I reati informatici sono condotte illecite commesse tramite strumenti digitali, che comprendono truffe online, phishing, hacking e diffusione illecita di dati.
Una e-mail fasulla, un link all’apparenza innocuo o un profilo social creato ad arte. I reati informatici o crimini informatici, sono una delle minacce in crescita per cittadini, aziende e istituzioni. Non si tratta solo di hacker che violano sistemi protetti, ma anche di truffatori che svuotano conti correnti con il phishing, di ex partner che diffondono immagini intime senza consenso, di campagne di disinformazione capaci di danneggiare reputazioni e mercati.
Nel luglio scorso, la Polizia Postale ha risposto con un’importante operazione contro il gruppo hacker filorusso NoName057(16), emettendo mandati di arresto internazionali e spegnendo centinaia di server in uso agli aggressori.
Cosa si intende per reati informatici?
Con reati informatici o crimini informatici si intendono quelle condotte illecite commesse mediante sistemi informatici o telematici oppure contro tali sistemi, i dati o i programmi in essi contenuti. La nozione abbraccia sia le ipotesi in cui il computer è lo strumento per commettere il reato (ad esempio, una frode telematica), sia quelle in cui il sistema informatico è l’obiettivo dell’attacco (ad esempio, l’accesso abusivo a un server protetto).
L’art. 615 ter c.p. stabilisce che:
«Chiunque abusivamente si introduce in un sistema informatico o telematico protetto da misure di sicurezza, ovvero vi si mantiene contro la volontà espressa o tacita di chi ha il diritto di escluderlo, è punito con la reclusione fino a tre anni.»
Pertanto, il domicilio digitale è tutelato al pari dell’inviolabilità del domicilio fisico. In questo senso, la Corte di Cassazione ha confermato la condanna di un dipendente che, pur avendo credenziali valide, aveva consultato aree riservate del gestionale aziendale per finalità estranee alle proprie mansioni (Cass. pen. sent. n. 40295/2024). L’accesso abusivo è stato configurato anche in assenza di un’intrusione tecnica esterna.
Invece, negli Stati Uniti, la Corte Suprema, nel caso Van Buren v. United States ha interpretato in senso restrittivo la clausola “exceeds authorized access” contenuta nel Computer Fraud and Abuse Act (CFAA): non commette il reato federale chi, pur avendo legittimo accesso a un sistema, usa i dati per scopi non autorizzati, se tale uso non comporta l’accesso a informazioni a cui l’utente non era già autorizzato. Tale differenza di approccio tra ordinamenti evidenzia come la definizione di accesso abusivo non sia uniforme e debba essere valutata nel contesto normativo di riferimento.
Quali sono i reati informatici più conosciuti e frequenti
È opportuno distinguere tra reati informatici in senso stretto (quelli disciplinati nel Titolo VII-bis del Codice penale, introdotto dalla l. n. 547/1993) e il termine più ampio cybercrime, che ricomprende anche fenomeni come la propaganda terroristica online, la pedopornografia e altre condotte regolamentate da norme diverse.
Secondo i dati più recenti della Polizia Postale e del Rapporto CLUSIT 2025, i reati informatici sono in costante crescita. L’incremento riguarda sia attacchi rivolti a privati cittadini, sia operazioni più complesse contro imprese e P.A.
Le statistiche ufficiali indicano che le truffe online restano la tipologia più diffusa, seguite dall’accesso abusivo a sistemi protetti e dal danneggiamento informatico. Per comprenderne l’impatto, è utile distinguere tre macro-categorie: reati contro i sistemi e i dati, reati contro la persona online e reati contro il patrimonio digitale.
Reati contro sistemi e dati
Questa categoria comprende le condotte che minano l’integrità, la riservatezza e la disponibilità di sistemi e informazioni digitali.
Accesso abusivo a un sistema informatico o telematico
L’art. 615 ter c.p. disciplina non solo l’intrusione dall’esterno, ma anche l’accesso “oltre i limiti del ruolo” da parte di soggetti autorizzati. La Corte di Cassazione ha confermato la condanna di un appartenente alle forze dell’ordine che aveva consultato la banca dati SDI per finalità personali, configurando l’accesso come abusivo (Cass. pen. sent. n. 38072/2022).
Detenzione o diffusione abusiva di codici o strumenti
L’art. 615 quater e quinquies c.p. punisce chi, senza autorizzazione, detiene o diffonde password, codici di accesso o programmi destinati a danneggiare un sistema informatico.
Intercettazione o impedimento illecito di comunicazioni informatiche o telematiche
L’intercettazione tutela la riservatezza delle comunicazioni digitali (art. 617 quater e 617 quinquies c.p.). Un esempio riguarda un caso deciso dal Tribunale di Milano nel 2021, in cui un ex dipendente aveva installato un software di intercettazione su computer aziendali per monitorare le e-mail: condannato a due anni di reclusione.
Danneggiamento informatico
Il danneggiamento informatico include la distruzione, cancellazione o alterazione di dati, programmi o sistemi (art. 635 bis c.p.). La Cassazione ha ritenuto integrato il reato nel caso di un dipendente che, prima di lasciare l’azienda, aveva formattato il PC aziendale cancellando dati essenziali per l’attività (Cass. pen. sent. n. 47096/2021).
Reati contro la persona online
Si tratta di condotte che colpiscono direttamente l’onere, la reputazione o la libertà personale attraverso i strumenti digitali.
Stalking online
Si configura stalikng online ai sensi dell’art. 612 bis c.p., quando condotte persecutorie sono realizzate tramite strumenti digitali (social network, e-mail, messaggistica istantanea), provocando nella vittima un grave stato di ansia grave o timore per la sicurezza personale. La giurisprudenza ha chiarito che anche l’invio seriale di messaggi WhatsApp può integrare il reato.
Diffamazione aggravata via web
La diffamazione (art. 595 c.p.) è aggravata quando avviene tramite un “mezzo di pubblicità”, come Internet. La Cassazione ha confermato la condanna di un utente per commenti offensivi pubblicati su Facebook, ritenendo il social un mezzo idoneo a raggiungere un numero indeterminato di persone (Cass. pen. sent. n. 16712/2022).
Revenge porn
Il revenge porn (art. 612 ter c.p.) prevede la reclusione da uno a sei anni e la multa da 5.000 a 15.000 euro per chi diffonde immagini o video sessualmente espliciti senza il consenso della persona ritratta. In una pronuncia del 2021, il Tribunale di Napoli ha condannato un imputato per aver inviato materiale intimo dell’ex compagna a conoscenti comuni, riconoscendo l’aggravante dell’aver agito tramite strumenti informatici.
Reati contro il patrimonio digitale
Rientrano in questa categoria i reati volti a ottenere un vantaggio economico attraverso mezzi informatici.
Frode informatica
La frode informatica ex art. 640 ter c.p. punisce chi, alterando il funzionamento di un sistema informatico o manipolando dati, procura a sé o ad altri un ingiusto profitto. La Cassazione ha precisato che costituisce aggravante l’uso indebito di un’identità digitale, come nel caso di accesso fraudolento a un conto online per effettuare bonifici. (Cass. pen. sent. n. 13559/2024)
Sostituzione di persona
La sostituzione di persona art. 494 c.p. si verifica quando si attribuisce falsamente a sé o ad altri un nome o una qualità, ingannando qualcuno. Nel contesto digitale, si manifesta spesso con la creazione di profili falsi sui social network o l’uso di account compromessi per truffare terzi.
Truffe online: phishing e smishing
Il phishing (via e-mail) e lo smishing (via SMS) mirano a carpire dati personali o bancari. La Polizia Postale registra un costante aumento di questi episodi, spesso con trasferimenti fraudolenti di denaro.
Come sono puniti i crimini informatici?
Il Codice penale prevede per i reati informatici variano in funzione della gravità della condotta, della qualifica dell’autore e alle conseguenze prodotte. In particolare, molti reati informatici sono perseguibili a querela della persona offesa (es. diffamazione online, revenge porn senza aggravanti particolari).
Per il revenge porn, la querela può essere presentata oralmente davanti alle forze dell’ordine o al pubblico ministero, entro 6 mesi dal fatto o dalla sua scoperta. È possibile la remissione della querela, ma non nei casi più gravi in cui è prevista la procedibilità d’ufficio.
leggi anche
Attenzione a questi annunci di lavoro. Sono una truffa che mette in pericolo il conto corrente
Accesso abusivo a un sistema informatico o telematico
L’art. 615 ter c.p. che disciplina l’accesso abusivo a un sistema informatico o telematico, prevede
una pena base è la reclusione fino a 3 anni. La sanzione aumenta, arrivando da 1 a 5 anni, se l’accesso abusivo è compiuto da un pubblico ufficiale o da un incaricato di pubblico servizio con abuso di poteri o violazione dei doveri, se avviene con violenza o minaccia, oppure se riguarda banche dati critiche contenenti informazioni sensibili o giudiziarie. La Cassazione ha ribadito che l’uso indebito delle credenziali per finalità estranee al servizio da parte di un agente di polizia integra l’aggravante legata alla qualifica (Cass. pen. sent. n. 38072/2022).
Frode informatica
Per la frode informatica, regolata dall’art. 640 ter c.p., la pena base è la reclusione da 6 mesi a 3 anni, accompagnata da una multa da 51 a 1.032 euro. Se il reato è commesso a danno dello Stato o di un ente pubblico, oppure con furto o uso indebito di identità digitale, la pena aumenta: da uno a cinque anni di reclusione e da 309 a 1.549 euro di multa.
Diffusione illecita di immagini o video sessualmente espliciti
L’art. 612 ter c.p. prevede la reclusione da 1 a 6 anni e multa da 5.000 a 15.000 euro. Sono previste aggravanti se la vittima è: l’ex partner; un minore; una persona con disabilità; oppure se i fatti sono commessi tramite strumenti di massa (es. piattaforme social, gruppi di messaggistica). In tali casi, la pena può aumentare fino alla metà.
Danneggiamento informatico
La pena base per il danneggiamento di sistemi o dati informatici altrui è la reclusione da 6 mesi a 3 anni. Se il fatto è commesso contro sistemi di pubblica utilità o nell’ambito di infrastrutture critiche, la pena può arrivare a 5 anni.
Come difendersi dai crimini informatici: prevenzione, prove e azioni immediate
Affrontare un reato informatico non si limita a installare un antivirus o a cambiare le password: la tutela reale deve unire misure preventive, la tempestiva raccolta delle prove e rapide azioni di contenimento.
Sul piano organizzativo, le aziende dovrebbero adottare policy interne chiare in materia di uso di sistemi informatici, prevedendo livelli di autorizzazione e controlli periodici. Occorre mantenere log di accesso conservati in modo sicuro, che possono costituire prova in caso di indagini. Per i titolari di trattamento dati, il Data Protection Impact Assessment (DPIA) aiuta a individuare vulnerabilità e misure di mitigazione. Sul piano tecnico, formazione periodica del personale, aggiornamento costante dei software e sistemi di monitoraggio attivo riducono sensibilmente il rischio.
Quando si è vittima di un crimine informatico, in primo luogo, occorre raccogliere e preservare le prove: screenshot, salvataggi dei messaggi, acquisizione di file con hash per garantirne l’integrità, e documentazione della cosiddetta catena di custodia (chi, quando e come ha gestito il reperto digitale). La denuncia o querela va presentata senza ritardo presso la Polizia Postale o le forze dell’ordine. Nei casi gravi, può essere necessario richiedere al giudice per le indagini preliminari (GIP) misure urgenti, come il sequestro di dispositivi informatici o l’oscuramento di contenuti online.
© RIPRODUZIONE RISERVATA
