Il 20 novembre l’Associazione Keiron – La Casa del Penalista ha avuto il piacere di ospitare la professoressa Chiara Graziani in un seminario sulle recenti evoluzioni del diritto penale digitale. L’analisi del tema è stata condotta dalla prospettiva del diritto pubblico comparato, con un approccio metodologico fondato su una visione dinamica del diritto, attento all’evoluzione del diritto penale e alle sue interazioni con la tutela dei diritti fondamentali all’interno dell’ordinamento europeo.

 

La professoressa ha spiegato come l’interesse – a livello sovranazionale – per la dimensione penalistica del mondo digitale trovi le sue origini nella Convenzione di Budapest sulla prevenzione del cybercrime del 2001, il primo strumento internazionale attraverso cui gli Stati membri del Consiglio d’Europa si impegnano a reprimere, anche in ambito telematico e informatico, i medesimi reati già previsti dai rispettivi codici penali.

 

L’Unione Europea, invece, ha iniziato a occuparsi di questi temi con il Trattato di Lisbona, che ha introdotto un pilastro specifico dedicato alla cooperazione giudiziaria in materia penale. Pur non disponendo di una competenza penale diretta, in quanto questa resta strettamente connessa alla sovranità nazionale, l’Unione esercita un ruolo di armonizzazione minima delle legislazioni degli Stati membri. Ciò significa che le norme penali sostanziali rimangono di competenza nazionale, mentre l’Unione coordina le operazioni di contrasto ai reati transnazionali attraverso organismi come Europol, Eurojust e la Procura europea. Il principio di sussidiarietà giustifica l’intervento europeo in materia di diritto penale informatico laddove l’azione a livello nazionale risulti insufficiente.

 

Con l’espansione della criminalità informatica e l’uso crescente di strumenti digitali da parte delle organizzazioni criminali, è aumentata la probabilità di commissione di reati transnazionali, con ricadute dirette anche sulla sicurezza nazionale. In questo contesto, le direttive rappresentano gli strumenti principali a disposizione dell’Unione per intervenire in materia di diritto penale digitale, sebbene in alcuni casi vengano utilizzati anche regolamenti. Tra gli esempi più significativi figurano la Direttiva 2011/93/UE contro l’abuso e lo sfruttamento sessuale dei minori online, la Direttiva 2013/40/UE sugli attacchi ai sistemi informatici e il Regolamento (UE) 2023/1543. A questi si affiancano strumenti di natura non penalistica, ma strettamente connessi alla disciplina del digitale, come il GDPR, il Digital Services Act e l’Artificial Intelligence Act. Le norme penalistiche, infatti, si intrecciano spesso con quelle di carattere tecnico-regolatorio, nella misura in cui queste ultime definiscono i requisiti di sicurezza che i sistemi devono rispettare.

 

L’evoluzione tecnologica impone l’elaborazione di nuove risposte normative a minacce inedite, derivanti dall’uso dell’intelligenza artificiale, dalla manipolazione algoritmica e dalla diffusione di tecnologie digitali avanzate che comportano nuove tensioni tra sicurezza e diritti fondamentali. A questo si aggiunge la difficoltà di garantire una cooperazione efficace in un contesto internazionale caratterizzato da modelli regolatori profondamente eterogenei (Unione europea, Stati Uniti e Cina).

 

Dopo questa introduzione, l’analisi si è concentrata su due casi di studio emblematici: da un lato, la crittografia end-to-end, con le sue implicazioni giuridiche e politiche; dall’altro, gli strumenti penalistici di contrasto al terrorismo.

 

La crittografia end-to-end è un sistema di cifratura in cui solo il mittente e il destinatario possono leggere i messaggi e perciò costituisce lo strumento centrale per la protezione della privacy e dei dati personali. A livello europeo, il quadro normativo di riferimento incoraggia l’uso della crittografia come misura di sicurezza, come indicato dal Regolamento generale sulla protezione dei dati (GDPR 2016/679), che la considera uno degli strumenti idonei per garantire la sicurezza del trattamento dei dati personali ai sensi dell’articolo 32.

 

Sul piano politico e giuridico, la questione della crittografia end-to-end è oggetto di un ampio dibattito. Alcuni Stati membri e forze di polizia sostengono la necessità di introdurre accessi “legittimi” per fini investigativi, sollevando interrogativi sull’equilibrio tra sicurezza pubblica e tutela dei diritti fondamentali. Le istituzioni europee, in particolare il Parlamento e la Commissione, hanno ribadito più volte la necessità di conciliare sicurezza e diritti, evitando però di introdurre vulnerabilità sistemiche nei sistemi di comunicazione. Il tema è tornato al centro dell’attenzione tra il 2022 e il 2025 con la proposta di Regolamento CSAM, noto anche come Chat Control, che prevede la possibilità di scansionare messaggi cifrati per individuare materiale illecito legato all’abuso sessuale su minori.

 

La proposta della Commissione europea del 2022 ha l’obiettivo di prevenire e contrastare la diffusione di materiale di abuso sessuale su minori (Child Sexual Abuse Material, CSAM), imponendo ai fornitori di servizi digitali, come piattaforme di messaggistica, e-mail e hosting, l’obbligo di individuare, segnalare e rimuovere contenuti illegali. Tuttavia, essa solleva importanti criticità giuridiche, come il rischio di instaurare una forma di sorveglianza generalizzata, in contrasto con gli articoli 7 e 8 della Carta dei diritti fondamentali dell’Unione europea. Inoltre, l’obbligo di scansione dei messaggi cifrati si pone in tensione diretta con il principio della crittografia end-to-end, mettendo in discussione la riservatezza delle comunicazioni. Per questo, nel 2025 la proposta di regolamento Chat Control risulta ancora in fase di negoziazione tra Parlamento europeo e Consiglio.

 

A livello dell’Unione europea, la lotta al terrorismo si fonda su un articolato insieme di strumenti penalistici e di cooperazione, che si estendono anche alla dimensione digitale. L’uso crescente di Internet per la radicalizzazione, la propaganda e il finanziamento delle attività terroristiche ha spinto le istituzioni europee a introdurre norme specifiche per il contrasto di tali fenomeni. Le piattaforme online sono oggi obbligate a rimuovere in tempi rapidi i contenuti di natura terroristica, come previsto dal Regolamento (UE) 2021/784, noto anche come TERREG.

 

Il principale quadro normativo di riferimento è rappresentato dalla Direttiva (UE) 2017/541, che disciplina la lotta contro il terrorismo e armonizza le normative penali degli Stati membri. Un aspetto particolarmente rilevante nel contrasto al terrorismo riguarda la lotta al suo finanziamento. In questo ambito, la Direttiva (UE) 2015/849, nota come IV Direttiva antiriciclaggio (AML), e la successiva V Direttiva (2018/843) hanno ampliato il campo di applicazione delle misure di prevenzione, includendo gli asset virtuali e i prestatori di servizi di cripto-asset (VASP), con l’obiettivo di monitorare i flussi finanziari digitali. La cooperazione tra le Unità di Informazione Finanziaria (FIU) degli Stati membri riveste un ruolo centrale nel rilevamento delle operazioni sospette e nella raccolta di informazioni utili alle indagini.

 

Il seminario ha permesso agli studenti di comprendere più chiaramente le complesse interazioni tra diritto penale ed evoluzione digitale, evidenziandone le criticità e i possibili sviluppi. Ha inoltre sottolineato le difficoltà nel bilanciare sicurezza e libertà fondamentali nell’affrontare le nuove sfide poste dall’evoluzione tecnologica e dal contesto globale.