fraudolento sembra riferirsi al desiderio di ottenere un vantaggio indebito per sé o per un'altra persona. Per quanto riguarda il dolo, probabilmente si riferisce all'intenzione di arrecare danno a un'altra persona in qualsiasi forma.
34 Il Principato di Andorra e la Repubblica Slovacca hanno deciso di perseguire l'accesso illecito solo se commesso allo scopo di ottenere dati senza diritto, danneggiarli (solo nel caso del Principato di Andorra) o con un altro intento criminale. Questa formulazione mira a evitare che gli autori del reato sfuggano alla condanna perché perseguono uno scopo diverso dall'ottenimento o dal danneggiamento dei dati. A nostro avviso, tuttavia, deve essere interpretata alla luce degli scopi speciali elencati nell'art. 2 del Codice penale, e deve essere simile sia in termini di scopo perseguito dall'autore del reato che di intensità criminale. Il 1° gennaio 2021, il Codice penale slovacco è stato modificato e la Riserva della Repubblica slovacca è stata adattata. La sezione 247 è stata riformulata. Nella sua forma semplice, questa disposizione non richiede più alcuno scopo speciale (§ 247 par. 1). D'altro canto, il § 247 par. 2 prevede una forma qualificata nel caso in cui l'autore del reato provochi un danno considerevole.
35 Infine, il Canada ha indicato che perseguirà l'accesso illecito solo se commesso con premeditazione. Quest'ultimo concetto è particolarmente impreciso e di conseguenza crea una notevole incertezza nella legge. Inoltre, sembra sovrapporsi alla nozione di dolo. A nostro avviso, quindi, deve essere interpretato in modo restrittivo.
36 Il Cile ha inizialmente formulato una riserva identica a quella del Canada. Tuttavia, ha modificato la propria legislazione nel 2022. Nella nuova versione, l'acceso ilícito è punibile se commesso intenzionalmente. Non è più richiesto il dolo speciale. Tuttavia, quando l'accesso illecito è commesso allo scopo di ottenere o utilizzare i dati contenuti nel sistema informatico, la pena è aumentata.
C. Un sistema informatico collegato a un altro sistema informatico
37 Infine, la Convenzione sulla criminalità informatica consente alle Parti di limitare la punibilità dell'accesso illecito alle connessioni stabilite senza diritto con un sistema informatico attraverso un altro sistema informatico. Avvalendosi di questa possibilità, le Parti possono escludere i casi in cui l'autore del reato acceda fisicamente al sistema informatico preso di mira, senza passare attraverso una rete.
38 Gli unici Stati che si sono avvalsi di questa possibilità sono la Repubblica Slovacca e il Giappone. Il Codice penale slovacco è stato successivamente modificato. La nuova formulazione del § 247, entrata in vigore il 1° gennaio 2021, non prevede più questo requisito nella sua versione attuale, pertanto la riserva della Repubblica Slovacca è stata adattata.
V. Confronto con il diritto svizzero
39 Secondo il diritto svizzero, la pirateria informatica è punita dall'articolo 143bis del Codice penale svizzero. Questa disposizione punisce l'accesso non autorizzato al sistema informatico di un'altra persona, appositamente protetto dall'accesso, per mezzo di un dispositivo di trasmissione dati. Tuttavia, questa disposizione non soddisfa i requisiti dell'art. 2 CCC sotto tre aspetti.
40 In primo luogo, la Convenzione non distingue tra sistemi informatici. Essa protegge l'integrità di tutti i sistemi informatici, indipendentemente dalla loro ubicazione. L'articolo 143bis cpv. 1 del Codice penale, invece, incrimina solo l'accesso non autorizzato a un sistema informatico "appartenente a un'altra persona". Poiché questa disposizione si trova nel Titolo 2 del Codice Penale, ossia i reati contro la proprietà, questa formulazione deve essere interpretata con riferimento ai diritti reali. Il sistema informatico deve quindi appartenere a una persona diversa dall'autore. Se l'autore è proprietario o comproprietario del sistema informatico, questo elemento costitutivo non è soddisfatto perché non appartiene a qualcun altro. Pertanto, se sono state aperte diverse sessioni nello stesso sistema informatico, l'autore, che è il (co)proprietario del sistema informatico, che accede a una sessione diversa dalla propria non è punibile. La maggior parte dei giuristi, invece, ritiene che "appartenere a un'altra persona" debba essere inteso nel senso che una persona diversa dall'autore è autorizzata ad accedere e utilizzare il sistema informatico o un sottosistema informatico. Tale interpretazione, tuttavia, renderebbe superflua la nozione di "appartenenza a un'altra persona" rispetto all'elemento costitutivo dell'accesso illecito. Il motivo per cui il legislatore ha menzionato questi due elementi separatamente è che si tratta di due concetti che devono essere analizzati indipendentemente l'uno dall'altro. Per coerenza con la Convenzione, il termine "altri" di cui all'art. 143bis cpv. 1 c.p. dovrebbe quindi essere eliminato.
41 L'art. 143bis cpv. 1 del Codice penale richiede che l'autore del reato abbia avuto accesso al sistema informatico per mezzo di un dispositivo di trasmissione dati. Ciò significa, ad esempio, che un autore che approfitta dell'assenza della vittima per entrare nel suo ufficio e collegarsi direttamente al suo computer non è colpevole di accesso non autorizzato a un sistema informatico, poiché non sta utilizzando un dispositivo di trasmissione dati. L'articolo 2 § 2 del Codice penale consente alle Parti di limitare l'azione penale all'accesso illecito commesso per mezzo di un sistema informatico collegato a un altro sistema informatico. Tuttavia, la Svizzera non ha dichiarato di volersi avvalere di questa possibilità. Di conseguenza, l'elemento costitutivo dell'accesso per mezzo di un dispositivo di trasmissione dati dovrebbe essere eliminato.
42 Infine, l'articolo 143bis del Codice penale prevede un reato perseguito solo a querela di parte. Tuttavia, se un reato è perseguito solo a querela di parte, l'autorità penale non può assumersi la giurisdizione. Poiché esiste un conflitto di dottrina sul fatto che una denuncia presentata nello Stato richiedente sia sufficiente per attuare la cooperazione internazionale, sarebbe prudente perseguire d'ufficio l'accesso indebito a un sistema informatico.
43 Alla luce di quanto precede, si deve concludere che il diritto svizzero non è conforme all'articolo 2 CPC. L'articolo 143bis del Codice penale svizzero dovrebbe pertanto essere modificato.
I concetti tecnici informatici contenuti in questo contributo sono stati redatti con l'aiuto di Yannick Jacquey, responsabile ICT con diploma federale. Desideriamo ringraziarlo calorosamente per la sua assistenza.
Bibliografia
Dupuis Michel / Geller Bernard / Monnier Gilles / Moreillon Laurent / Piguet Christophe / Bettex Christian / Stoll Daniel (éditeurs), Code pénal - Petit commentaire, 2. éd., Bâle 2017
Pfister Christa, Hacking in der Schweiz, Diss., Zürich, 2008
Schmid Niklaus, Computer- sowie Check- und Kreditkartenkriminalität, Zurich 1994
Schwarzenegger Christian, Die internationale Harmonisierung des Computer- und Internetstrafrechts durch die Convention on Cybercrime, in : Strafrecht, Strafprozessrecht und Menschenrechte, Festschrift Trechsel, Zurich 2002
Stratenwerth Günter / Bommer Felix, Schweizerisches Strafrecht, Besonderer Teil I: Straftaten gegen Individualinteressen, 8. éd., Berne, 2022
Trechsel Stefan / Crameri Dean, in : Trechsel Stefan / Pieth Mark (éditeurs), Schweizerisches Strafgesetzbuch, Praxiskommentar, 4. éd., Zurich 2021
Weissenberg Philippe, in : Niggli Marcel Alexander / Wiprächtiger Hans (éditeurs), Basler Kommentar, Strafrecht II, 4. éd., Bâle 2018
I Materiali
Conseil de l’Europe, Explanatory Report to the Convention on Cybercrime, Budapest 23.11.2001, disponible sous https://rm.coe.int/16800cce5b, visité le 21.1.2024 (cité : Rapport explicatif de la Convention sur la cybercriminalité)
Message concernant la modification du code pénal suisse et du code pénal militaire (Infractions contre le patrimoine et faux dans les titres) ainsi que la modification de la loi fédérale sur l'approvisionnement économique du pays (Dispositions pénales) du 24 avril 1991, FF 1991 II 933, disponible sous https://www.fedlex.admin.ch/eli/fga/1991/2_969_933_797/fr, visité le 21.1.2024