Lo sviluppo della tecnologia ha indotto gli esperti a parlare di una rivoluzione e di mutamenti “disruptive” con riferimento alle evoluzioni degli ultimi anni che hanno manifestato senz’altro una accelerazione esponenziale[1] del passo verso il futuro digitale, o – per menzionare una di queste novità – “metaversale”.
- Gli ultimi interventi delle Autorità
È quasi quotidiano assistere a interventi o prese di posizione in proposito delle maggiori autorità, sia politiche, sia in ambito economico.
Merita segnalare, pur senza soffermarvisi e senza occuparsi dei pregevoli spunti comunque emersi al riguardo anche nel corso del Festival dell’Economia di Trento[2], le recenti pubblicazioni delle prese di posizione delle maggiori autorità in campo economico: BCE e Banca d’Italia.
La BCE si è espressa con riguardo alle iniziative normative in ambito di sicurezza informatica che – evidentemente – rispondono ad alcune delle maggiori preoccupazioni connesse all’innovazione[3]. In particolare, l’occasione era offerta dalla proposta di direttiva sulla cybersecurity, ma ha potuto tener conto anche di ulteriori lavori legislativi a livello europeo, anche di maggior efficacia diretta, quale la proposta di regolamento sulla resilienza informatica in particolare nel settore finanziario.
Banca d’Italia, invece, ha formulato un articolato comunicato attraverso il quale ha esaminato più diffusamente le cripto-attività[4] e sui rischi connessi a tali tipologie di strumenti, per i quali ha proposto definizioni alternative a seconda delle rispettive caratteristiche, sottolineando come nell’ambito di tale ampio concetto vi siano notevoli differenze.
Ancora, proprio nell’ultimo mese, in ambito UE si sono raggiunte intese sul digital services act e sul digital market act, attraverso i quali si conferma quel nuovo paradigma di intervento legislativo a livello comunitario, con il quale si è superata la preferenza verso la soft law di direttive e “libri bianchi”, prediligendo i vincolanti regolamenti.
Attraverso i recenti provvedimenti menzionati, l’Europa intende disciplinare i servizi digitali ai consumatori nell’ottica di garantire la miglior protezione a dati e soggetti maggiormente vulnerabili (i.e., in particolare, i minori).
Nondimeno, invece che concentrarsi su tali spunti che non costituiscono ancora – di fatto –normativa vigente, si ritiene che la presente occasione sia opportuna per esaminare i rischi di reato in un settore in evidente espansione ed evoluzione, anche a fronte della (scarsa) disciplina attualmente in vigore.
- Diritto penale e informatica.
Intanto, occorre dire che la tecnologia informatica è evidentemente uno strumento e, in quanto tale, può essere preordinata alla realizzazione – come in concreto assistiamo – di molte condotte lecite, come pure consentire o agevolare altre condotte, illecite.
Talune di queste ultime sarebbero state comunque colpite dalla sanzione penale senza il bisogno di accorgimenti normativi ulteriori (si pensi alla truffa realizzata creando pagine artificiose di un sito internet che inducano terzi in errore al punto da disporre il pagamento con cui si perfezionerebbe il reato di cui all’art. 640 c.p., senza il bisogno dell’autonoma previsione, sin dal 1993, dell’art. 640-ter c.p. che, sanzionando precipuamente la frode informatica, colpisce condotte che - attraverso l’alterazione informatica -ottengano il medesimo risultato di cui sopra, senza la necessità strutturale dell’errore della persona offesa).
Allo stesso tempo, l’invasività dello strumento informatico ha reso urgenti le novelle che si sono succedute negli anni (proprio a partire dal 1993[5]), prevedendo specifiche ipotesi di reati informatici in diversi settori del codice penale (esemplificativamente, oltre a quanto già visto, nell’ambito delle ipotesi di danneggiamento o di violazione della segretezza del domicilio come delle comunicazioni).
Da ultimo, rientra in questo ambito, l’integrazione delle sanzioni penali nei confronti dei reati commessi con strumenti di pagamento diversi dal contante[6], rispetto ai quali è stata altresì prevista – in chiusura dello scorso anno – la responsabilità dell’ente ai sensi del d.lgs. 231/2001[7].
*
Al di là di queste specifiche ipotesi di reato, la tecnologia informatica agevola il compimento anche dei reati c.d. “comuni”, magari persino con modalità più raffinate e con un grado inferiore di relazione tra l’autore e le persone offese (con tutte le conseguenze del caso, anche in termini di riconoscibilità e comprensibilità – per l’autore – del disvalore della condotta[8]): circostanze che, in larga misura, consentono anche una maggiore diffusione del crimine (informatico) [9].
- Il caso HFT e il diritto penale dei mercati finanziari.
Tra le modalità di maggiore perniciosità, da alcuni anni si è posta l’attenzione sulla possibilità di ricorrere ai bot per commettere reati di manipolazione del mercato. In particolare, è ormai un ventennio che sui mercati finanziari intervengono altresì gli algoritmi in grado di operare tramite High Frequency (HFT)[10].
Tali strumenti beneficiano di velocità operative incomparabili con quelle degli operatori tradizionali (umani o strumentali non così sofisticati), sia nell’esecuzione degli ordini, sia – soprattutto – nella gestione delle informazioni utili a determinare la decisione sulle operazioni. Le stesse caratteristiche infrastrutturali consentono a questi “artefatti” di elaborare un numero gigantesco di ordini paralleli, talvolta succeduti a distanza ravvicinata da altrettanti ordini opposti (vendita e poi acquisto, acquisto e poi vendita).
Ciononostante, proprio il coinvolgimento di questi applicativi – al di là dei giudizi entusiastici o critici nei loro confronti in termini generali – hanno determinato alcuni significativi tracolli finanziari[11]. Proprio l’analisi di questi eventi ha segnalato come l’intervento algoritmico sui mercati finanziari, da un lato, estenda le conseguenze di ogni eventuale manipolazione informativa (che viene metabolizzata fin troppo presto dall’algoritmo) e, dall’altro, come possa talvolta fungere esso stesso come metodo manipolatorio illecito proprio per la capacità di intervenire a velocità incommensurabili, con quantità enormi, ed eventualmente con ordinativi di senso opposto.
La sussunzione di queste vicende sotto le fattispecie del diritto penale finanziario (su tutti, gli artt. 184-5 T.U.F. – D.Lgs. n. 58/1998), però, si rivela tutt’altro che scontata alla luce di come il ricorso all’intelligenza artificiale muta il significato e la tenuta di molte delle categorie del diritto penale.
In particolare, è vero che da un punto di vista oggettivo non parrebbe dubbia la ricostruzione di una “manipolazione del mercato” ai sensi dell’art. 185 T.u.f. a fronte della possibilità – tramite quella successione di ingenti operazioni di vendita e acquisto di azioni – degli algoritmi di effettuare “operazioni simulate” e, per loro tramite, influenzare l’andamento dei prezzi degli strumenti finanziari, come previsto dalla norma[12]. Ciò che appare problematico, in questo caso, è l’aspetto psicologico: la necessaria volizione dell’autore dei fatti (o, secondo alcuni commentatori, lo stesso autore[13]), dal momento che in larga parte le operazioni vengono determinate dallo stesso algoritmo sulla base di propri schemi “comportamentali” non necessariamente oggetto di programmazione, bensì beneficiari del cosiddetto machine learning e dunque assunti, dall’intelligenza artificiale, in maniera autonoma rispetto alle indicazioni di qualsivoglia individuo a cui sarebbe dunque arduo riferire la responsabilità per le condotte della macchina.
Quanto poi all’insider trading (art. 184 T.u.f.), la rilevanza del fenomeno può apparire meno evidente, eppure risulta dirompente. Intanto, gli algoritmi evoluti in esame sono in grado di acquisire e rielaborare un numero di dati e nozioni sempre più ingente e, attraverso tali operazioni, acquisire direttamente delle informazioni economicamente rilevanti; talvolta, persino, utilizzando dati che – all’investitore tradizionale, ove mai vi accedesse – parrebbero informazioni trascurabili[14].
Il fenomeno ha indotto a ripensamenti sia della nozione di informazione privilegiata (la cui norma definitoria – art. 181 T.u.f. – è stata abrogata), sia del modello dell’investitore ragionevole, travolto dall’operatività “immotivabile” degli algoritmi (sulle cui decisioni pesa il c.d. black box[15]) e dall’influenza che gli stessi hanno pure sugli investitori tradizionali, i quali finiscono così per perdere a loro volta la razionalità che sarebbe loro propria[16]. Infine (per così dire), gli algoritmi operano principalmente in relazione a disallineamenti nei funzionamenti dei mercati finanziari e, in generale, senza una diretta connessione con i valori “intrinseci” degli strumenti target: questo comporta una tendenziale scissione tra prezzo e valore intrinseco, tanto più esacerbata dall’eventuale imitazione da parte dei traders tradizionali; complicando ulteriormente i paradigmi del diritto dei mercati finanziari e la tutela penale che viene posta a suo presidio.
- “Criptoriciclaggio”.
Un secondo fronte di significativo interesse, anche a livello penalistico, in ambito tecnofinanziario, è quello rivestito dalle criptoattività e dalle operazioni compiute in tale ambito.
In Italia, il legislatore (come pure la Banca centrale[17]) le considera «rappresentazioni digitali di valore non emesse da una banca centrale o da un’autorità pubblica … non necessariamente collegate a una valuta avente corso legale, ma … mezzo di scambio o … investimento e possono essere trasferite, archiviate e negoziate elettronicamente» (art. 1, lett. qq, d.lgs. 231/2007). Anche a livello europeo, la nozione non muta particolarmente (dir. 2018/843/UE - direttiva antiriciclaggio - art. 1, lett. d).
Occorre tuttavia integrare tali definizioni, sottolineando come tali valute – per poter acquisire la fiducia dei loro utenti malgrado l’assenza di istituzioni – beneficiano della tecnologia blockchain e in particolare dei registri criptati decentralizzati che prevedono multiple validazioni, da parte di molti “supercomputer” ma anche di utenti (appositamente remunerati), delle singole operazioni nell’ambito del sistema[18].
La giurisprudenza ha già dovuto occuparsene, sancendo, da un lato la possibilità di confiscare tali “valori”[19] e, nei giorni scorsi, la sussunzione sotto la fattispecie di autoriciclaggio – art. 648 ter.1 c.p. – delle operazioni di investimento in questi strumenti di proventi di altri delitti (peraltro, nel caso di specie, a loro volta commessi per il tramite di strumenti informatici, seppure secondo il più tradizionale schema della truffa)[20].
***
Non altrettanto evoluto il dibattito e l’approfondimento, in ambito penalistico, con riferimento all’importante impatto della tecnologia anche nella fase di gestione di processi di lavoro, come di concessione del credito e pure in ambito assicurativo (laddove si ricorre all’altro acronimo anglofono insurtech).
Malgrado la disattenzione rispetto a questi risvolti dell’implementazione tecnologica, ogni innovazione adottata dalle imprese, in ambito operativo come in quello finanziario e gestionale, deve sempre essere monitorata anche dal punto di vista della compliance sia rispetto alla normativa specifica, di settore, eventualmente già novellata per dar spazio alla tecnologia adottanda, sia – e allora con maggior analisi critica – con riguardo alla normativa tradizionale e ai principi dell’ordinamento. Ciò, è evidente, vale anche in tema di governance e di rispetto degli interessi di tutti gli stakeholder, nel solco della miglior valorizzazione dell’attuale ampiezza di finalità dell’organizzazione e gestione modellata (anche) ai sensi del D.Lgs. 231/2001.
[1] L’importanza dell’accelerazione impressa dall’evoluzione tecnologica induce spesso a trascurare come di tecnologia la finanza si servisse da tempo, tanto che l’acronimo Fintech è stato rinvenuto da attenti commentatori persino in scritti degli anni settanta: cfr. Davola, Algoritmi decisionali e trasparenza bancaria, Torino, 2020, pag. 6, part. nota 22.
[2] La XVII edizione tenutasi tra il 2 e il 5 giugno 2022, in particolare con la tavola rotonda del 3 giugno, dal titolo Criptovalute, monete tradizionali e autorità di controllo: regole esistenti, realtà del mercato e regole auspicabili (con gli interventi di Paolo Savona – Consob e Marina Brogi – La Sapienza).
[3] Cfr. Parere della Banca Centrale Europea dell’11 aprile 2022 su una proposta di direttiva del Parlamento europeo e del Consiglio relativa a misure per un livello comune elevato di cibersicurezza nell’Unione, che abroga la direttiva (UE) 2016/1148. Prot. (CON/2022/14), in Gazzetta uff. UE, 16 giugno 2022 e reperibile online sui siti dell’istituzione europea.
[4] Cfr. Comunicazione della Banca d’Italia in materia di tecnologie decentralizzate nella finanza e cripto-attività, Roma, giugno 2022, reperibile sul sito internet dell’Autorità.
[5] Allorché sono stati introdotte anche le fattispecie di: accesso abusivo a sistema informatico o telematico (art. 615 ter c.p.), detenzione e diffusione abusiva di codici di accesso per i medesimi sistemi (art. 615 quater c.p.), diffusione di dispositivi e programmi informatici diretti a danneggiare o interrompere i medesimi sistemi (art. 615quinquies c.p.), intercettazione, impedimento o interruzione illecita di comunicazioni informatiche o telematiche (art. 617 quater c.p.), come pure l’installazione delle apparecchiature dirette a tali attività (art. 617 quinquies c.p.), nonché la falsificazione, alterazione o soppressione di quelle comunicazioni (art. 617 sexies c.p.). Mentre le ipotesi di danneggiamento inerente a dati o sistemi informatici sono state introdotte solo nel 2008 (artt. 635 bis – quater c.p.), insieme alla ulteriore specificazione della frode informatica (ipotesi “base” già introdotta nel 1993: vd. nel testo) del prestatore di certificazioni per firma elettronica (art. 640 quinquies c.p.).
[6] Le cui eventuali falsità sono state sanzionate sin dal 2018, con l’art. 493 ter c.p. (poi interpolato e affiancato, a opera dell’art. 2 del D. Lgs. 8 novembre 2021, n. 184, al successivo art. 493 quater c.p., sempre in materia).
[7] In virtù del già menzionato D. Lgs. 8 novembre 2021, n. 184 (art. 3).
[8] L’aspetto è stato di recente sottolineato dal prof. Costantini nell’ambito di un seminario accademico tenutosi il 12 luglio 2022, dal titolo “Giustizia e tecnologia: un binomio possibile?”, in modalità webinar coordinato dall’Università Magna Graecia di Catanzaro, con le Università di Bologna, Parma, Modena e Reggio Emilia, Udine (di cui verranno pubblicati gli atti).
[9] Cfr., per esempio, Mesko, On some aspects of cybercrime and cybervictimization, in European Journal of Crime, Criminal law and Criminal Justice, 2018, 26, pag. 189.
[10] Cfr., tra i primi ad averli esaminati ripercorrendone la storia, McGowan, The Rise of Computerized High-Frequency Trading: Use and Controversy, in Duke L. & Tech. Rev., 2010, n. 16, pagg. 1 ss. Più recentemente, si vedano Di Ciommo, Gli smart contract e lo smarrimento del giurista nel mondo che cambia. Il caso dell’High Frequency Trading (HFT) finanziario, in AA.VV., FinTech (a cura di Fimmanò, Falcone), Napoli, 2019, pagg. 157 ss., nonché Davola, Algoritmi decisionali, cit., pagg. 69 ss.
[11] Una breve rassegna, come pure ulteriori osservazioni sul fenomeno in esame, si possono trovare in Davola, ult. op. cit., pagg. 70-1 e in Consulich, Il nastro di Möbius. Intelligenza artificiale e imputazione penale nelle nuove forme di abuso del mercato, in Banca, Borsa, Titoli di Credito, 2018, fasc.2, pagg. 195 ss.
[12] Lo sottolinea anche Consulich, ult.op.cit., § 7.1.
[13] Per una panoramica delle posizioni si veda in particolare Palavera, Responsabilità non umane al tramonto dell’antropocene? Riflessi penalistici, in Jus-online, 2020, n. 2, pagg. 184 ss.; contra Piva, Machina discere, (deinde) delinquere et puniri potest, in AA.VV., Il diritto nell’era digitale, Milano, 2022, pagg. 684 ss.
[14] Si veda ancora Consulich, ult.op.cit.
[15] Il tema della c.d. black box, con la quale si specifica l’impossibilità di ripercorrere in termini argomentativo-motivazionali le “scelte”, opache, degli algoritmi è particolarmente indagato nell’ambito della letteratura che si è occupata degli algoritmi predittivi, e in particolare delle loro applicazioni in ambito legale e giudiziario, cfr., inter alia, Severino, Intelligenza artificiale e diritto penale, in AA.VV., Intelligenza artificiale. Il diritto, i diritti, l’etica, Milano, 2020, pag. 543. Con riguardo agli HFT, invece, si vedano ancora i già citati Consulich e Davola.
[16] Nozione comunque discussa se si considera che nella letteratura nordamericana, da tempo si sia sottolineato come la ragionevolezza degli investitori sia alquanto modesta, sollecitati come sono da fin troppe notizie del cui peso e della qualità delle fonti si rivela arduo tener conto: cfr. M. Kerjan-Slovic, An Idea Whose Time Has Come, in AA.VV., The Irrational Economist: Making Decisions in a Dangerous Word (a cura di Id.), New York, 2010, pagg. 3 ss.; Lin, The New Investor, in UCLA Law Review. 2013, 60, pag. 700.
[17] Banca d’Italia, comunicazione del 30 gennaio 2015, valute virtuali; ma si veda anche la più recente, citata in apertura, del giugno 2022
[18] Cfr., per gli aspetti giuridici, Pascuzzi, Il diritto dell’era digitale, Bologna, 2020, pagg. 279-283. Con maggiori dettagli sui profili tecnologico-informatici, Chiap – Ranalli – Bianchi, Blockchain. Tecnologia e applicazioni per il business, Milano, 2019, pagg. 51 ss.
[19] Cfr. Cass. pen., sez. 2, 17 ottobre 2020, n. 26807.
[20] Cfr. Cass. pen., sez. 2, 7 luglio 2022, n. 27023 (anche in giurisprudenzapenale.it)