Call Us +39 011 55.84.111

Le frodi man-in-the-middle, truffe informatico-finanziarie che provocano danni da migliaia di euro alle aziende

Negli ultimi mesi si sono intensificati gli episodi di truffe finanziarie online ai danni delle aziende di quasi tutta Europa, opera di criminali informatici ed organizzazioni transnazionali che sono riuscite a colpire anche molte società italiane. La semplice violazione di caselle di posta elettronica, combinata con tecniche di social engineering, si sta rivelando il mezzo perfetto per indurre disposizioni di pagamento fraudolente e provocare ingenti perdite di denaro. La prevenzione, attraverso la sicurezza informatica e l’educazione dei dipendenti, pare essere l’unica soluzione, posto che non i rimedi sul piano civilistico e della proposizione dell’azione penale non sembrano garantire il ristoro dei danni subiti.

Anche se l’ormai classico phishing, fattispecie criminosa riconducibile alla sostituzione di persona ed alla frode informatica, è divenuta largamente riconoscibile ed in parte evitabile dalla maggioranza degli utenti della rete (c’è davvero chi casca ancora oggi nel trucco della “vincita” della lotteria o nell’invito a fornire le proprie credenziali smarrite dalla propria banca?), nuove e più pericolose varianti sembrano farsi strada tra i cybercriminali. E, proprio come per le infezioni nel mondo reale, pare che queste nuove varianti evolute siano più aggressive, più mirate, più resistenti e, soprattutto, più remunerative per i criminali ed estremamente dannose, sul piano finanziario, per le vittime. Oggi la nuova frontiera è il “man in the mail”, versione riadattata in chiave informatica, di quel “man in the middle” (letteralmente l'uomo in mezzo) che fu usato come meccanismo del film “La stangata”. E le vittime sono, nella maggioranza dei casi, non più i privati ma le aziende, almeno a giudicare dalle richieste di assistenza – indistintamente in ambito civile e penale –  pervenute a noi ed ai nostri colleghi di R&P Legal nel corso di questo primo semestre del 2015. Sembra, pertanto, opportuno divulgare l’informazione e mettere in guardia i nostri clienti sulle metodologie di attacco e sulle relative possibilità di difesa, onde evitare conseguenze catastrofiche sul piano finanziario.

 

L’attacco MITM (acronimo di man-in-the-middle), sostanzialmente, è un tipo di attacco silente nel quale l’agente si inserisce nei sistemi della vittima o del suo interlocutore (la dicitura man-in-the-middle si riferisce proprio alla posizione del portatore dell'attacco, interposta tra le due vittime) e per un lungo periodo di tempo, monitorandolo, ne studia le abitudini informatiche, leggendo e modificando, senza darne evidenza, le comunicazioni tra le due parti e nascondendo la sua presenza ad entrambe. Il meccanismo è molto semplice: gli “hacker” violano la casella email di una società, scelta con cura tramite valutazioni principalmente basate sul fatto che effettui operazioni internazionali di import/export, in modo da essere certi che essa abbia una relazione commerciale con un partner o con un fornitore estero. Per poter entrare nelle caselle di posta i criminali utilizzano metodi come phishing, brute forcing o persino trojan inviati via posta sui computer o sui telefoni di chi, all’interno dell’azienda, gestisce i rapporti finanziari con l’estero. La posta elettronica viene poi monitorata per diverso tempo, in maniera da essere difficilmente individuabile, fino al momento in cui vengono scambiate i documenti utili all’importazione o esportazione di materiali, spesso con ingenti capitali in gioco. Al momento giusto i truffatori inviano un’email, fingendo di essere il fornitore estero (attraverso l’artificio del creare una casella di posta elettronica simile a quella originale) in cui chiedono che il pagamento per i beni acquistati o venduti avvenga su un differente istituto di credito, con tanto di specifica delle coordinate bancarie di destinazione, spesso modificando graficamente il modulo d’ordine originale. Il messaggio appare solitamente autentico agli occhi dell’interlocutore, poco attento o non avvezzo allo strumento informatico, proprio per tutte le informazioni che i truffatori hanno potuto acquisire dall’email durante le settimane di monitoraggio. Per leggerezza o troppa fiducia, il cliente dall’altra parte esegue il bonifico sul nuovo IBAN, in alcuni casi chiedendo conferma del cambio con una semplice email, alla quale i criminali rispondono fingendosi la controparte e tranquillizzando circa la legittimità del nuovo conto. I soldi vengono quindi bonificati su un conto in realtà intestato a dei prestanome (i c.d. “financial manager”, già utilizzati indebitamente nei primi casi di phishing a cui siamo ormai stati abituati), dal quale poi entro pochi giorni spariscono senza possibilità di recupero.

 

Sotto il profilo del diritto penale, la fattispecie può essere inquadrata quale una vera e propria truffa ex art. 640 c.p. (la vittima è indotta in errore tramite artifizi e raggiri, consistenti nella falsa email a nome del fornitore e nell’uso di falsa documentazione contabile), piuttosto che scissa in molteplici condotte, avvinte dal vincolo della continuazione, riconducibili ai reati di sostituzione di persona ex art. 494 c.p. e di frode informatica ex art. 640 ter c.p., soprattutto a seguito della recente modifica legislativa introdotta dall'art. 9, comma 1, D.L. 14.08.2013, n. 93, così come modificato dall'allegato alla legge di conversione L. 15.10.2013, n. 119, che ha previsto l’inserimento di un comma specifico avente ad oggetto la commissione della frode mediante furto o utilizzo indebito dell’identità digitale altrui (letteralmente: “La pena è della reclusione da due a sei anni e della multa da euro 600 a euro 3.000 se il fatto è commesso con furto o indebito utilizzo dell’identità digitale in danno di uno o più soggetti”). Le circostanze che rendono, tuttavia, difficile se non addirittura impossibile incardinare l’azione penale nei confronti degli autori delle condotte illecite sono relative ai limiti temporali (quando ci si accorge della truffa, solitamente i soldi sono stati sottratti dal conto di destinazione) e giurisdizionali (per nostra esperienza diretta, le connessioni risultano sempre originate da Paesi stranieri quali la Costa d’Avorio, la Russia o altri territori che non garantiscono l’assistenza giudiziaria necessaria per l’individuazione e la repressione dei colpevoli), che rendono la presentazione di denunce-querele contro ignoti più un adempimento burocratico che una effettiva soluzione del problema.

 

In aggiunta a ciò, anche sul parallelo versante civilistico della eventuale ripetizione dell’indebito pagamento mediante interpello della banca disponente e, soprattutto, di quella del beneficiario (sebbene sine titulo), l’esperienza diretta permette di prevedere che l’unica circostanza risolutiva sarebbe quella di richiedere lo storno del pagamento nel più breve tempo possibile e comunque solo finchè i fondi sono ancora presenti sul conto di destinazione. In questo caso, infatti, alcune banche europee (è il caso di alcuni istituti di credito londinesi, ma non certo quello delle filiali ungheresi o della Repubblica Ceca, dimostratesi molto più reticenti a collaborare con le persone offese), interessate nel corso di procedimenti di questo tipo, si sono rese disponibili a “congelare” i conti dei financial managers concorrenti nel reato e a restituire le somme ancora in giacenza. Tuttavia, ove – come nella maggioranza dei casi concretamente accade – la richiesta di ripetizione dell’indebito pagamento arrivi in ritardo e a conto ormai “svuotato”, neppure sembrerebbe possibile addebitare alcuna responsabilità alle imprese creditizie: deve infatti essere sottolineato che le disposizioni comuni europee (discendenti tutte dalla direttiva 2007/64/CE del Parlamento europeo e del Consiglio, relativa ai servizi di pagamento nel mercato interno), declinate poi nei testi normativi quali il Payment Service Regulation (PSR) inglese del 2009 (specificamente l’art. 74, rubricato “Liability - Incorrect unique identifiers”) o il nostrano Decreto Legislativo 27 gennaio 2010, n. 11 (specificamente all’art. 24, rubricato “Identificativi unici inesatti”) tendono a giustificare – e di conseguenza a garantirne l’efficacia – le disposizioni di pagamento in cui l’indicazione del titolare del conto e le relative coordinate bancarie non coincidono, finendo di fatto per escludere ogni responsabilità in capo alle banche.

 

Permane, a giudizio di chi scrive, il dubbio circa l’adeguatezza di normative di e portata, soprattutto in un’epoca in cui la semplicità e la velocità dei pagamenti online ha, di fatto, trasferito ogni possibilità di controllo nelle mani degli intermediari finanziari, i quali, invero, sarebbero già dotati di strumenti di verifica e alert automatici che, con facilità, possano individuare operazioni potenzialmente sospette perché gravate da macroscopiche incongruenze (quale l’indicazione di un beneficiario diverso dal titolare del conto) o altri parametri sentinella, quali ad esempio l’atipicità della disposizione, la transnazionalità o il coinvolgimento di utenti privati nel corso di operazioni commerciali. Ma questo sembra un argomento che deve essere affrontato dal legislatore piuttosto che dalle autorità giudiziarie con funzione nomofilattica.

 

Il consiglio, in via residuale, non rimane che quello di una attenta prevenzione di rischi di questo genere, con attivazione di procedure interne di controllo e verifica delle informazioni, nonché di adeguamento della sicurezza informatica aziendale: in molti casi basterebbe la verifica dell'indirizzo del mittente, perché è piuttosto facile crearne uno molto simile a quello originale e soprattutto impostare il nome del mittente identico a quello corretto. In caso di pagamenti di importo elevato, poi, sarebbe preferibile porre in essere sempre un controllo con canali di comunicazione alternativi - una telefonata o un fax – per confermare esattamente richieste anomale ricevute via email.

 

Soprattutto fare molta attenzione alle repentine richieste di cambiamento nelle normali pratiche commerciali. Ed ancora, non utilizzare l'opzione “Rispondi” per rispondere a tutte le e-mail aziendali. Al contrario, usare l'opzione “Forward” e digitare l'indirizzo e-mail corretto o selezionarlo dalla rubrica per essere certi di utilizzare il vero indirizzo e-mail, ricordando di porre la massima attenzione ai messaggi di SPAM o insoliti, e guardare sempre con sospetto a richieste di cambiamento come quelle descritte. Infine ma non ultimo, chi si trova vittima di questa truffa dovrà sporgere denuncia, anche se difficilmente il capitale perso si potrà recuperare.

 

Negli Stati Uniti l’FBI ha pubblicato da tempo un avviso utile alla prevenzione. In attesa che il legislatore, o le associazioni di categoria, si attivino anche nel vecchio continente per porre un freno al fenomeno, l’unica soluzione quindi sembra essere quella della previsione di forti strumenti di prevenzione interni, poiché una volta che il pagamento è stato disposto, risultano davvero remote le possibilità di rientrare in possesso di quanto indebitamente trasferito su conti estranei a quelli sottesi al rapporto sinallagmatico con il proprio fornitore.

Read more...

Accesso abusivo del dipendente autorizzato: condanna annullata

 

La Corte di Cassazione chiarisce che il reato di accesso abusivo ad un sistema informatico protetto, da parte di chi è oggettivamente autorizzato, è punibile solo ove egli si mantenga all'interno di tale sistema violando le condizioni ed i limiti risultanti dal complesso delle prescrizioni impartite dal titolare del sistema, essendo irrilevanti, per la configurabilità del reato di cui all’art. 615 ter c.p., gli scopi e le finalità soggettivamente perseguiti dall’agente così come l’impiego successivo dei dati eventualmente ottenuti. (Corte di Cassazione, Sezione V Penale, sentenza n. 10083/15 del 31.10.2014, depositata il 10.03.2015).

La sentenza, emessa alla fine dello scorso anno, potrebbe far discutere, poiché sostiene l’irrilevanza, ai fini dell’integrazione della fattispecie, di finalità ulteriori ed illecite in capo al dipendente: ciò che conta, per addebitare l’illecito in oggetto, è l’agente deve aver violato chiare norme regolamentari che ne delimitino l’attività sui sistemi aziendali. Tuttavia, la lettura delle motivazioni, depositate solo all’inizio di questo mese, aiuta a meglio comprendere la ratio dell’annullamento della sentenza di condanna e definisce, ulteriormente rispetto alle precedenti occasioni di intervento della Suprema Corte, l’importanza di una chiara politica di sicurezza informatica e aziendale.
L’imputato, ex-socio e consigliere di amministrazione di una società di broker assicurativi e in forza di tale qualità e quale operatore del sistema, era in possesso delle credenziali di accesso alle banche dati aziendali. A seguito della comunicazione dell’interruzione del rapporto di collaborazione, accedeva con le proprie credenziali e si manteneva nel sistema informatico, al fine di visualizzare files contenenti i dati riguardanti l'attività dell'azienda e, più nello specifico, i nominativi dei clienti che avevano contratto polizze con la società. Successivamente duplicava parte di tali files su supporto ottico – utilizzandoli, secondo l’accusa, per la sua nuova attività professionale – ed infine eliminava diversi documenti a carattere professionale, contenuti sulla memoria del computer in uso e di proprietà dell'azienda. Oltre alla condanna penale, l’imputato era stato condannato al risarcimento del danno in favore della società, costituitasi parte civile, e al pagamento di una provvisionale immediatamente esecutiva. Secondo il ricorrente tuttavia, la sentenza d’appello che lo aveva confermato colpevole di accesso abusivo a sistema informatico, ai sensi dell’art. 615 ter c.p., aveva ritenuto apoditticamente che il regolamento aziendale per l’utilizzo delle risorse informatiche vietasse le condotte asseritamente addebitate, mentre tale documento non escludeva specificamente né la copia né la duplicazione dei files, lasciando pertanto lecita la condotta in senso oggettivo.
E' noto che la fattispecie in oggetto punisce le condotte che si caratterizzano per l’introduzione abusiva in un sistema informatico o telematico protetto da misure di sicurezza, effettuato sia a distanza, sia da persona che si trovi a diretto contatto con l’elaboratore elettronico, così come le condotte che si concretano nel mantenimento nel sistema contro la volontà, espressa o tacita, del titolare dello ius excludendi. Di regola, tale volontà si manifesta mediante l’apposizione di misure di sicurezza logiche che assolvono la funzione di manifestare l’intenzione di impedire la diffusione a persone non autorizzate, oppure richiedendo specifiche prescrizioni comportamentali per l’utente o per mezzo di qualsiasi altro meccanismo selettivo dei soggetti abilitati. Ma quando ad accedere è un dipendente o, come nel caso di specie, persino un dirigente – per lo più amministratore di sistema – il quale, benchè abbia da poco appreso del termine della collaborazione, è ancora oggettivamente autorizzato alla visione ed alla copia, ipoteticamente per finalità lecite quali il backup dei dati?
Premesso che, ai fini della configurabilità del reato di accesso abusivo ad un sistema informatico nel caso di soggetto munito di credenziali aziendali, è necessario accertare “il superamento e la violazione, su un piano oggettivo, delle prescrizioni relative all'accesso ed al trattenimento nel sistema informatico, contenute in disposizioni organizzative impartite dal titolare dello stesso, indipendentemente dalle finalità soggettivamente perseguite” (così Cass., sez. V, 22 febbraio 2012, n. 15054), era sorto in passato un contrasto giurisprudenziale: secondo un primo orientamento si considerava integrata la fattispecie non solo in presenza della condotta di chi vi si introduca essendo privo di codice di accesso, ma anche quella di chi, autorizzato all'accesso per una determinata finalità, utilizzasse il titolo di legittimazione per una finalità diversa e, quindi non rispettasse le condizioni alle quali era subordinato l'accesso (Cass., sez. V, 7 novembre 2000, n. 12732; Cass., sez. V, 8 luglio 2008, n. 37322), mentre differenti pronunce, in aderenza ad un opposto e forse più riduttivo principio interpretativo, avevano ritenuto illecito il solo accesso oggettivamente abusivo, mentre sempre e comunque lecito veniva considerato l'accesso del soggetto abilitato, ancorché effettuato per finalità estranee a quelle dell'ufficio, persino quando illecite (Cass., sez. V, 20 dicembre 2007, n. 2534; Cass., sez. , 29 maggio 2008, n. 26797; Cass., sez. VI; 8 ottobre 2008, n. 3290). Il contrasto in parola, tuttavia, è stato successivamente affrontato e risolto dalle Sezioni Unite della Suprema Corte (Cass., sez. un., 27 ottobre 2011, n. 4694), secondo cui “sono indifferenti le finalità perseguite da colui che accede o si mantiene nel sistema, in quanto la volontà del titolare del diritto di esclusione si connette soltanto al dato oggettivo della permanenza dell'agente nel sistema informatico, rilevando il solo profilo oggettivo dell'accesso e del trattenimento nel sistema informatico da parte di un soggetto che non può ritenersi autorizzato ad accedervi ed a permanervi sia quando violi i limiti risultanti dal complesso delle prescrizioni impartite dal titolare del sistema, sia quando ponga in essere operazioni ontologicamente diverse da quelle di cui egli è incaricato ed in relazione alle quali l'accesso era a lui consentito”. Secondo le Sezioni Unite, dunque, rilevante per la sussistenza del reato deve ritenersi il profilo oggettivo dell'accesso e del trattenimento nel sistema informatico da parte di un soggetto che sostanzialmente non può ritenersi autorizzato ad accedervi ed a permanervi, sia allorquando violi i limiti risultanti dal complesso delle prescrizioni impartite dal titolare del sistema (nozione specificata, da parte della dottrina, con riferimento alla violazione delle prescrizioni contenute in disposizioni organizzative interne, in prassi aziendali o in clausole di contratti individuali di lavoro), sia allorquando ponga in essere operazioni di natura ontologicamente diversa da quelle di cui egli è incaricato ed in relazione alle quali l'accesso era a lui consentito.
Queste considerazioni, dunque, impongono che quando si contesta ad un soggetto, di per sé abilitato all’accesso da un sistema informatico protetto – ad esempio, perché, come nel caso di specie, in possesso delle necessarie credenziali di accesso – bisogna prescindere dalla circostanza inerente l’utilizzo che l’accusato possa fare dei dati acquisiti, anche se tale utilizzo possa sembrare illecito o comunque civilmente illegittimo. Ciò che occorre verificare è se l’accesso fosse o meno legittimo al momento dei fatti, “riscontrando la sussistenza di eventuali violazioni delle condizioni e dei limiti risultanti dal complesso delle prescrizioni impartite dal titolare del sistema per delimitarne oggettivamente l'accesso” (come già statuito da Cass., sez. V, 18 dicembre 2012, n. 18497). Nel caso oggetto della sentenza in commento, tale accertamento, nel corso dei giudizi di merito, è risultato completamente omesso, pur essendo invece assolutamente necessario. Infatti, il regolamento aziendale della persona giuridica parte lesa, per quanto dimostrato dalla stessa parte civile con produzione documentale nel corso del dibattimento di primo grado, statuiva che era assolutamente vietato “copiare o duplicare files di dati di proprietà per finalità che esulano dal trattamento dei dati di propria competenza o dalla semplice copia di backup degli stessi” ed in nessun caso tali dati potevano essere portati all'esterno della società su qualunque tipo di supporto di memorizzazione, con il che non essendo esclusa tout court né la copia né la duplicazione dei file, ma solo la copia o duplicazione per finalità che esulassero dal trattamento dei dati di propria competenza o dalla semplice copia di backup degli stessi. Nonostante ciò, nelle decisioni di condanna non era stato assolutamente esaminato il profilo attinente le ragioni per cui l’imputato avesse duplicato i files, né era stata fornita alcuna prova circa il fatto che tale condotta non rientrasse nelle finalità del trattamento dei dati di competenza dello stesso accusato. Tale circostanza ha imposto l’annullamento della decisione impugnata con rinvio ad altro giudice per un esame relativamente al suddetto profilo.
Dirimente, pertanto, sembra diventare la previsione, in seno alle aziende, di un chiaro ed esaustivo regolamento per l’utilizzo degli strumenti e dei dispositivi informatici: il soggetto che sia, infatti, in astratto legittimato ad accedere ad un sistema informatico, penetra illecitamente nello stesso solo ed esclusivamente se viola le specifiche condizioni alla cui sussistenza è subordinato il suo (consentito) accesso nel sistema medesimo. Ne deriva che, nei casi in cui l'agente compia sul sistema un'operazione pienamente assentita dall'autorizzazione ricevuta, ed agisca nei limiti di questa, il reato di cui all'art. 615-ter c.p. non è configurabile, a prescindere dallo scopo eventualmente perseguito, sicché qualora l'attività autorizzata consista anche nella acquisizione di dati informatici e l'operatore la esegua nei limiti e nelle forme consentiti dal titolare dello ius excludendi, il delitto in esame non è sussistente anche se degli stessi dati egli si dovesse poi servire per finalità illecite.

Read more...

È diffamatorio non aggiornare una notizia online con evoluzioni favorevoli

 

La Corte di Cassazione condanna il Codacons al risarcimento del danno per non aver aggiornato un articolo pubblicato sul proprio sito web con la notizia del proscioglimento dell’indagato (Corte di Cassazione, sez. III Civile, sentenza 31 ottobre – 30 dicembre 2014, n. 27535 , Presidente Petti – Relatore Sestini)

 

Sono state pubblicate il 30 Dicembre scorso le motivazioni della sentenza n. 27535, con la quale la Terza Sezione Civile della Corte di Cassazione ha confermato la condanna al risarcimento, inflitta dalla Corte di Appello di Roma nella misura di 30.000,00 euro al Codacons (Coordinamento delle Associazioni per la Difesa dell'Ambiente e dei Diritti degli Utenti e Consumatori) per non aver aggiornato – o meglio, per non aver evidenziato gli sviluppi, favoreli al protagonista, nello stesso contesto riservato alla notizia originaria – in un articolo che riportava l’apertura di una inchiesta giudiziaria a carico di un dirigente responsabile dell’Istituto Superiore della Sanità.

L’associazione per la tutela dei diritti dei consumatori era stata convenuta in giudizio circa due anni fa per aver pubblicato, sulle pagine del proprio sito web, un comunicato dal titolo «Il grande tranello», con il quale dava conto dell’apertura di un indagine della Procura della Repubblica di Roma per verificare la correttezza del lavoro svolto dal direttore generale dell’Istituto superiore di Sanità, nonché di un suo collaboratore. A destare perplessità era stato, in particolare, il fatto che il ricercatore, che aveva il compito di controllare la nocività delle onde elettromagnetiche, fosse stato in passato dirigente di un’associazione privata, finanziata da una società produttrice di telefonini cellulari. Accusato nel corpo del post di aver «da sempre pubblicamente avallato il comportamento dei suoi collaboratori», il direttore generale aveva dunque citato in giudizio varie testate giornalistiche e non, tra cui anche Mediaset ed il Codacons, chiamandole a risarcire i danni asseritamente causati.

La notizia, in effetti, risultava corretta solo al momento della sua prima diffusione, in quanto dava atto dell’apertura dell’indagine penale, così rispondendo ai necessari requisiti di correttezza, completezza e interesse pubblico. Lo stesso medesimo contenuto, tuttavia, aveva assunto secondo l’attore, carattere diffamatorio, dal momento in cui era stato riproposto tempo dopo, senza integrare quanto inizialmente comunicato con l’informazione che l’inchiesta si era chiusa in favore dei due indagati. Ad opinione dei giudici di merito prima, e della Cassazione poi, il mancato aggiornamento del comunicato aveva leso la reputazione del dirigente attraverso informazioni non più attuali e tali da fornire «all’utente un’immagine distorta ed incompleta dei fatti».

La Corte di Cassazione ha ritenuto ininfluente, inoltre, che la notizia del proscioglimento degli indagati fosse stata data sulle stesse pagine del sito del Codacons, seppur all’interno di una differente sezione, dedicata alle problematiche attinenti l’elettrosmog. Per gli ermellini, la correttezza e completezza dell’informazione «avrebbe richiesto che la notizia fosse evidenziata nello stesso contesto o quanto meno alla fine del comunicato», anche tenendo conto della sostanziale immanenza dei contenuti web e del fatto che essi, a differenza delle pagine di un quotidiano, restano facilmente consultabili dal pubblico anche a lunga distanza dalla loro pubblicazione.  

Respinta dunque la tesi del Codacons, secondo la quale il contenuto pubblicato non integrava alcuna violazione, dovendo considerarsi semplicemente lecita espressione del diritto di critica e di libera manifestazione del pensiero.

Al vaglio della Suprema Corte non ha trovato accoglimento neppure l’ulteriore eccezione, relativa alla quantificazione del danno, secondo la quale i giudici di merito non avrebbero richiesto alla parte lesa la prova del pregiudizio concretamente patito: «stando alle motivazioni depositate a corredo della conferma della sentenza di Corte di Appello, questa circostanza può sufficientemente essere accertata in via presuntiva e non risulta dunque violato il principio secondo cui anche il danno non patrimoniale costituisce danno conseguenza che deve essere allegato e provato (Cass., S.U. n. 26972/2008), giacché l'affermazione della Corte di merito circa il fatto che il danno, in casi del genere, è in re ipsa postula comunque un preventivo accertamento - ancorché presuntivo - dell'esistenza della lesione (in conformità a Cass. n. 6507/2001 e Cass. n. 20120/2010)».

Del resto, già la Corte d’Appello di Roma aveva correttamente fatto riferimento alle «notorie sofferenze» di un soggetto del quale era stata fornita un’immagine biasimevole sotto il profilo etico, e che sia stato additato «come una persona sulla cui condotta professionale si stava indagando», con un sicuro ed evidente danno in campo professionale e relazionale. Di nessun rilevo, infine, l’argomento sul numero di accessi alla notizia, circa 300 mila, considerato dal Codacons non effettivo senza la prova che tutti gli utenti avessero letto il comunicato.

Per i giudici, infine, la somma liquidata non è risultata eccessiva, anche in considerazione della qualifica rivestita dall’alto dirigente del massimo organo scientifico preposto alla tutela della salute pubblica. Il risarcimento quantificato in via equitativa nei precedenti gradi di giudizio, era da ritenere, pertanto, adeguato, in considerazione di molteplici elementi, tra cui «il contenuto del comunicato, la particolare qualifica rivestita dal dirigente, nonché la potenziale alta diffusività del messaggio denigratorio».

In pieno dibattito parlamentare sulla necessità di rivedere la normativa, tanto civile quanto penale, disciplinante il fenomeno della diffamazione e prevedere meccanismi di rettifica che garantiscano, più che la persecuzione dell’autore degli scritti diffamatori, la tutela dei diritti delle persone offese, la pronuncia resa in questa sede fornisce un interessante spunto di riflessione, che potrebbe contribuire a calibrare più proficuamente il prossimo, atteso, intervento del legislatore.

Read more...

Tutela dei dati personali in azienda: arriva Data Protection Officer

 

La figura professionale del responsabile aziendale per il trattamento dei dati personali esiste già in 15 nazioni europee. In Italia dovrebbe essere introdotta con l’anno nuovo, a seguito dell’emanazione del nuovo regolamento europeo sulla privacy. Quale sarà l’impatto sulle aziende?

 

Quello legato alla privacy è un concetto che fin dalla sua prima ed originaria formulazione, è stato sottovalutato o quanto meno mal recepito dagli italiani. E’ evidente che il principio del “right to be left alone”, di matrice anglosassone, che pure in epoca più recente ha lasciato il posto ad un rinnovato diritto individuale di esercitare un controllo attivo sulla circolazione delle proprie informazioni personali, stenta ad essere tenuto in considerazione nel nostro Paese. Nonostante la normativa di settore esista ormai da anni, fin dalla sua introduzione ad opera della Legge n. 675/1996, poi sostituita dal D.Lgs. 196/2003 (il c.d. Codice della Privacy), la percezione del bisogno di attenzione da parte degli operatori non sembra ancora essere sufficiente: i titolari del trattamento, siano essi privati piuttosto che imprese, non comprendono o non attribuiscono la giusta importanza alle disposizioni sulla protezione dei dati personali dei loro utenti. 

 

Eppure, le sanzioni attualmente previste vanno dai 6.000 a 36.000 euro e, tenendo conto di alcune circostanze aggravanti, esse potrebbero venire raddoppiate o addirittura quadruplicate. Nell’arco di un solo mese, è stato di 24 milioni di euro l’ammontare delle violazioni scoperte da Federprivacy, l’organismo associativo di categoria, sui siti web italiani esposti a rischio di potenziali sanzioni, comminabili dal Garante a seguito dei controlli effettuati dal Nucleo Privacy della Guardia di Finanza. E, se non ciò bastasse, dall’Europa potrebbe giungere una  nuova e preoccupante riforma: il prossimo Regolamento Europeo, che secondo quanto anticipato dal Commissario Juker potrebbe arrivare entro febbraio 2015, vorrebbe innalzare, difatti, le sanzioni fino a 100 milioni di euro o, quantomeno, in misura del 5% del fatturato dell’impresa sanzionata.

 

L’inasprimento delle sanzioni, tuttavia, non è l’unica misura annunciata per ricondurre a ragione gli enti che sembrano disinteressarsi dell’importanza del corretto trattamento dei dati ad essi affidati: la bozza del Regolamento Europeo, ad oggi ancora in discussione, prevede infatti anche l’introduzione ufficiale di una nuova figura professionale, il Data Protection Officer (DPO). L’introduzione coatta di un esperto altamente qualificato, quindi, quale ulteriore strumento di garanzia nella gestione della Privacy all’interno dell’azienda. Negli ultimi mesi se ne è sentito molto parlare, ma di cosa si tratta, realmente?

 

Il Data Protection Officer o, per geo-contestualizzare, il Responsabile della Protezione dei Dati, è, dunque, la nuova figura professionale che probabilmente si inserirà nel panorama, già nutrito, dei consulenti aziendali, sempre più proiettati ad una totale compliance in materia di sicurezza nelle aziende. In base al dettato dell’art. 35 del testo attualmente in discussione, sarà obbligatoria per tutte le pubbliche amministrazioni, nonché per migliaia di altre imprese che possiedono determinati requisiti. Tra di essi, il dare impiego ad almeno 250 dipendenti o, ancora, occuparsi di attività che prevedono “un controllo regolare e sistematico degli interessati”, il cui numero superi, su base annua, le cinquemila unità. 

 

Nata ufficialmente negli Stati uniti nel 1999 e già regolamentata per legge in 15 dei 28 Paesi dell’Unione, come già anticipato, questa figura professionale diventerà obbligatoria a livello europeo con l’entrata in vigore del Regolamento Unico sulla protezione dei dati personali, che andrà a sostituire la direttiva 95/46/CE. Secondo l’esperienza dei Paesi che prevedono l’esistenza di simili funzionari, chiamati in alcuni casi anche Chief Privacy Officer, la laro qualifica dovrebbe essere quella di responsabili privacy che effettuano accertamenti del tipo “privacy impact assessment” e conducono per ogni progetto aziendale dettagliate analisi di risk assessment. Ma ciò non è tutto. La bozza di regolamento, infatti, prevede di più. Ai sensi dell’art. 37 della bozza del Nuovo Regolamento Europeo concernente la Protezione dei Dati Personal, il DPO, in collaborazione con il CDA o il CEO di un'azienda, dovrà infatti aggiornare le altre figure apicali circa gli adempimenti obbligatori, sorvegliarne l’attuazione, occuparsi della formazione inhouse, controllare che eventuali violazioni della normativa siano documentate e notificate al Garante (secondo il disposto dei nuovi articoli 31 e 32 del Regolamento), accertarsi che l’azienda dia seguito alle richieste dell’autorità di controllo, fungere infine da punto di contatto durante ogni occasione di dialogo con la pubblica amministrazione. Un compito carico di responsabilità, quindi, che tuttavia risulta necessario per ravvivare l’attenzione sul tema.

 

Sebbene si tratti di una figura professionale non  ancora prevista dalla legge italiana, essa è già una realtà presente in diversi contesti,  al punto che la stessa Autorità Garante nella propria Relazione annuale presentata nel 2012 ne ha sottolineato l’importanza affermando che: un ruolo positivo è sicuramente giocato dalle figure di responsabili privacy, oramai piuttosto diffuse, che, coordinando e indirizzando l’azione degli uffici periferici, assicurano una più puntuale e attenta applicazione della legge. In una qualche misura, dall’ esperienza di queste nuove figure professionali viene quasi anticipata la funzione del privacy officer, ben conosciuta in altri ordinamenti e recentemente inserita nelle bozze del nuovo regolamento comunitario in materia di protezione dei dati personali. (Relazione 2012, cit. pag. 227). Nel nostro Paese, anche se il legislatore non è ancora intervenuto per introdurre precise regole in merito, grazie al benestare del Ministero dello Sviluppo Economico e tenuto conto della Legge 4/2003, l’associazione Federprivacy ha implementato già dal 2012 un percorso formativo per i professionisti, volto ad ottenere la certificazione di questa figura tramite l’ente tedesco TÜV Examination Institute, che rilascia un riconoscimento basato sulla Norma ISO/IEC 17024:2004, riconosciuta a livello internazionale. Non potendo prevenire la norma comunitaria, tuttavia, si è scelto di limitarsi a definirlo con la qualifica, dissimile ma sostanzialmente identica, di Privacy Officer.

 

Quello del Data Protection Officer, del resto, è un profilo non ancora disciplinato all’interno dell’ordinamento italiano e che, per poter essere completo, dovrà racchiudere caratteristiche di per sé diverse tra loro: competenze giuridiche, profonde competenze informatiche e spiccate doti umane di leadership e comunicazione. Sotto certi aspetti, le conoscenze richieste lo accomunano tipicamente ad un avvocato, ma tale requisito potrebbe anche non essere essenziale. Sicuramente sarà un professionista multidisciplinare, che possieda profonde competenze informatiche e di processo. Solo il tempo soddisferà la nostra curiosità. Certo è che le conseguenze dell’imposizione di questa nuova figura professionale non potranno che apportare benefici in vista di un migliore trattamento dei dati personali degli utenti da parte delle aziende.

Read more...

Il videocontrollo dei lavoratori integra un illecito penale

 

La Corte di Appello di Milano statuisce che il controllo invasivo dei dipendenti sul luogo di lavoro integra il reato di interferenza illecita nella vita privata e non solo la mera violazione dello Statuto dei Lavoratori (Corte App. Milano, Sez. V, 26.2.2014, n. 1630)

 La pronuncia in oggetto, depositata a giugno 2014 dalla Corte di Appello di Milano, affronta tre diversi casi di controllo, evidentemente troppo invasivo, dei dipendenti, perpetrati per il tramite della medesima ditta specializzata: il presidente di una società che fa istallare abusivamente, all'interno dell'ufficio dell'amministratore delegato, un miniregistratore con annessa microtelecamera e microfono; il titolare di uno studio dentistico che (al fine di verificare se i propri dipendenti percepissero pagamenti in contanti direttamente dai clienti) chiede l’istallazione di ben undici telecamere nascoste, gestite dal proprio personal computer; il titolare di una terza società che intende controllare l’amministratore delegato attraverso l’installazione di microspie e la registrazione delle conversazioni.

 La sentenza appare piuttosto articolata e complessa, anche in considerazione delle peculiarità di ciascun episodio e dei differenti ruoli rivestiti dagli imputati. Tuttavia, il tema più interessante, ad oggi mai esplorato dalla giurisprudenza penale, verte sull’integrazione del reato di interferenza illecita nella vita privata (art. 615 bis c.p.) - come sostenuto dalla pubblica accusa nel corso del -  piuttosto che della meno grave ipotesi di utilizzo di impianti audiovisivi e di altre apparecchiature per finalità di controllo a distanza dell'attività dei lavoratori, mera contravvenzione prevista nell'art. 4 dello Statuto dei Lavoratori (Legge n. 300/1970) come, invece, aveva ritenuto il Giudice di prime cure.

 Tre erano sostanzialmente i motivi che avevano indotto il Tribunale a ravvisare nei fatti descritti la violazione dell'art. 4  dello Statuto dei Lavoratori: 1) l’attività di controllo era avvenuta in ambito lavorativo (si tratterebbe, dunque, di luoghi tutelati dall'art. 4 stesso); 2) sussisteva un rapporto di dipendenza tra autore  della condotta e vittima; 3) il datore di lavoro sarebbe stato mosso dalla finalità di “controllare l'esercizio dell'attività lavorativa” svolta dal dipendente (dolo specifico che sorreggerebbe la condotta prevista dalla norma speciale). In definitiva, secondo la sentenza di primo grado, le due disposizioni in apparente conflitto (art. 615 bis c.p. e art. 4 Statuto Lav.) vieterebbero entrambe condotte lato sensu di interferenza illecita nella vita privata, ma si tratterebbe di condotte sorrette da finalità diverse, perchè realizzate in “ambiti diversi” e aventi ad oggetto rapporti differenti. L'art. 4 dello Statuto dei Lavoratori deve essere considerato norma speciale per specificazione rispetto all'art. 615 bis c.p., prestando tutela contro le attività di spionaggio perpetrate dal datore di lavoro nei confronti dei dipendenti, al fine di controllarne l'attività professionale.

 Secondo i Giudici d’appello, però, la sentenza di primo grado, pur partendo da “pregevoli ricostruzioni delle due figure di illecito e della reciproca interazione ai sensi dell'art. 15 c.p.”, risulta “affetta da vizi di fatto” (in alcuni casi il rapporto tra autore e vittima non era propriamente di dipendenza), nonché da “vizi logici”, con la conseguenza che in tutte le ipotesi descritte doveva trovare applicazione proprio l'art. 615 bis c.p.

 A sostegno di tale soluzione, innanzitutto la considerazione che il luogo di lavoro rientra pacificamente nella nozione di “domicilio di cui all'art. 614 c.p., cui rinvia l'art. 615 bis c.p. Sul punto la Corte d'appello, richiamando e combinando tra loro gli ultimi approdi giurisprudenziali, ritiene che “a caratterizzare i luoghi di privata dimora siano l'ammissibilità dell'interclusione al pubblico con possibilità di svolgere attività al riparo da interferenze esterne e la natura privata dell'attività che il luogo è destinato ad accogliere”.

 Il Collegio, quindi, nell'individuazione del domicilio, dimostra di valorizzare, nel solco della giurisprudenza della Sezioni Unite (Cass. S.U., 28.3.2006, n. 26795), non tanto il luogo in sé, ma il rapporto sussistente tra persona e luogo, precisando, tra l'altro che “gli atti della vita privata non vanno confusi con quella della vita intima e familiare, ma comprendono anche attività “lavorative, ricreative, politiche, culturali, religiose” nelle quali si estrinseca la personalità dell'individuo.   

 L'orientamento della Corte d'appello, che accoglie dunque una nozione “allargata” di luogo di privata dimora, non è univoco, ma è interessante evidenziare che proprio in tema di interferenze illecite nella vita privata, dove generalmente, facendo leva sul criterio della stabilità della presenza nel luogo, viene adottata una nozione più ristretta (la libertà di domicilio assume rilevanza come diritto alla riservatezza su quanto si compie in certi luoghi, con la conseguenza che ne rimarrebbero estromessi quei luoghi in cui il soggetto, pur vantando uno ius excludendi, non vanta anche un pari diritto alla riservatezza), nondimeno, nessun dubbio sorge circa la natura di luogo di privata dimora dell'ufficio personale. In tale luogo, infatti, il titolare vanta, oltre allo ius excludendi, anche il diritto alla riservatezza di quanto si svolge al suo interno (Cfr. Cass. 5 dicembre 2012, n. 10444).

 Un secondo aspetto che,  giudizio della Corte di Appello renderebbe applicabile, nei casi di specie, l'art. 615 bis c.p. - sembra legato alla particolare forma di tutela del bene giuridico nell'art. 4 dello Statuto dei Lavoratori: qui, infatti, il “diritto alla riservatezza dei lavoratori” troverebbe tutela contro particolari modalità di aggressione integrate da controlli a distanza ( ove posti in essere in assenza di accordo con i sindacati) dell'esecuzione della prestazione lavorativa. L'art. 4, quindi, tutelerebbe la riservatezza del lavoratore contro controlli che si caratterizzano per esserea distanza, generalizzati delle maestranze”, “in un luogo pubblico” e sorretti da ragioni particolari (“organizzative, produttive o di salute”); viceversa, prosegue la Corte d'appello, l'art. 4 non sarebbe volto, come nei casi oggetto del procedimento in questione, al “controllo del singolo lavoratore”.

 E la Corte utilizza un chiaro esempio, al fine di esplicitare il proprio pensiero: una telecamera installata sopra una catena di montaggio, alla quale è addetto un numero imprecisato di lavoratori, ove non autorizzata, integrerà la violazione dell'art. 4 dello Statuto dei Lavoratori, mentre la medesima telecamera, installata nell'ufficio di un impiegato, che possa chiuderne a chiave la porta, integrerà il reato di cui all'art. 615 bis, c.p.

 Ulteriore elemento di differenziazione tra le norme in questione sarebbe rappresentato dall'elemento soggettivo: costituito nel primo caso dalla volontà di bypassare i controlli delle r.s.a. pur di controllare la corretta esecuzione del lavoro, nel secondo dalla volontà (o accettazione del rischio) di procurarsi notizie o immagini relative alla vita privata del soggetto.

 Alla luce di tali considerazioni, la Corte d'appello ritiene che in tutti i casi esaminati la norma applicabile sia quella dell'art. 615 bis c.p. Decisivo, comunque, nel senso dell'inapplicabilità dell'art. 4 Statuto Lav. appare il luogo in cui sono state effettuate le riprese (visive e sonore): l'ufficio personale delle vittime, un luogo quindi “assolutamente privato”, per le ragioni evidenziate sopra.  Peraltro, anche sotto il profilo soggettivo, le circostanze deponevano nel senso della volontà degli autori di carpire le conversazioni delle vittime designate e non certo di controllare l'esecuzione della loro attività lavorativa.

 La Corte d'appello, pervenendo a conclusioni opposte a quelle del Tribunale, dopo aver dichiarato di condividerne l'esegesi e le considerazioni relative al rapporto di interazione tra norme, ha ritenuto che nei casi di specie, in assenza degli elementi specializzanti individuati dal primo giudice, dovesse trovare applicazione la norma generale.

 Ma si può parlare realmente di decisione innovativa? In realtà, sembra che la Corte sia giunta solo alla corretta intepretazione offerta dall'art. 38 dello Statuto Lavoratori, nella parte in cui esso stabilisce che l'art. 4 si applichi "salvo che il fatto non costituisca più grave reato". La disposizione della norma speciale, pertanto,  già individua un'ipotesi di concorso apparente di norme, anticipandone la soluzione alla stregua del principio di sussidiarietà.

 

Read more...

Illegittimità del sequestro preventivo dell’intero blog

 

Il sequestro preventivo di un blog: nuovi orientamenti alla luce della sentenza della corte di cassazione n. 11895/2014

 “E' illegittimo il sequestro preventivo ex art. 321 c.p.p. di un intero sito Internet, pur in presenza di commenti di terzi astrattamente diffamatori. La Corte ha sottolineato la funzione sociale dei mezzi di informazione e, nel caso concreto, ha ritenuto insussistente una potenzialità lesiva (periculum in mora) del sito in sè”

Corte di Cassazione, sezione V penale, sentenza 30 ottobre 2013 (dep. 12 marzo 2014, n. 11895) Pres. Dubolino; Rel. Lignola

 Sono state di recente pubblicate le motivazioni della sentenza n. 11895/2014, emessa dalla Quinta sezione penale della Corte di Cassazione. La pronuncia in questione è sicuramente destinata a lasciare il segno tra gli appassionati della materia, poiché con essa, si sanciscono una serie di principi di diritto che comporteranno una sempre maggiore difficoltà, da parte dell’Autorità giudiziaria, di oscuramento, inteso come chiusura totale, di blog e testate on-line.

La Suprema Corte è stata infatti chiamata a pronunciarsi in merito ad una ordinanza del Tribunale del Riesame di Udine, che confermava un provvedimento di sequestro preventivo disposto dal Giudice per Indagini Preliminari del medesimo Tribunale ed avente ad oggetto il sito internet “Ilperbenista.it”.

Il gestore di tale blog era sottoposto ad indagine per il reato di diffamazione aggravata di cui all’art. 595 comma 1 e 3 c.p., in quanto avrebbe pubblicato (rectius permesso la pubblicazione) sul proprio sito una serie di commenti, ritenuti lesivi dell’onore e del decoro dei destinatari, nei confronti di due professionisti. In realtà, le espressioni contestate non erano stati direttamente inseriti dal titolare dello spazio web, bensì erano stati riportati, a commento di un paio di articoli, da parte di due utenti del sito. Confermando il provvedimento, il Riesame aveva argomentato che il sequestro preventivo dell’intero sito ben incarnava un misura cautelare congrua nel caso in esame, in quanto “il sito suddetto costituiva lo strumento mediante il quale i messaggi diffamatori erano stati diffusi, e che quindi, anche in futuro, sarebbe potuto essere utilizzato per il medesimo fine”.

La Corte di Cassazione, investita della questione, ha però annullato senza rinvio l’ordinanza impugnata.

Ponendosi nel solco di una precedente recente pronuncia (Cass. Pen. sez. V, n. 7155/2011, ric. Barbacetto), la Corte ha affermato innanzitutto che, “data la natura stessa del blog quale strumento di diffusione periodica di contenuti informativi e multimediali on-line, un’azione inibitoria generale nei confronti del sito contenente il blog, attuata mediante sequestro preventivo, impedisce al blogger di esprimersi liberamente”. La misura cautelare adottata incide quindi in maniera decisiva sul diritto individuale di espressione, garantito a livello costituzionale dall’art. 21 Cost., ma anche, in ambito sovranazionale, dall’art. 10 CEDU, nonché dall’art. 11 della Carta dei diritti fondamentali dell’Unione Europea.

Nella scelta della misura cautelare, ammoniscono gli Ermellini, dovranno perciò essere individuate le effettive necessità di imporre di un vincolo così gravoso, in quanto l’interesse costituzionalmente protetto che viene ad essere coinvolto in un caso del genere – la libertà di parola – si caratterizza per un’area di tolleranza costituzionale molto ampia.

Sulla base di queste premesse, aggiunge la Corte, la necessità che l’imposizione della misura sia giustificata da effettiva necessità e da adeguate ragioni. Il che si traduce, in concreto, in una “valutazione della possibile riconducibilità dei fatto all’area del penalmente rilevante e delle esigenze impeditive, tanto serie quanto è vasta l’area della tolleranza costituzionalmente imposta per la libertà di parola”.

Calando i suddetti principi nel caso in di specie, la Suprema Corte ha quindi affermato che, se è pur vero che il sito oggetto di sequestro è stato utilizzato per realizzare delle condotte diffamatorie, non si può desumere da ciò una concreta pericolosità del sito in sé, venendo meno le esigenze cautelari di cui all’art. 274 c.p.p.

Dopo aver richiamato i precedenti arresti giurisprudenziali relativi alla possibilità di sequestro preventivo di un sito web, con i quali era stata più volte affermata la piena compatibilità della misura cautelare con il bene immateriale, “non potendo negarsi che ad un sito internet possa attribuirsi una sua “fisicità”, ovvero una dimensione materiale e concreta”, i Giudici del Supremo Collegio sottolineano la “particolarità del caso in cui il sito sottoposto a sequestro contenga un blog (letteralmente contrazione di web-log, ovvero “diario in rete”), termine con il quale si definisce quel particolare tipo di sito web, gestito da uno o più blogger, che pubblicano, più o meno periodicamente, contenuti multimediali, in forma testuale o in forma di post (concetto assimilabile o avvicinabile ad un articolo di giornale), che vengono visualizzati in ordine cronologica, partendo dal più recente, in funzione del loro carattere di attualità. In caso di sequestro di un blog, l’inibitoria che deriva a tutti gli utenti della rete all’accesso ai contenuti del sito è in grado di alterare la natura e la funzione del sequestro preventivo, perché impedisce al blogger la possibilità di esprimersi”.

La Corte, dunque, ha evidenziato l’importanza, rispetto ai casi in cui la misura cautelare reale cada su di un supporto destinato a comunicare fatti di cronaca ovvero espressioni di critica o ancora denunce su aspetti della vita civile di pubblico interesse, quale appunto un blog di libera informazione, di considerare che il vincolo non incide solamente sul diritto di proprietà del supporto o del mezzo di comunicazione, ma sul diritto di libertà di manifestazione del pensiero.

La portata innovativa della sentenza in commento non si esaurisce soltanto nella valutazione più stringente per quanto riguarda i criteri di individuazione delle misure cautelari nel caso di diffamazione compiuta mediante un sito internet, ma anche perché tale pronuncia afferma l’importanza dello strumento blog, e del suo ruolo, ormai insostituibile, relativamente al diritto di informazione e di libera espressione del pensiero.

Read more...

Una nuova proposta di legge a tutela della dignità in internet

E’ ancora una bozza ad uno stadio embrionale il progetto di legge presentato dai deputati del Pd Alessandra Moretti e Francesco Sanna. Tuttavia siamo certi che, stante l’attualità degli argomenti che si prefiggono di affrontare – rinnovando trasversalmente l’impianto normativo di codice penale, legge sulla stampa e codice della privacy –  le nuove disposizioni faranno parlare di sé, e non soltanto gli addetti ai lavori.

Quattro articoli che intervengono sulla «tutela dell’identità personale in Internet» (art. 1), in particolare per i minori, sul «diritto all’oblio, aggiornamento e rettificazione dei dati personali» (art. 2) e infine altre «disposizioni in materia di diffamazione e ingiuria» (art. 3 e 4), con in particolare una revisione della disciplina relativa alla diffamazione a mezzo stampa. Di seguito proviamo ad introdurre e presentare il testo così come apparso in rete e sulla stampa di settore, seppur con una eloquente etichetta riportante l’avviso “Bozza non corretta”, che ci ricorda che l’iter parlamentare non è ancora iniziato e che quindi l’eventuale approvazione è ancora molto lontana.

Con l’art. 1 il DDL aggiunge un art. 131-bis al D.Lgs. 196/2003, meglio conosciuto come “Codice della Privacy”. Tale norma – rubricata Tutela dei minori – introduce la possibilità per i genitori di un minore (ovviamente di anni 18) che abbia registrato mediante falsa dichiarazione di maggiore età i propri dati su un sito web”, di inoltrare anche singolarmente una richiesta (non è indicato a chi debba essere inoltrata, tuttavia si potrebbe supporre che si faccia riferimento al fornitore di servizi di comunicazione elettronica”, ossia al soggetto indicato dal secondo comma lett. e) dell’art. 4 del D.Lgs. 196/2003) per l’oscuramento, la rimozione o il blocco di qualsiasi altro dato personale del minore.

Ma non saranno solo i genitori a potersi rivolgere al Garante in caso di richiesta di intervento in tema di aggiornamento e rettifica dei dati personali. Si introducono, infatti, gli artt. 137-bis e 137-ter (sempre nel Codice della Privacy) in base ai quali l’interessato ha diritto di ottenere l’aggiornamento e l’integrazione dei propri dati personali pubblicati in emeroteche telematiche, secondo gli sviluppi che la notizia abbia avuto,  così come diventa un diritto codificato la deindicizzazione degli articoli pregiudizievoli dai risultati offerti tramite i motori di ricerca. Come già accaduto con il neonato regolamento AGCOM, dunque, l’Autorità amministrativa verrebbe chiamata a svolgere compiti fino ad oggi riservati all’Autorità giudiziaria.

Proseguendo nell’analisi della proposta di legge, e passando all’argomento stampa e diffamazione, con l’art. 3 del DDL si vorrebbero apportare ampie e consistenti novità alla L. 47/1948. Si introduce, innanzitutto, un secondo comma all’art. 1 della legge-stampa, prevedendo l’applicabilità delle norme precedentemente previste anche alle testate giornalistiche on line registrate”. Tale norma parrebbe voler “riequilibrare” quella situazione che – a seguito di numerose sentenze di legittimità (tra tutte Cass. Pen. 35511/2010) e di merito – aveva escluso per le testate online l’applicabilità, in ambito penale, di una serie di norme (tra cui, ad esempio, l’aggravante di cui all’art. 13 L.S. o il reato di cui all’art. 57 c.p.) in quanto confliggenti con il divieto di interpretazione analogica in malam partem della norma penale e, più in generale, confliggente con l’art. 25 Cost.

Una modifica più sostanziosa viene riservata, sempre dall’art. 3 del DDL, all’art. 8 della Legge Stampa in tema di risposte e rettifiche”. Si prevede l’estensione anche alla testata giornalistica online registrata l’obbligo per il direttore – o responsabile – di pubblicare gratuitamente e senza commento, la rettifica, oltretutto non oltre due giorni dalla ricezione della richiesta. Ebbene, così facendo, si eliminerebbe dunque l’attuale situazione di “disparità” tra stampa tradizionale e stampa online rendendo, di fatto, applicabili le sanzioni penali a situazioni prima non disciplinate.

E’ previsto poi che, qualora la rettifica venga pubblicata in ritardo o non venga pubblicata affatto entro i suddetti termini, il richiedente potrà rivolgersi anche in questo caso al Garante della Privacy. Ciò a differenza di quanto avviene oggi  tramite richiesta avanzata al Giudice in composizione monocratica nelle forme del procedimento cautelare civile di cui all’art. 700 c.p.c. Non è chiaro tuttavia se, anche innanzi all’Autorità amministrativa il “richiedente” (o meglio il ricorrente) debba esporre anche il fumus, ossia le ragioni di fondo che giustificano la richiesta di rettifica (e, quindi, anche il fumus in merito alla sussistenza dell’eventuale lesione della dignità personale).

Sempre in tema di diffamazione a mezzo stampa, dopo aver previsto l’abrogazione dell’art. 12 L.S., il DDL Sanna-Moretti si prefigge il compito di riformulare ex novo l’art. 13 della Legge Stampa. Ed è qui si trova la più importante novità della proposta di legge. L’attuale articolo 13, infatti, prevede che nel caso di diffamazione commessa col mezzo della stampa, consistente nell’attribuzione di un fatto determinato, si applica la pena della reclusione da uno a sei anni e della multa non inferiore a lire 500.000”. Questo articolo rappresenta, attualmente, un’aggravante per il solo reato di diffamazione (non anche per il reato di omesso controllo di cui all’art. 57 c.p.) che eleva la pena detentiva sino al massimo edittale di 6 anni, e comporta, in base all’art. 550 c.p.p., che per il reato di diffamazione a mezzo stampa (secondo l’accezione delimitata dalla Cassazione) consistente nell’attribuzione di un fatto determinato, sia prevista la celebrazione dell’udienza preliminare.

Il nuovo primo comma dell’art. 13, invece, così come disegnato dal DDL, stravolge completamente questa impostazione, introducendo una fattispecie autonoma e speciale rispetto a quella prevista dall’art. 595 c.p. e creando, quindi, una sorta di disparità di trattamento tra i casi di diffamazione “a mezzo stampa” (secondo la nuova definizione dell’art. 1 della L.S. introdotta dal DDL) e gli altri casi di diffamazione. Bisogna, però, evidenziare che l’aggravante ad effetto speciale che si vorrebbe introdurre in base all’ultimo periodo del primo comma del novellato art. 13 prevede l’aggravante del solo fatto determinato falso la cui diffusione sia avvenuta con la consapevolezza della sua falsità. A parte i profili problematici legati alla prova della sussistenza di tale elemento del fatto tipico descritto si crea un discrimine tra la diffamazione dell’art. 13 L.S. e la diffamazione dell’art. 595 c.p. dove, in quest’ultimo caso, non si prevede che il fatto determinato debba anche essere falso. Alla condanna per la diffamazione dell’art. 13 L.S. consegue la pena accessoria della pubblicazione della sentenza e, in caso di recidiva per reato della stessa indole, la pena accessoria dell’interdizione dalla professione di giornalista per un periodo da uno a sei mesi.

Il progetto di legge vorrebbe introdurre poi un nuovo reato che richiama le pene previste dal primo comma dell’art. 13 per il direttore o vicedirettore responsabile del quotidiano, del periodico o della testata giornalistica, radiofonica o televisiva o della testata giornalistica online registrata che abbia rifiutato di pubblicare le dichiarazioni o le rettifiche previste ex art. 8, prevedendo una sanzione amministrativa pecuniaria da € 8.000 ad € 16.000, nonchè una sanzione penale per il caso di rifiuto.

Sempre in tema di diffamazione, si introdurrebbe una deroga alle norme sulla competenza, probabilmente tenendo a mente, ma disponendo a contrario, le recenti pronunce della Cassazione in tema di competenza territoriale per i casi di diffamazione online (ultimo “nuovo” comma dell’art. 21 L.S.).

Poche le modifiche al reato di ingiuria ex art 594 c.p.: giusto quelle suggerite dalla CEDU nel caso Belpietro contro Italia (ricorso n. 42612/10), ossia la eliminazione della sanzione detentiva, seppur con un sostanzioso incremento della sanzione pecuniaria.

Anche all’art. 595 c.p. (diffamazione) vengono apportate modifiche esigue, e nello stesso senso di quelle previste dall’art. 594, seppur con una – forse ridondante – precisazione e distinzione: l’inserimento, nel terzo comma, dell’inciso “in via telematica”. Checché se ne possa pensare, infatti, l’attuale formulazione del terzo comma dell’art. 595 c.p. (“qualsiasi altro mezzo di pubblicità”) ricomprende già i casi di diffamazione a mezzo internet o, se si preferisce, “in via telematica”.

Destinando eventuali commenti approfonditi all’esito dell’esame del testo eventualmente approvato in Parlamento, non ci rimane che attendere che l’assemblea si confronti sulle tante innovazioni proposte. Data la velocità con cui muta la materia di riferimento, speriamo prima che sia troppo tardi.

Read more...
Subscribe to this RSS feed

Turin
R&P Legal
Via Amedeo Avogadro, 26
10121, Torino - Italy
Milan
R&P Legal
Piazzale Luigi Cadorna, 4
20123, Milano - Italy
Rome
R&P Legal
Via Emilia, 86/90
00187, Roma - Italy
Busto Arsizio
R&P Legal
Via Goito, 14
21052, Busto Arsizio (VA) - Italy
Aosta
R&P Legal
Via Croce di Città, 44
11100, Aosta - Italy
Bergamo
R&P Legal
Viale Vittorio Emanuele II, 12
24121, Bergamo - Italy