Informazione giuridica di carattere generale — Il presente contenuto costituisce informazione giuridica di carattere generale e non sostituisce in alcun modo il parere di un avvocato iscritto all’Albo. La norma riportata è tratta da fonti ufficiali (Normattiva, Gazzetta Ufficiale) e il commento ha finalità divulgativa. Per la valutazione del caso specifico è necessario consultare un professionista abilitato.
Art. 635-quinquies c.p. Danneggiamento di sistemi informatici o telematici di pubblica utilità
In vigore dal 1° luglio 1931
Se il fatto di cui all’articolo 635-quater è diretto a distruggere, danneggiare, rendere, in tutto o in parte, inservibili sistemi informatici o telematici di pubblica utilità o ad ostacolarne gravemente il funzionamento, la pena è della reclusione da uno a quattro anni.
Se dal fatto deriva la distruzione o il danneggiamento del sistema informatico o telematico di pubblica utilità ovvero se questo è reso, in tutto o in parte, inservibile, la pena è della reclusione da tre a otto anni.
Se ricorre la circostanza di cui al numero 1) del secondo comma dell’articolo 635 ovvero se il fatto è commesso con abuso della qualità di operatore del sistema, la pena è aumentata.
Articolo inserito dalla L. 18 marzo 2008, n. 48.
Avvertenza: il testo è pubblicato a fini informativi e divulgativi. Per casi specifici è sempre consigliato rivolgersi a un professionista abilitato.
In sintesi
Chi danneggia sistemi informatici o telematici di pubblica utilità al fine di distruggere o inservibilizzarli è punito 1-4 anni reclusione. Se il danno è realizzato: 3-8 anni. Aggravante se violenza o abuso operatore.
Ratio
L'articolo 635-quinquies, anch'esso introdotto dalla L. 48/2008, rappresenta il culmine della tutela penale informatica, focalizzandosi specificamente sui sistemi telematici di pubblica utilità: reti di comunicazione (telecomunicazioni), energia elettrica, trasporti (ferrovie, aeroporti), servizi di emergenza (112, vigili fuoco). Il reato è aggravato dal fine di distruggere o rendere totalmente inservibile il sistema, perché questo causano paralisi sociale su larga scala. La norma è reato di pericolo e di danno, con scala punitiva molto elevata per riflettere il danno potenziale.
Analisi
La norma si articola su tre progressioni. Il primo comma (primo e secondo comma di 635-quater come richiamo) punisce l'atto diretto a distruggere o inservibilizzare il sistema telematico di pubblica utilità (1-4 anni), senza bisogno che il danno sia concreto. È reato di pericolo e tentativo. Il secondo comma aggrava la pena a 3-8 anni se il danno è concretamente realizzato: il sistema è stato distrutto o reso parzialmente/totalmente inservibile, causando effettiva interruzione di servizi pubblici. Il terzo comma introduce ulteriori aggravanti (pena aumentata) se ricorrono violenza alla persona o abuso di qualità operatore (es. tecnico del sistema che sabota dall'interno). La scala riflette che il danno a un'infrastruttura telematica è quasi un atto di terrorismo economico e sociale.
Quando si applica
Caso 1: un hacker instrada un attacco Stuxnet-like verso il SCADA della centrale nucleare di Civitavecchia al fine di disabilitare il controllo della pressione dei reattori. I sistemi di protezione riducono il rischio ma il danno intenzionale è chiaro. È reato del primo comma (1-4 anni) perché l'atto è diretto a rendere inservibile la struttura telematica. Caso 2: un ransomware colpisce una centrale telefonica nazionale e la rende completamente irraggiungibile per 18 ore; milioni di utenti non riescono a comunicare. È reato del secondo comma (3-8 anni) per danno concreto realizzato su sistema telematico critico. Caso 3: un ex-tecnico di Terna (rete nazionale energia) accede ai sistemi di controllo e disabilita i quadri elettrici regionali. È reato aggravato per abuso di qualità di operatore.
Connessioni
Strettamente correlato all'articolo 635-ter per l'elemento qualificato della pubblica utilità. Collegato all'articolo 635-bis (danneggiamento informatico generico) da cui rappresenta specialità. Rimandi al Codice dell'Amministrazione Digitale (d.lgs. 82/2005) e alla legge sulla cybersecurity nazionale (L. 10/2019). Riferimenti alla direttiva NIS2 (Network and Information Security) dell'Unione Europea per protezione infrastrutture critiche (comunicazioni, energia, trasporti, sanità, servizi finanziari). Connessioni con la legge antiterrorismo (articoli 270 ss cp) se l'attacco ha finalità di intimidazione politica. Correlato anche a fattispecie di sabotaggio (articolo 248 cp, ma per contesto bellico).
Domande frequenti
Se mi connetto a un router pubblico per fermare traffico di dati nocivi, è danneggiamento telematico?
Sì, anche se l'intento è positivo. Accedere senza autorizzazione e alterare configurazioni è reato. La corretta via è segnalare il problema all'authority competente (Garante Privacy, autorità di cybersecurity). Vigilantismo informatico è reato, anche se rivolto a combattere attività illecite.
Qual è la differenza tra articoli 635-ter e 635-quinquies?
Articolo 635-ter: danno a sistemi informatici dello Stato, PA, pubblica utilità (focus su dati e programmi). Articolo 635-quinquies: danno a sistemi telematici di pubblica utilità (focus su infrastrutture critiche di rete: energia, telecomunicazioni, trasporti). Se il danno riguarda dati di un ospedale pubblico, è 635-ter; se riguarda la rete di comunicazione dell'ospedale stessa, è 635-quinquies.
Se cause una interruzione minima di servizio telematico (30 secondi), è comunque reato?
Dipende dall'intento e dall'effetto. Se l'atto era diretto a distruggere/inservibilizzare il sistema (anche se fallisce per protezioni), è reato del primo comma (1-4 anni). Se l'interruzione è minima e accidentale, non è reato. Se è intenzionale ma molto breve, rimane reato ma potrebbe essere attenuato.
Se sono impiegato di un'azienda telematica e commetto errore nel backup, è reato?
No, se è errore senza dolo. Se la cancellazione del backup è intenzionale per sabotaggio, è reato aggravato per abuso di qualità. Il dolo è elemento essenziale; negligenza non configura il reato ma può costituire responsabilità disciplinare e civile.
Chi è responsabile se un attacco paralizza il 112 di una intera regione?
Chi ha commesso l'attacco (il cybercriminale o il gruppo), non il provider. Però l'azienda di telecomunicazioni può avere responsabilità civile se negligente nella protezione (assenza di protezioni adeguate, non-rispetto delle norma di cybersecurity). La pena penale è del danneggiatore (3-8 anni o oltre se aggravanti), la responsabilità civile è trasversale.