-
- Art. 5a Cost.
- Art. 6 Cost.
- Art. 10 Cost.
- Art. 16 Cost.
- Art. 17 Cost.
- Art. 20 Cost.
- Art. 22 Cost.
- Art. 29a Cost.
- Art. 30 Cost.
- Art. 32 Cost.
- Art. 42 Cost.
- Art. 43 Cost.
- Art. 43a Cost.
- Art. 55 Cost.
- Art. 56 Cost.
- Art. 68 Cost.
- Art. 60 Cost.
- Art. 75b Cost.
- Art. 77 Cost.
- Art. 96 cpv. 2 lett. a Cost.
- Art. 110 Cost.
- Art. 117a Cost.
- Art. 118 Cost.
- Art. 123b Cost.
- Art. 136 Cost.
- Art. 166 Cost.
-
- Art. 11 CO
- Art. 12 CO
- Art. 50 CO
- Art. 51 CO
- Art. 84 CO
- Art. 143 CO
- Art. 144 CO
- Art. 145 CO
- Art. 146 CO
- Art. 147 CO
- Art. 148 CO
- Art. 149 CO
- Art. 150 CO
- Art. 701 CO
- Art. 715 CO
- Art. 715a CO
- Art. 734f CO
- Art. 785 CO
- Art. 786 CO
- Art. 787 CO
- Art. 788 CO
- Art. 808c CO
- Disposizioni transitorie per la revisione del diritto azionario del 19 giugno 2020
-
- Art. 2 LDP
- Art. 3 LDP
- Art. 4 LDP
- Art. 6 PRA
- Art. 10 LDP
- Art. 11 LDP
- Art. 12 LDP
- Art. 13 LDP
- Art. 14 LDP
- Art. 15 LDP
- Art. 16 LDP
- Art. 17 LDP
- Art. 19 LDP
- Art. 20 LDP
- Art. 21 LDP
- Art. 22 LDP
- Art. 23 LDP
- Art. 24 LDP
- Art. 25 LDP
- Art. 26 LDP
- Art. 10a LDP
- Art. 27 LDP
- Art. 29 LDP
- Art. 30 LDP
- Art. 31 LDP
- Art. 32 LDP
- Art. 32a LDP
- Art. 33 LDP
- Art. 34 LDP
- Art. 35 LDP
- Art. 36 LDP
- Art. 37 LDP
- Art. 38 LDP
- Art. 39 LDP
- Art. 40 LDP
- Art. 41 LDP
- Art. 42 LDP
- Art. 43 LDP
- Art. 44 LDP
- Art. 45 LDP
- Art. 46 LDP
- Art. 47 LDP
- Art. 48 LDP
- Art. 49 LDP
- Art. 50 LDP
- Art. 51 LDP
- Art. 52 LDP
- Art. 53 LDP
- Art. 54 LDP
- Art. 55 LDP
- Art. 56 LDP
- Art. 57 LDP
- Art. 58 LDP
- Art. 59a LDP
- Art. 59b LDP
- Art. 59c LDP
- Art. 62 LDP
- Art. 63 LDP
- Art. 67 LDP
- Art. 67a LDP
- Art. 67b LDP
- Art. 75 LDP
- Art. 75a LDP
- Art. 76 LDP
- Art. 76a LDP
- Art. 90 LDP
-
- Vorb. zu Art. 1 LPD
- Art. 1 LPD
- Art. 2 LPD
- Art. 3 LPD
- Art. 5 lit. f und g LPD
- Art. 6 cpv. 6 e 7 LPD
- Art. 7 LPD
- Art. 10 LPD
- Art. 11 LPD
- Art. 12 LPD
- Art. 14 LPD
- Art. 15 LPD
- Art. 19 LPD
- Art. 20 LPD
- Art. 22 LPD
- Art. 23 LPD
- Art. 25 LPD
- Art. 26 LPD
- Art. 27 LPD
- Art. 31 cpv. 2 lit. e LPD
- Art. 33 LPD
- Art. 34 LPD
- Art. 35 LPD
- Art. 38 LPD
- Art. 39 LPD
- Art. 40 LPD
- Art. 41 LPD
- Art. 42 LPD
- Art. 43 LPD
- Art. 44 LPD
- Art. 44a LPD
- Art. 45 LPD
- Art. 46 LPD
- Art. 47 LPD
- Art. 47a LPD
- Art. 48 LPD
- Art. 49 LPD
- Art. 50 LPD
- Art. 51 LPD
- Art. 54 LPD
- Art. 57 LPD
- Art. 58 LPD
- Art. 60 LPD
- Art. 61 LPD
- Art. 62 LPD
- Art. 63 LPD
- Art. 64 LPD
- Art. 65 LPD
- Art. 66 LPD
- Art. 67 LPD
- Art. 69 LPD
- Art. 72 LPD
- Art. 72a LPD
-
- Art. 2 CCC (Convenzione sulla cibercriminalità [Cybercrime Convention])
- Art. 3 CCC (Convenzione sulla cibercriminalità [Cybercrime Convention])
- Art. 4 CCC (Convenzione sulla cibercriminalità [Cybercrime Convention])
- Art. 5 CCC (Convenzione sulla cibercriminalità [Cybercrime Convention])
- Art. 6 CCC (Convenzione sulla cibercriminalità [Cybercrime Convention])
- Art. 7 CCC (Convenzione sulla cibercriminalità [Cybercrime Convention])
- Art. 8 CCC (Convenzione sulla cibercriminalità [Cybercrime Convention])
- Art. 9 CCC (Convenzione sulla cibercriminalità [Cybercrime Convention])
- Art. 11 CCC (Convenzione sulla cibercriminalità [Cybercrime Convention])
- Art. 12 CCC (Convenzione sulla cibercriminalità [Cybercrime Convention])
- Art. 25 CCC (Convenzione sulla cibercriminalità [Cybercrime Convention])
- Art. 29 CCC (Convenzione sulla cibercriminalità [Cybercrime Convention])
- Art. 32 CCC (Convenzione sulla cibercriminalità [Cybercrime Convention])
- Art. 33 CCC (Convenzione sulla cibercriminalità [Cybercrime Convention])
- Art. 34 CCC (Convenzione sulla cibercriminalità [Cybercrime Convention])
COSTITUZIONE FEDERALE
CODICE DELLE OBBLIGAZIONI
LEGGE FEDERALE SUL DIRITTO INTERNAZIONALE PRIVATO
CONVENZIONE DI LUGANO
CODICE DI PROCEDURA PENALE
CODICE DI PROCEDURA CIVILE
LEGGE FEDERALE SUI DIRITTI POLITICI
CODICE CIVILE
LEGGE FEDERALE SUI CARTELLI E ALTRE LIMITAZIONI DELLA CONCORRENZA
LEGGE FEDERALE SULL’ASSISTENZA INTERNAZIONALE IN MATERIA PENALE
LEGGE FEDERALE SULLA PROTEZIONE DEI DATI
LEGGE FEDERALE SULLA ESECUZIONE E SUL FALLIMENTO
CODICE PENALE SVIZZERO
CYBERCRIME CONVENTION
ORDINANZA SUL REGISTRO DI COMMERCIO
- I. Aspetti generali
- II. Proprietà giuridicamente protetta
- III. Elementi costitutivi di base
- IV. Elemento costitutivo aggiuntivo facoltativo
- V. Confronto con il diritto svizzero
- Bibliografia
- I Materiali
I. Aspetti generali
1 Negli ultimi vent'anni, la società nel suo complesso è passata a un mondo digitale. Gran parte del commercio si svolge online, le transazioni finanziarie vengono effettuate tramite l'e-banking e le autorità, le imprese e i singoli cittadini conservano grandi quantità di informazioni su personal computer, server e persino cloud. Nonostante la portata dei cambiamenti già avvenuti, questa evoluzione non sembra affatto conclusa. Anzi, è molto probabile che la società continui a diventare ancora più digitale nei decenni a venire.
2 I documenti digitali stanno gradualmente sostituendo quelli cartacei. In linea con questa tendenza, i documenti in formato elettronico stanno diventando sempre più autorevoli.
3 Data la crescente importanza dei dati informatici nel mondo digitale, era giustificato proteggerli da atti dolosi. Mentre gli artt. 2 e 3 del CCC tutelano la riservatezza dei dati, l'art. 4 del CCC mira a garantire la protezione dell'integrità e della disponibilità dei dati.
II. Proprietà giuridicamente protetta
4 Lo scopo dell'art. 4 CCC è quello di fornire ai dati e ai programmi informatici una protezione simile a quella offerta ai beni materiali contro i danni intenzionali. Gli interessi giuridici tutelati da questa disposizione sono, da un lato, l'integrità dei dati e dei programmi informatici e, dall'altro, il corretto funzionamento o utilizzo dei dati e dei programmi informatici.
III. Elementi costitutivi di base
A. Dati informatici
5 Ai sensi dell'art. 1 lett. b CCC, "l'espressione 'dati informatici' indica qualsiasi rappresentazione di fatti, informazioni o concetti in una forma adatta all'elaborazione in un sistema informatico, compreso un programma progettato per far sì che un sistema informatico esegua una funzione". Il concetto di dati informatici è quindi molto ampio e comprende in particolare tutte le lettere, i simboli o i codici di programmazione che possono essere inseriti, elaborati e memorizzati da un sistema informatico.
6 Per maggiori dettagli su questo concetto, si rimanda a quanto scritto nel precedente art. 1 CCC.
B. Condotta punibile
7 Affinché un sistema informatico funzioni correttamente, i dati che elabora devono essere disponibili e accurati. Per garantire questi due aspetti, l'art. 4 del Codice penale elenca cinque condotte punibili. Punire la cancellazione e l'eliminazione dei dati ha lo scopo di proteggere la disponibilità dei dati. Il danneggiamento, il deterioramento o l'alterazione dei dati è punito per proteggere l'integrità dei dati. Questo elenco di comportamenti non è esaustivo. Tuttavia, copre tutti i possibili comportamenti dannosi.
1. Cancellare e cancellare i dati
8 In termini informatici, i dati sono espressi in linguaggio binario come una successione di "0" e "1". Questa è la forma in cui i dati vengono elaborati e memorizzati. Quando l'utente registra dei dati, il sistema informatico salva la serie di "0" e "1" corrispondente a questi dati in uno spazio vuoto del supporto di registrazione (ad es. disco rigido, DVD, chiave USB, ecc.). Per ritrovare questi dati quando l'utente ne ha bisogno, il sistema informatico dispone di una sorta di mappa che indica la posizione dei dati sul supporto.
9 L'eliminazione dei dati comporta la distruzione dei mezzi per localizzarli. I dati esistono ancora, ma l'utente non può più determinarne la posizione sul supporto e quindi non può più accedervi. Il sistema informatico ritiene che lo spazio sul supporto sia libero e quindi registra i nuovi dati al posto di quelli cancellati. L'unico modo per recuperare i dati cancellati è utilizzare un programma di recupero dati il più rapidamente possibile. Questo programma legge l'intero supporto e ricostruisce una mappa del supporto di registrazione per individuare i dati. In questo modo è possibile recuperare i dati prima che ne vengano registrati altri.
10 A differenza della cancellazione, la cancellazione dei dati è la distruzione permanente dei dati. I dati non esistono più sul supporto di registrazione. In linea di principio, non possono più essere recuperati.
2. Danneggiamento, deterioramento e alterazione dei dati
11 L'integrità dei dati è essenziale per il buon funzionamento dei sistemi informativi tanto quanto la disponibilità dei dati. La sua importanza è tale che è persino oggetto di uno standard ISO. L'integrità dei dati si riferisce all'affidabilità, all'accuratezza e alla completezza dei dati. In altre parole, i dati di cui è garantita l'integrità sono quelli che non sono stati modificati dopo la loro registrazione iniziale. Il concetto di integrità dei dati riguarda sia il contenuto dei dati che la loro forma.
12 Nel mondo reale, la nozione di integrità garantita dei dati può essere paragonata all'invio di un pacco per posta, dove si certifica che proviene realmente dal mittente indicato sul pacco, che è stato spedito alla data e nel luogo indicati dal timbro postale, che il pacco non è stato aperto, che il suo contenuto è quello inviato dal mittente e che nulla è stato rimosso o aggiunto al pacco dopo la spedizione.
13 In questo contesto, "danneggiamento" e "deterioramento" dei dati sono concetti che si sovrappongono. Descrivono danni negativi alla forma o al contenuto di dati o programmi. I dati danneggiati o deteriorati non sono più affidabili, accurati o completi. Non è quindi più possibile essere certi che provengano dal mittente da cui sembrano provenire, che siano effettivamente i dati inviati dal mittente e che nessun dato sia stato cancellato, aggiunto o modificato.
14 Per "alterazione" si intende una modifica dei dati esistenti. Tale modifica può riguardare sia la forma che il contenuto dei dati. Si tratta di un termine molto ampio che comprende tutte le azioni effettuate sui dati con l'aggiunta, la sostituzione o la cancellazione di uno o più elementi.
3. Modalità della Commissione
15 I diversi tipi di comportamento appena esaminati possono essere commessi direttamente dall'autore del reato. Tuttavia, è anche possibile utilizzare un bot per compiere questi atti. Questo ha il vantaggio che l'autore del reato deve impartire una sola volta le istruzioni al programma, che poi ripete automaticamente le azioni richieste tutte le volte che è necessario. C'è da temere che lo sviluppo dell'intelligenza artificiale renderà questo lavoro ancora più semplice ed efficiente in futuro. Il WormGPT è senza dubbio il precursore di una nuova forma di violazione, in quanto consente di implementare in altri sistemi informatici i contenuti generati dall'intelligenza artificiale, che per il momento sono stati confinati in una sandbox informatica.
16 Detto questo, anche senza l'utilizzo di un bot, l'intelligenza artificiale offre già innumerevoli possibilità di modificare i dati. Ad esempio, è molto facile chiedere di riscrivere un testo sostituendo un'idea con un'altra, o di modificare un'immagine sostituendo un elemento con un altro. In futuro, quindi, sarà sempre più difficile distinguere i dati autentici da quelli modificati.
17 Nella stragrande maggioranza dei casi, le violazioni dei dati si realizzano commettendo una condotta punibile. Tuttavia, le violazioni dei dati possono verificarsi anche a causa di una protezione inadeguata del sistema informatico. A nostro avviso, in questi casi si può parlare di commissione per omissione da parte dell'amministratore del sistema informatico che, in virtù della sua funzione, ha il dovere legale di agire e si trova quindi nella posizione di garante nei confronti del titolare dei dati.
C. Illecito
18 Per essere punibile, l'autore deve aver agito senza diritto. È il legittimo proprietario dei dati a stabilire chi è autorizzato a modificarli. Chiunque non sia stato autorizzato a modificare i dati è pertanto perseguibile. Non sono invece perseguibili le persone che sono state autorizzate, espressamente o tramite accordo, a modificare i dati dall'avente diritto, o che sono autorizzate a farlo per legge o per contratto.
19 Oggigiorno è frequente che i dati vengano modificati con un atto conclusivo. È il caso, ad esempio, dello scambio di messaggi tramite instant messenger come WhatsApp, Telegraph o Threema. Tutte queste applicazioni criptano i dati prima di inviarli e li decriptano quando li ricevono. Si tratta di una modifica dei dati. Tuttavia, è lecita, in primo luogo perché è accettata dagli utenti con un atto vincolante e, in secondo luogo, perché garantisce la riservatezza dei dati.
20 Un altro caso di modifica dei dati con atto vincolante è rappresentato dagli aggiornamenti delle applicazioni. Durante un aggiornamento, viene installata una nuova versione del programma al posto di quella precedente. I dati esistenti vengono cancellati e i nuovi dati vengono scritti e registrati sul supporto di memorizzazione. Questo processo è lecito, purché l'utente abbia la possibilità di scegliere se installare o meno l'aggiornamento. A nostro avviso, l'editore dell'applicazione che obbliga l'utente a installare una nuova versione dell'applicazione, pena l'inutilizzabilità della stessa o l'illeggibilità dei dati, è punibile.
21 Per quanto riguarda gli atti autorizzati dalla legge, alcune leggi nazionali contengono eccezioni alla garanzia di integrità dei dati. In particolare, consentono alle autorità penali o ai servizi di intelligence di installare govware nei sistemi informatici al fine di monitorare l'attività delle persone che li utilizzano, ad esempio per scoprire l'autore di un reato o per ottenere informazioni utili alla protezione dello Stato. L'installazione di questi programmi di spionaggio non è illegale, a condizione che venga effettuata nel rigoroso quadro stabilito dalla legge. Tuttavia, la sorveglianza può essere effettuata solo in casi gravi e deve essere soggetta a un successivo controllo giudiziario.
22 Anche la modifica dei dati non è illegale se è stata autorizzata contrattualmente. Ciò vale in particolare per l'amministratore del sistema informatico che è responsabile della manutenzione. Non è punibile se aggiorna i programmi installati nel sistema informatico. È invece punibile chi approfitta del proprio status per cancellare o modificare i dati di un utente senza la sua autorizzazione.
23 Allo stesso modo, uno specialista informatico incaricato di effettuare test di intrusione su un sistema informatico non è punibile se modifica i dati per creare una falla nelle difese messe in atto per proteggere l'accesso al sistema informatico. È invece punibile l'hacker che agisce nello stesso modo senza autorizzazione.
D. Intenzione
24 Una violazione dell'integrità dei dati deve essere intenzionale. L'intenzione deve riguardare tutti gli elementi oggettivi del reato. L'autore deve quindi essere consapevole di danneggiare indebitamente i dati e avere la volontà di farlo. È sufficiente un'eventuale frode.
IV. Elemento costitutivo aggiuntivo facoltativo
25 L'articolo 4 cpv. 2 CCC consente agli Stati contraenti di formulare una riserva e di perseguire solo i comportamenti che hanno causato un danno grave.
26 Il testo non definisce il concetto di "danno grave". La relazione esplicativa si limita ad affermare che ogni Stato è libero di interpretare tale concetto come desidera. Tuttavia, le Parti hanno optato per il concetto di "danno" piuttosto che per quello di "danno". È quindi chiaro che il danno non si limita al solo aspetto economico. Il danno può quindi corrispondere anche al tempo di lavoro necessario per recuperare o ricreare i dati, nonché alle conseguenze della scomparsa o dell'impossibilità di utilizzare i dati.
27 Le parti hanno inoltre specificato che il danno deve essere grave. Questo aggettivo, unito al concetto di danno, significa che deve essere di una certa entità. È quindi ipotizzabile che il danno debba rappresentare una somma di denaro consistente, un numero significativo di ore di lavoro o avere gravi conseguenze.
28 L'Azerbaigian, la Lituania, la Repubblica Slovacca, il Cile e gli Stati Uniti d'America si sono avvalsi della possibilità prevista dall'art. 4 § 2 CPC. L'Azerbaigian, la Lituania, la Repubblica Slovacca e gli Stati Uniti d'America hanno specificato che nel loro diritto interno il concetto di danno grave deve essere interpretato come se avesse causato un danno grave. Il Codice penale slovacco è stato successivamente modificato. Il § 247 è stato sostituito dal § 247b. Nella sua forma semplice, il verificarsi di un danno grave non è più richiesto (§ 247b par. 1). D'altra parte, il verificarsi di un danno grave è diventato una forma qualificata del reato (§ 247b par. 2 let. a). Il Cile, da parte sua, ha parlato di danno grave. Si può quindi notare che, anche se la formulazione della Convenzione consentiva un'interpretazione molto ampia, tutti gli Stati che si sono avvalsi della possibilità offerta dall'art. 4 § 2 CCC hanno limitato il concetto di danno al solo aspetto economico.
29 È interessante notare il modo originale in cui il diritto svizzero ha affrontato la questione del danno grave. Invece di limitare l'azione penale alla condotta che ha causato un danno grave, l'art. 144bis cap. 1 par. 2 del Codice Penale prevede una forma qualificata di azione penale quando il danno causato dall'autore è considerevole.
V. Confronto con il diritto svizzero
30 Nel diritto svizzero, l'interferenza dei dati (art. 4 CCC) ha il suo corrispettivo nell'art. 144bis cap. 1 CP. Tuttavia, gli interessi giuridici tutelati da queste due disposizioni non sono strettamente identici, poiché l'art. 4 CCC tutela l'integrità e il corretto funzionamento o utilizzo dei dati o dei programmi informatici memorizzati, mentre l'art. 144bis cap. 1 del Codice penale tutela il diritto all'integrità dei dati. Tuttavia, sono molto simili e condividono lo stesso scopo.
31 Le condotte punibili ai sensi dell'articolo 4 CCC sono tutte coperte dall'articolo 144bis cpv. 1, del Codice penale. I concetti di "danneggiamento", "deterioramento" e "alterazione" di cui all'articolo 4 del Codice penale sono coperti dal termine "modifica", che include tutte le forme di trasformazione. Il concetto di "cancellazione" cui fa riferimento la Convenzione, ossia la distruzione definitiva dei dati, è identico nel diritto svizzero. Infine, la "cancellazione" dei dati di cui all'art. 4 CCC è coperta dal termine "messa fuori uso", che comprende tutte le forme di comportamento con cui si impedisce al legittimo proprietario di utilizzare correttamente i propri dati.
32 Infine, l'art. 144bis cpv. 1 del Codice penale svizzero prevede un reato che può essere perseguito solo a querela di parte. Tuttavia, quando un reato è perseguito solo sulla base di una denuncia, l'autorità penale non può assumere la giurisdizione in prima persona. Poiché vi sono pareri discordanti sul fatto che una denuncia presentata nello Stato richiedente sia sufficiente per attuare la cooperazione internazionale, sarebbe prudente perseguire il deterioramento dei dati d'ufficio in tutti i casi, oppure presentare una dichiarazione che limiti l'azione penale ai casi in cui il danno causato sia considerevole.
I concetti tecnici informatici contenuti in questo contributo sono stati redatti con l'aiuto di Yannick Jacquey, ICT Manager con diploma federale. Desideriamo ringraziarlo calorosamente per la sua assistenza.
Bibliografia
Corboz Bernard, Les infractions en droit suisse, vol. I, 3. éd., Berne 2010
Schmid Niklaus, Computer- sowie Check- und Kreditkartenkriminalität, Zurich 1994
Schwarzenegger Christian, Die internationale Harmonisierung des Computer- und Internetstrafrechts durch die Convention on Cybercrime, in : Strafrecht, Strafprozessrecht und Menschenrechte, Festschrift Trechsel, Zurich 2002
Trechsel Stefan / Crameri Dean, in : Trechsel Stefan / Pieth Mark (éditeurs), Schweizerisches Strafgesetzbuch, Praxiskommentar, 4. éd., Zürich, 2021
Weissenberg Philippe, in : Niggli Marcel Alexander / Wiprächtiger Hans (éditeurs), Basler Kommentar, Strafrecht II, 4. éd., Bâle 2018
I Materiali
Conseil de l’Europe, Explanatory Report to the Convention on Cybercrime, Budapest 23.11.2001, disponible à https://rm.coe.int/16800cce5b, visité le 21.1.2024 (cité : Rapport explicatif de la Convention sur la cybercriminalité)