Indice
Testo dell'articoloVigente
Art. 635-quinquies c.p. – Danneggiamento di sistemi informatici o telematici di pubblico interesse
Testo vigente – R.D. 1398/1930 (aggiornato da Normattiva)
Salvo che il fatto costituisca più grave reato, chiunque, mediante le condotte di cui all’articolo 635-bis ovvero attraverso l’introduzione o la trasmissione di dati, informazioni o programmi, compie atti diretti a distruggere, danneggiare o rendere, in tutto o in parte, inservibili sistemi informatici o telematici di pubblico interesse ovvero ad ostacolarne gravemente il funzionamento è punito con la pena della reclusione da due a sei anni.
La pena è della reclusione da tre a otto anni:
1) se il fatto è commesso da un pubblico ufficiale o da un incaricato di un pubblico servizio, con abuso dei poteri o con violazione dei doveri inerenti alla funzione o al servizio, o da chi esercita, anche abusivamente, la professione di investigatore privato, o con abuso della qualità di operatore del sistema;
2) se il colpevole per commettere il fatto usa minaccia o violenza ovvero se è palesemente armato;
3) se dal fatto deriva la distruzione, il deterioramento, la cancellazione, l’alterazione o la soppressione delle informazioni, dei dati o dei programmi informatici.
La pena è della reclusione da quattro a dodici anni quando taluna delle circostanze di cui ai numeri 1) e 2) del secondo comma concorre con taluna delle circostanze di cui al numero 3) .
In sintesi
Indice dei contenuti
Chi danneggia sistemi informatici o telematici di pubblica utilità al fine di distruggere o inservibilizzarli è punito 1-4 anni reclusione. Se il danno è realizzato: 3-8 anni. Aggravante se violenza o abuso operatore.
Ratio
L'articolo 635-quinquies, anch'esso introdotto dalla L. 48/2008, rappresenta il culmine della tutela penale informatica, focalizzandosi specificamente sui sistemi telematici di pubblica utilità: reti di comunicazione (telecomunicazioni), energia elettrica, trasporti (ferrovie, aeroporti), servizi di emergenza (112, vigili fuoco). Il reato è aggravato dal fine di distruggere o rendere totalmente inservibile il sistema, perché questo causano paralisi sociale su larga scala. La norma è reato di pericolo e di danno, con scala punitiva molto elevata per riflettere il danno potenziale.
Analisi
La norma si articola su tre progressioni. Il primo comma (primo e secondo comma di 635-quater come richiamo) punisce l'atto diretto a distruggere o inservibilizzare il sistema telematico di pubblica utilità (1-4 anni), senza bisogno che il danno sia concreto. È reato di pericolo e tentativo. Il secondo comma aggrava la pena a 3-8 anni se il danno è concretamente realizzato: il sistema è stato distrutto o reso parzialmente/totalmente inservibile, causando effettiva interruzione di servizi pubblici. Il terzo comma introduce ulteriori aggravanti (pena aumentata) se ricorrono violenza alla persona o abuso di qualità operatore (es. tecnico del sistema che sabota dall'interno). La scala riflette che il danno a un'infrastruttura telematica è quasi un atto di terrorismo economico e sociale.
Quando si applica
Caso 1: un hacker instrada un attacco Stuxnet-like verso il SCADA della centrale nucleare di Civitavecchia al fine di disabilitare il controllo della pressione dei reattori. I sistemi di protezione riducono il rischio ma il danno intenzionale è chiaro. È reato del primo comma (1-4 anni) perché l'atto è diretto a rendere inservibile la struttura telematica. Caso 2: un ransomware colpisce una centrale telefonica nazionale e la rende completamente irraggiungibile per 18 ore; milioni di utenti non riescono a comunicare. È reato del secondo comma (3-8 anni) per danno concreto realizzato su sistema telematico critico. Caso 3: un ex-tecnico di Terna (rete nazionale energia) accede ai sistemi di controllo e disabilita i quadri elettrici regionali. È reato aggravato per abuso di qualità di operatore.
Connessioni
Strettamente correlato all'articolo 635-ter per l'elemento qualificato della pubblica utilità. Collegato all'articolo 635-bis (danneggiamento informatico generico) da cui rappresenta specialità. Rimandi al Codice dell'Amministrazione Digitale (d.lgs. 82/2005) e alla legge sulla cybersecurity nazionale (L. 10/2019). Riferimenti alla direttiva NIS2 (Network and Information Security) dell'Unione Europea per protezione infrastrutture critiche (comunicazioni, energia, trasporti, sanità, servizi finanziari). Connessioni con la legge antiterrorismo (articoli 270 ss cp) se l'attacco ha finalità di intimidazione politica. Correlato anche a fattispecie di sabotaggio (articolo 248 cp, ma per contesto bellico).
Pronunce della Corte Costituzionale
Corte Cost., sent. n. 233/2018
Prassi dell'Agenzia delle Entrate
Ministero della Giustizia
Casi pratici
Caso 1: Tizio e l'attacco alla rete energia
, Tizio, membro di un collettivo hacker ambientalista, coordina un attacco DDoS/worm contro i server SCADA della rete nazionale di distribuzione elettrica (Terna). L'attacco è specificamente mirato a disabilitare i quadri di controllo di una regione. Nonostante i sistemi di ridondanza, la regione subisce interruzioni di corrente per 8 ore. Tizio commette il reato del secondo comma dell'articolo 635-quinquies (3-8 anni) per danno concreto realizzato: la rete telematica è stata resa inservibile parzialmente con impatto su milioni di cittadini.
Caso 2: Caio e il sabotaggio telefonico
, Caio è ex-tecnico senior di una grande azienda di telecomunicazioni (TIM, Vodafone). Anni dopo il licenziamento, mantiene ancora credenziali dormienti non revocate. Accede ai sistemi di gestione del nodo di commutazione principale di una città e, con codice malevolo, blocca i circuiti. Per 14 ore, gli ospedali della città non riescono a comunicare via telefono con i pronto soccorso esterni, i servizi di emergenza sono intasati, il 112 funziona al minimo. Caio commette il reato aggravato per abuso di qualità di operatore, con danno concreto su sistema telematico di pubblica utilità (3-8 anni, con aumento per abuso).
Domande frequenti
Se mi connetto a un router pubblico per fermare traffico di dati nocivi, è danneggiamento telematico?
Sì, anche se l'intento è positivo. Accedere senza autorizzazione e alterare configurazioni è reato. La corretta via è segnalare il problema all'authority competente (Garante Privacy, autorità di cybersecurity). Vigilantismo informatico è reato, anche se rivolto a combattere attività illecite.
Qual è la differenza tra articoli 635-ter e 635-quinquies?
Articolo 635-ter: danno a sistemi informatici dello Stato, PA, pubblica utilità (focus su dati e programmi). Articolo 635-quinquies: danno a sistemi telematici di pubblica utilità (focus su infrastrutture critiche di rete: energia, telecomunicazioni, trasporti). Se il danno riguarda dati di un ospedale pubblico, è 635-ter; se riguarda la rete di comunicazione dell'ospedale stessa, è 635-quinquies.
Se cause una interruzione minima di servizio telematico (30 secondi), è comunque reato?
Dipende dall'intento e dall'effetto. Se l'atto era diretto a distruggere/inservibilizzare il sistema (anche se fallisce per protezioni), è reato del primo comma (1-4 anni). Se l'interruzione è minima e accidentale, non è reato. Se è intenzionale ma molto breve, rimane reato ma potrebbe essere attenuato.
Se sono impiegato di un'azienda telematica e commetto errore nel backup, è reato?
No, se è errore senza dolo. Se la cancellazione del backup è intenzionale per sabotaggio, è reato aggravato per abuso di qualità. Il dolo è elemento essenziale; negligenza non configura il reato ma può costituire responsabilità disciplinare e civile.
Chi è responsabile se un attacco paralizza il 112 di una intera regione?
Chi ha commesso l'attacco (il cybercriminale o il gruppo), non il provider. Però l'azienda di telecomunicazioni può avere responsabilità civile se negligente nella protezione (assenza di protezioni adeguate, non-rispetto delle norma di cybersecurity). La pena penale è del danneggiatore (3-8 anni o oltre se aggravanti), la responsabilità civile è trasversale.
Fonti consultate: 2 fontei verificate