Informazione giuridica di carattere generale — Il presente contenuto costituisce informazione giuridica di carattere generale e non sostituisce in alcun modo il parere di un avvocato iscritto all’Albo. La norma riportata è tratta da fonti ufficiali (Normattiva, Gazzetta Ufficiale) e il commento ha finalità divulgativa. Per la valutazione del caso specifico è necessario consultare un professionista abilitato.
Art. 615-quinquies c.p. Diffusione di apparecchiature, dispositivi o programmi informatici diretti a danneggiare o interrompere un sistema informatico o telematico
In vigore dal 1° luglio 1931
Chiunque, allo scopo di danneggiare illecitamente un sistema informatico o telematico, le informazioni, i dati o i programmi in esso contenuti o ad esso pertinenti ovvero di favorire l’interruzione, totale o parziale, o l’alterazione del suo funzionamento, si procura, produce, riproduce, importa, diffonde, comunica, consegna o, comunque, mette a disposizione di altri apparecchiature, dispositivi o programmi informatici, è punito con la reclusione fino a due anni e con la multa sino a euro 10.329.
Avvertenza: il testo è pubblicato a fini informativi e divulgativi. Per casi specifici è sempre consigliato rivolgersi a un professionista abilitato.
In sintesi
Diffusione di apparecchiature, dispositivi o programmi informatici per danneggiare o interrompere sistema informatico. Reclusione fino a due anni e multa fino a euro 10.329. Malware punito.
Ratio
L'articolo 615-quinquies protegge l'integrità dei sistemi informatici da attacchi di massa causati da malware, ransomware, virus, worm. Diversamente da art. 615-ter (accesso abusivo personale) e 615-quater (distribuzione codici accesso), questa norma criminalizza la creazione e distribuzione di strumenti di danno generalizzato. È speciale tutela dalla 'armi digitali', virus, trojan, botnet, che causano epidemie di cybercrime.
Analisi
Elemento costitutivo: con scopo di danneggiare illecitamente il sistema o le informazioni/dati/programmi 'in esso contenuti o ad esso pertinenti' ovvero di favorire interruzione/alterazione funzionamento, si procura, produce, riproduce, importa, diffonde, comunica, consegna, mette a disposizione apparecchiature, dispositivi o programmi informatici. Comportamenti plurimi: (1) procurarsi il malware (ottenere da dark web); (2) produrre (scrivere codice virus); (3) riprodurre (copiare); (4) importare (trasportare da estero); (5) diffondere (pubblicare online); (6) comunicare (inviare via email); (7) consegnare (dare fisico a qualcuno); (8) mettere a disposizione (es. upload su sito pubblico). La pena è fino a due anni e multa euro 10.329 (~5.000 euro). Non è necessario che il danno sia effettivamente consumato; basta la diffusione del dispositivo/programma con scopo dannoso.
Quando si applica
Esempi: creazione e distribuzione di virus per infettare computer aziendali; produzione di ransomware per riscatto; diffusione di worm che sfrutta vulnerabilità zero-day; distribuzione di spyware che traccia dati sensibili; creazione di botnet per attacchi DDoS. È delitto frequente in cybercrime organizzato, hacktivismo, spionaggio industriale.
Connessioni
Correlati: art. 615-ter c.p. (accesso abusivo, spesso conseguenza di malware), art. 615-quater c.p. (diffusione codici accesso, talvolta accompagna diffusione malware), art. 635 c.p. (danneggiamento, versione tradizionale, applicabile se danni fisici), direttive UE su cybersecurity, ISO 27001 (standard sicurezza informatica, violazioni possono trarre dal reato).
Domande frequenti
Se scarico un antivirus e lo uso per proteggere il mio computer, posso essere accusato di art. 615-quinquies?
No, l'antivirus è strumento di protezione, non di danno. Art. 615-quinquies punisce chi crea/diffonde programmi 'diretti a danneggiare'. Un antivirus ha scopo opposto. Inoltre, manca il dolo specifico (intenzione di danno).
Se trovo un virus nel mio computer e lo condivido con antivirus per studio, è reato?
No, se condividi con laboratorio di sicurezza informatica o antivirus per fine di protezione (non diffusione dannosa), è atto legittimo. Art. 615-quinquies richiede scopo di danno illecito. Se scopo è ricerca di sicurezza, manca il dolo.
Che differenza c'è tra art. 615-quinquies e art. 615-ter?
Art. 615-ter (accesso abusivo) punisce chi entra in sistema senza autorità. Art. 615-quinquies punisce chi crea/diffonde malware, è arma di danno generalizzato. Spesso si sovrappongono: hacker usa malware per accedere a sistema (entrambi i reati).
Se creo malware a scopo didattico (insegno cybersecurity), è reato?
Dipende dall'implementazione. Se crei in ambiente isolato (lab) e non diffondere, di solito non è reato (manca la diffusione). Se lo metti online anche 'per insegnamento', si configura diffusione, reato, poiché chiunque potrebbe usarlo per danno. Consigliato etichettare chiaramente 'solo studio', ambiente sandbox.
Se un'azienda antivirus scopre un malware, può distribuirlo a ricerca?
Sì, se per fine di protezione (creare vaccino antivirus) e non al pubblico. Se distribuisce il malware in forma 'neutra' (come campione per ricerca) a soggetti qualificati (università, laboratori certificati), di solito non è art. 615-quinquies. Però la linea è sottile; consigliato coordinamento con autorità (Polizia Postale).