Lexipedia

22.4325 · Mozione · 2022-12-08

Dipartimento di giustizia e polizia

Liquidato

Wortlaut

Il Consiglio federale è incaricato di presentare al Parlamento un disegno di normativa che permetta di introdurre nel Codice penale misure atte a punire la ricettazione di dati acquisiti illegalmente, in particolare di dati medici.

Begründung

Nel mese di aprile il Cantone di Neuchâtel è stato teatro di un evento che purtroppo per numerosi cittadini non era un brutto scherzo. Agli studi medici neocastellani sono infatti stati sottratti ben 40 000 file contenenti i dati dettagliati e intimi dei pazienti del Cantone, poi messi in rete dagli hacker, senza che si sappia se questi ultimi abbiano beneficiato del sostegno di qualche intermediario.

Questo esempio, tra tanti altri che vanno ben oltre il settore medico, non dimostra soltanto la necessità, per il legislatore, di una riflessione più ampia sulla protezione dei dossier elettronici dei pazienti, ma ci impone anche di colmare le lacune del diritto svizzero in caso di reati specifici in materia quali la ricettazione di dati digitali. Sfuggendo ancora a qualsivoglia sanzione, la ricettazione di dati digitali è infatti la grande assente tra gli articoli del Codice penale riguardanti tali questioni. Che sia nell'articolo 160 CP il quale, secondo la dottrina, la giurisprudenza e il parere del Consiglio federale sugli interventi volti a estendere la nozione di ricettazione, riguarda soltanto i beni materiali ma non i dati elettronici, o negli articoli 143 e 143bis CP, che puniscono soltanto il furto, ma non la ricettazione. Se si crede ai dati dell'Ufficio federale di statistica (UST) sulla criminalità informatica, i reati commessi su Internet continuano ad aumentare (1), ma la Svizzera sembra purtroppo poco incline a legiferare maggiormente in materia. Una situazione desolante che rende pertanto indispensabile potenziare il nostro diritto affinché non si applichi solo al furto di dati digitali, ma anche al fatto di detenerli scientemente sapendo che sono stati ottenuti in maniera illecita da un terzo.

(1) secondo l'UST e la sua Sezione Criminalità e diritto penale, oltre 30 000 reati informatici sono stati registrati in Svizzera nel 2021, a fronte di 24 398 nel 2020.

Antrag des Bundesrates

Il Consiglio federale propone di respingere la mozione.

Stellungnahme des Bundesrates

L'estensione della fattispecie della ricettazione alla ricezione e alla trasmissione di dati è già stata oggetto della mozione 12.3123 Amherd ("Adeguare la fattispecie della ricettazione nel Codice penale"), presentata nel 2012. All'epoca Consiglio federale e Parlamento avevano concluso che l'applicazione della fattispecie della ricettazione secondo l'articolo 160 del Codice penale (CP; RS 311.0) è limitata alla ricettazione di cose e che questa disposizione tutela la pretesa al ripristino del possesso legittimo. Il ricettatore è punito poiché protrae una situazione illecita ostacolando o complicando il recupero di una cosa. L'acquisizione illecita di dati (art. 143 CP), detta anche furto di dati, è tuttavia generalmente commessa copiando dati e non implica necessariamente che all'avente diritto venga tolta la possibilità di disporre dei dati. A causa della loro immaterialità, i dati e le informazioni in essi contenute si distinguono in modo sostanziale dalle cose, per quanto riguarda la loro proprietà e il loro possesso. Pertanto, le esigenze della protezione delle cose non sono le stesse di quelle dei dati e delle informazioni. La ricettazione di dati sottratti non è dunque compatibile con l'articolo 160 CP, che verte sui diritti reali.

Ciò non significa tuttavia che il comportamento descritto nella motivazione della mozione resta impunito. L'hacker è punito secondo l'articolo 143bis CP (accesso indebito a un sistema per l'elaborazione di dati) con una pena detentiva fino a tre anni o una pena pecuniaria, a prescindere che metta online i dati sottratti oppure no. Se intende procurare a sé o ad altri un indebito profitto, può essere sanzionato con una pena detentiva fino a cinque anni in applicazione dell'articolo 143 CP. La diffusione o pubblicazione dei dati costituisce una colpa grave e comporta una pena più severa. Se l'autore è aiutato da intermediari, entrano in considerazione anche l'istigazione, la complicità o la correità. A seconda delle circostanze del caso concreto o del successivo utilizzo dei dati, è inoltre possibile applicare, sia per l'autore principale del reato sia per terzi, le disposizioni sull'estorsione (art. 156 CP), il danneggiamento di dati (art. 144bis CP) e altri reati patrimoniali.

Anche se il legislatore ha finora volutamente rinunciato a estendere in maniera generale la nozione di ricettazione ai dati rubati, importanti categorie specifiche di dati sono oggi già tutelate dalla legge. Ogni trattamento di dati personali è infatti disciplinato dalla legge (art. 2 della legge federale sulla protezione dei dati, LPD; RS 235.1). È inoltre sanzionata dal diritto penale anche la sottrazione di dati personali (art. 179novies CP). La protezione penale include tutti i dati personali degni di particolare protezione, quindi anche i dati sanitari menzionati nella mozione (art. 3 lett. c n. 2 LPD). Nel quadro della revisione della LPD è stato inoltre di recente adottato un nuovo articolo del Codice penale che punisce l'usurpazione e il furto di identità (art. 179decies CP, entrata in vigore fissata al 1° settembre 2023) e comprende l'ulteriore utilizzo dei dati a fini delittuosi.

Va infine fatto notare che attualmente a livello internazionale non esistono obblighi o raccomandazioni (p. es. nel quadro della Convenzione del Consiglio d'Europa sulla cibercriminalità, ratificata dalla Svizzera; RS 0.311.43, o delle trattative in corso alle Nazioni Unite) di sancire la ricettazione di dati nelle legislazioni penali nazionali né discussioni in tal merito.

Il Consiglio federale non ritiene dunque necessario intervenire nel senso della mozione.

Il Consiglio federale propone di respingere la mozione.