▶ Risposta immediata: I reati informatici (artt. 615-ter e 640-ter c.p.) prevedono pene da 6 mesi a 8 anni a seconda della gravità e degli aggravanti. I procedimenti per cybercrime sono tecnicamente complessi — la prova digitale richiede analisi forensi specializzate — e le indagini della Polizia Postale spesso partono da basi probatorie deboli (IP spoofati, attribuzioni erronee). La difesa tecnica è possibile e spe...
Cybercrime nel codice penale italiano: art. 615-ter e 640-ter
Il diritto penale informatico italiano si è sviluppato progressivamente dalla L. 547/1993 (che ha introdotto i reati informatici nel codice penale) al recepimento della Direttiva NIS2 (2022/2555, recepita con D.Lgs. 138/2024). I reati informatici principali che danno origine a procedimenti penali coinvolgenti imprenditori, tecnici e professionisti sono:
| Reato | Art. | Pena base | Aggravante max |
|---|---|---|---|
| Accesso abusivo sistema informatico | 615-ter | fino a 3 anni | 1-5 anni (sistemi critici) |
| Intercettazione comunicazioni informatiche | 617-quater | 1-4 anni | fino a 5 anni |
| Detenzione programmi informatici dannosi | 615-quinquies | 2-5 anni (malware) | 2-8 anni (servizi essenziali) |
| Frode informatica | 640-ter | 6 mesi-3 anni | 1-5 anni (sistemi finanziari) |
| Danneggiamento sistemi informatici | 635-bis/635-quater | 1-5 anni | 2-8 anni (infrastrutture) |
| Estorsione informatica (ransomware) | 629 + 615-ter/635-bis | 5-10 anni | 7-20 anni (vittima critica) |
Art. 615-ter c.p.: accesso abusivo — le questioni difensive più controverse
L'art. 615-ter ("accesso abusivo a un sistema informatico o telematico") è il reato informatico più frequentemente contestato. Punisce chi si introduce in un sistema informatico o telematico protetto da misure di sicurezza, o vi si mantiene contro la volontà di chi ha il diritto di escluderlo. Le questioni difensive più controverse:
- La definizione di "sistema protetto da misure di sicurezza": la giurisprudenza ha chiarito che le misure di sicurezza possono essere anche minime (una password, un login); non è necessario un sistema di protezione sofisticato. Tuttavia, se il sistema non ha nessuna misura di protezione, il reato non si configura.
- Il dipendente che accede a dati aziendali fuori dal suo profilo autorizzato: Cass. S.U. n. 41210/2012 (fondamentale) ha stabilito che il dipendente che accede con le proprie credenziali ma a dati al di fuori del suo ambito autorizzativo commette il reato. Il principio si applica anche ai tecnici informatici che abusano dei loro privilegi di accesso.
- Il Penetration Tester autorizzato: chi esegue test di penetrazione su sistemi informatici su incarico del proprietario non commette il reato perché agisce con il consenso dell'avente diritto. La difesa deve documentare il mandato scritto e i limiti del test.
- Il ricercatore di sicurezza (bug bounty): chi scopre e segnala vulnerabilità nell'ambito di programmi bug bounty opera in una zona grigia: se il programma bug bounty è formalmente attivo e il ricercatore rispetta le sue regole, il consenso implicito esclude il reato; se le regole vengono violate, il consenso può essere escluso.
Art. 640-ter c.p.: frode informatica — SIM swapping, phishing, vishing
La frode informatica (art. 640-ter) punisce chi altera il funzionamento di un sistema informatico o interviene senza diritto su dati o programmi per procurarsi un ingiusto profitto a danno di altri. Le fattispecie più frequenti nei procedimenti penali italiani:
- SIM Swapping: sostituzione fraudolenta della SIM telefonica per prendere il controllo del numero di cellulare della vittima e bypassare l'autenticazione a due fattori dei conti bancari. Configura art. 640-ter in concorso con art. 494 (sostituzione di persona) e art. 615-ter (accesso abusivo al sistema bancario)
- Phishing bancario: creazione di siti-clone di banche per carpire le credenziali degli utenti. Il phisher che poi effettua i bonifici fraudolenti risponde di art. 640-ter; il "money mule" che riceve i fondi risponde di riciclaggio (art. 648-bis)
- Vishing e smishing: chiamate o SMS fraudolenti che inducono la vittima a trasferire denaro o rivelare credenziali
- Business Email Compromise (BEC): intercettazione di email aziendali e sostituzione dell'IBAN del fornitore con quello del truffatore nei pagamenti B2B
La difesa nella frode informatica si concentra principalmente su: prova dell'identità dell'autore materiale (i reati informatici comportano problemi significativi di attribuzione — il fatto che un attacco sia partito da un certo IP non dimostra automaticamente che l'imputato fosse il responsabile); catena degli intermediari (nei reati informatici ci sono spesso più soggetti — il programmatore del malware, chi lo ha diffuso, il money mule — con ruoli e responsabilità diversi); ammontare del profitto (rilevante per la misura del sequestro preventivo e per la scelta del rito).
Come indaga la polizia postale: strumenti e criticità difensive
La Polizia Postale e delle Comunicazioni è la forza specializzata nei reati informatici in Italia. Strumenti investigativi tipici:
- Intercettazioni telematiche (art. 266-bis c.p.p.): captazione del traffico internet dell'indagato tramite installazione di software di intercettazione sui sistemi o collaborazione dei provider
- Perquisizione informatica (art. 247 co. 1-bis c.p.p.): sequestro di dispositivi informatici e copie forensi dei supporti di memorizzazione
- Acquisizione log e dati dai provider: i provider internet sono obbligati a conservare i log di connessione per 6 anni (L. 167/2017) e a fornirli all'autorità giudiziaria su richiesta
- Analisi forense: il consulente tecnico della PG analizza i dispositivi sequestrati. La difesa ha diritto di nominare un proprio consulente tecnico (informatico forense) che partecipi alle operazioni peritali
Le criticità difensive più rilevanti sugli strumenti investigativi: la catena di custodia delle prove digitali (la prova informatica è alterabile; la difesa deve verificare che la copia forense sia stata eseguita con protocolli che ne garantiscano l'integrità); l'attribuzione degli indirizzi IP (la titolarità di un IP non è prova sufficiente dell'autore del reato — l'IP può essere stato usato da terzi tramite VPN, botnet, hotspot Wi-Fi pubblici).
Responsabilità degli enti ex D.Lgs. 231/2001 per cybercrime
I reati informatici (art. 615-ter, 617-quater, 615-quinquies, 635-bis, 635-quater, 640-ter) sono inseriti nel catalogo dei reati presupposto della responsabilità degli enti ex D.Lgs. 231/2001. Questo significa che se un dipendente o un dirigente commette un reato informatico nell'interesse o a vantaggio dell'azienda, l'azienda può essere sanzionata con: sanzione pecuniaria fino a 516.456€; sanzione interdittiva (sospensione dell'attività, esclusione da gare d'appalto) fino a 2 anni; confisca del profitto del reato. La difesa dell'ente si concentra sulla dimostrazione che l'ente aveva adottato e fatto efficacemente attuare un Modello Organizzativo 231 idoneo a prevenire il tipo di reato commesso.
Strategie difensive dello Studio Romano per i reati informatici
- Analisi forense della difesa: nomina immediata di un consulente informatico forense della difesa per analizzare autonomamente le prove digitali e contestare le conclusioni della PG
- Contestazione dell'attribuzione: dimostrazione che l'IP o il dispositivo usato nell'attacco potevano essere stati usati da terzi
- Contestazione della catena di custodia: verifica del rispetto dei protocolli di copia forense (hash, log delle operazioni)
- Qualificazione alternativa: nei casi di dipendente che accede a dati aziendali, contestare la qualificazione come reato ex art. 615-ter vs. illecito meramente disciplinare
- Difesa dell'ente ex 231: documentazione del MOG 231 preesistente e delle misure di sicurezza informatica adottate
Domande Frequenti
Lavoro come sistemista IT: ho acceduto a una directory del server aziendale che normalmente non uso. Rischio il 615-ter?
Dipende dal profilo autorizzativo del tuo account. Se la tua utenza aveva i permessi tecnici per accedere a quella directory ma non era esplicitamente autorizzata dalle policy aziendali, siamo nell'area grigia chiarita da Cass. S.U. n. 41210/2012: l'accesso con credenziali valide ma fuori dal proprio profilo autorizzativo può configurare il 615-ter. Se invece la tua utenza non aveva i permessi tecnici e hai dovuto bypassare le misure di sicurezza per accedere, il reato è più chiaramente configurabile. In entrambi i casi, non fare nulla senza aver consultato un penalista: +39 335 669 3954.
Ho ricevuto una notifica di perquisizione informatica: cosa devo fare?
Non resistere alla perquisizione. Hai il diritto di contattare il tuo avvocato prima della perquisizione (se c'è tempo) e di farlo assistere alle operazioni. Non cancellare o modificare dati nei dispositivi — sarebbe un aggravamento della situazione. L'avvocato può nominare un consulente tecnico della difesa che assista alla copia forense e verifichi il rispetto dei protocolli. Chiama subito il +39 335 669 3954 — anche durante la perquisizione.
Ho sviluppato un software che è stato usato da terzi per commettere frodi: sono responsabile?
La responsabilità del developer del software dipende dalla sua consapevolezza dell'uso fraudolento. Se hai sviluppato il software consapevolmente per usi fraudolenti, rispondi in concorso nel reato (artt. 110 + 640-ter). Se hai sviluppato software legittimo che è stato poi adattato da terzi per usi illeciti senza la tua conoscenza, non risponde penalmente per i reati commessi dai terzi. L'art. 615-quinquies c.p. punisce specificamente chi 'diffonde, comunica, consegna' un programma informatico 'allo scopo di danneggiare illecitamente un sistema informatico o telematico' — l'elemento soggettivo specifico è essenziale. Analisi del caso: +39 335 669 3954.
Accusato di cybercrime? Difesa tecnica specializzata h24
L'Avv. Massimo Romano — disponibile h24.
+39 335 669 3954 | WhatsApp
Via Avicenna 97, 00146 Roma RM | avvocatopenalistaromano.com