L'articolo è stato scritto dal Dr. iur. Dr. rer. pol. Fabian Teichmann in collaborazione con Léonard Gerber e pubblicato sulla rivista professionale "Jusletter" nel 2021. La trasformazione digitale sta permeando la nostra società e apre la strada a un'economia sostenibile. Questa è chiamata anche quarta rivoluzione industriale e ha un impatto sulla vita quotidiana dei cittadini. Le comunicazioni avvengono tramite e-mail o messaggi WhatsApp, gli incontri con gli amici avvengono su Facebook o via Zoom, le foto e i video vengono postati su Instagram, gli scambi commerciali avvengono tramite piattaforme online e i pagamenti vengono effettuati tramite l'online banking. Tuttavia, dallo sviluppo delle tecnologie informatiche, si sono verificati molti comportamenti fraudolenti, alcuni dei quali rientrano nell'ambito del diritto penale informatico. La difficoltà di inquadrare questi comportamenti nel diritto penale risiede nella commissione simultanea di più reati nella forma di una bancarotta ideale. Si tratta di reati commessi via Internet, come ransomware, furto d'identità, hacking, distribuzione di malware, attacchi DDoS, frodi informatiche, reati di cybersesso, concorrenza sleale nel cyberspazio e phishing. Il Consiglio d'Europa ha adottato la Convenzione di Budapest sulla criminalità informatica, conclusa il 23 novembre 2001 e prima convenzione internazionale per combattere la criminalità informatica. È interessante notare che i 65 Stati membri del 2021 includono anche Stati non membri del Consiglio d'Europa che hanno ratificato la Convenzione, come Stati Uniti, Giappone, Australia o Canada. La Convenzione e i suoi Stati membri riconoscono quindi la necessità di affrontare la criminalità informatica a livello mondiale, che può andare oltre la giurisdizione limitata di una singola giurisdizione. L'obiettivo principale della Convenzione è quello di impegnare gli Stati contraenti in una politica penale comune al fine di proteggere la società dalla criminalità nel cyberspazio, adottando una legislazione e rafforzando la cooperazione internazionale. Il diritto penale svizzero copriva già gran parte dei reati legati alla criminalità informatica. La criminalità informatica può essere suddivisa in due categorie. La prima categoria comprende i reati contro le infrastrutture di Internet, come computer, connettività, programmi o in generale il supporto informatico delle vittime. Gli esempi includono hacking, attacchi DDoS, condivisione di malware (virus, trojan, ecc.). La seconda categoria comprende i reati commessi via Internet, come la discriminazione razziale, la violazione del copyright, la concorrenza sleale o il phishing. I reati legati a Internet hanno anche una dimensione transnazionale, in quanto non sono limitati a una singola giurisdizione. Il diritto penale svizzero sanziona tali comportamenti abusivi solo in modo selettivo. Il phishing può comportare diversi reati secondo il diritto penale svizzero sotto forma di bancarotta ideale. Il phishing è una tecnica fraudolenta per ottenere informazioni personali, solitamente in relazione a transazioni bancarie, al fine di commettere reati contro la proprietà e il furto di identità. L'art. 143bis del Codice Penale Svizzero (CP) è la norma del diritto penale svizzero che punisce l'hacking, ossia l'accesso non autorizzato a un sistema informatico. In primo luogo, questa norma protegge i sistemi informatici che appartengono ad altri e sono specificamente protetti da interferenze non autorizzate. I sistemi informatici comprendono computer, telefoni cellulari, fotocamere digitali e tutte le apparecchiature di elaborazione dati. Non si applica alle interferenze con supporti di dati come chiavette USB, CD, DVD o dischetti, a meno che non siano collegati a un sistema informatico protetto. I dati stessi non sono protetti dall'art. 143bis CP, ma dall'art. 143 CP, che rende punibile il furto di dati. Per determinare se un sistema informatico è specificamente protetto, occorre esaminare l'intenzione della persona autorizzata ad accedervi di impedire a terzi di accedere ai propri dati o di limitarne l'accesso. Questo criterio è soddisfatto se, ad esempio, vengono utilizzate misure di protezione informatica come software antivirus, codice di accesso o password, crittografia o chiave biometrica, ma non se esistono solo barriere fisiche per proteggere il sistema informatico, ad esempio una stanza chiusa a chiave o un armadio sigillato. In secondo luogo, la norma protegge dall'accesso non autorizzato tramite un dispositivo di trasmissione dati. Il reato si realizza nel momento in cui l'autore del reato supera la prima barriera di accesso, come il codice, la password o la chiave biometrica del sistema informatico protetto.
Informazioni sull'autore: Fabian Teichmann è avvocato in Svizzera, notaio a San Gallo, avvocato europeo in Liechtenstein e consulente di gestione a livello internazionale. È inoltre docente presso diverse università in Svizzera e all'estero.
Per ulteriori informazioni su questo argomento, si veda Teichmann, F. & Gerber, L. (2021). Cybercriminalité en Suisse: Le phishing. Jusletter. 27 maggio 2021. https://doi.org/10.38023/9312a9a4-1c0e-4225-b305-c06305b59df4.