Los delitos de daños informáticos en el Código Penal italiano

Revista Nº 47 Abr.-Jun. 2014

Ivan Salvadori 

Doctor europeo en Derecho Penal Económico e Informático, Profesor de Derecho Penal y Derecho Penal internacional Universitá di Verona (Italia) 

Sumario

En el presente trabajo se analiza la regulación de los delitos de daños informáticos introducidos en el Código Penal italiano por la Ley 48, de 18 de marzo del 2008, que ratifica y da ejecución al Convenio Cibercrimen del Consejo de Europa. El objetivo es averiguar si la legislación penal italiana en materia de daños informáticos cumple con las recomendaciones internacionales y, en particular, si se adecua a las técnicas de protección adoptadas por otros legisladores europeos. 

Temas relacionados

Derecho Penal Informático; cibercrimen; daños informáticos; sabotaje informático; delitos de “atentado”; delitos cualificados por el resultado. 

1. Introducción

Con la Ley 48, de 18 de marzo del 2008, que ratifica y da ejecución al Convenio Cibercrimen del Consejo de Europa (a partir de ahora COC), el legislador italiano ha reformado algunos de los delitos informáticos (por ejemplo en materia de difusión de programas malware del art. 615-quinquies, C.P., y de falsedades informáticas del art. 491-bis, C.P.) que este había introducido en el Código Penal italiano (en adelante C.P.) con la Ley 547 de 23 de diciembre de 1993. Además, también ha creado nuevos tipos delictivos para castigar las falsedades cometidas por el emisor de certificados de firma electrónica (art. 495-bis, C.P.) y las estafas cometidas por el mismo (art. 640-quinquies, C.P.)(1). Sin embargo, las principales novedades introducidas por la mencionada Ley 48 son las relativas a la normativa en materia de daños informáticos.

Para dar actuación a las disposiciones del Convenio Cibercrimen sobre la interferencia en los datos (data interference) y en los sistemas informáticos (system interference), el legislador italiano ha distinguido, siguiendo las recomendaciones internacionales, entre daños a datos y aquellos a sistemas informáticos, tipificando ambas conductas como delitos distintos. No obstante, en contra de lo que ha ocurrido en muchos países europeos (como, por ejemplo, en Alemania, Austria, España y Rumania)(2), nuestro legislador no se ha limitado a introducir en el Código Penal dos tipos delictivos autónomos en subjecta materia, sino que ha creado un complejo sistema normativo formado por cuatro normas distintas.

En los próximos párrafos se intentará averiguar si la legislación penal italiana en materia de daños informáticos cumple con las recomendaciones internacionales y, en particular, si se adecua a las técnicas de protección adoptadas en los últimos años por otros legisladores europeos (como, por ejemplo, el español y el alemán).

En primer lugar, se analizarán los tipos delictivos de daños a datos y a sistemas informáticos “privados” (párr. 2), con particular atención al delito de daños a datos y programas del artículo 635-bis del C.P. (párr. 2.1), al delito de “sabotaje informático” del artículo 635-quater del C.P. (párr. 2.2) y el controvertido concepto de “ajenidad” de los datos y programas informáticos (párr. 2.3). En la segunda parte del trabajo se estudiarán los delitos de daños a datos y a sistemas informáticos de carácter “público” (párr. 3). En primer lugar, se revisará la estructura del artículo 635-ter, párrafo 1, del C.P. y del 635-quinquies, párrafo 1, ibídem (párr. 3.2), que se caracterizan por ser delitos de “atentado o emprendimiento” (delitti di attentato o Unternehmensdelikte)(3). Se pasará luego a analizar la problemática estructura de los “delitos cualificados por el resultado” (reati aggravati dall’evento) utilizada en la tipificación de los artículos 635-ter, párrafo 2, y 635-quinquies, párrafo 2, del C.P. (párr. 3.3). Para finalizar, se formularán algunas consideraciones sobre el tratamiento sancionador, las circunstancias agravantes (párr. 4) y los bienes jurídicos protegidos por estos delitos (párr. 5). Por último, como conclusión, se formularán algunas valoraciones críticas en perspectiva de lege ferenda (párr. 6).

2. Los daños a datos y a sistemas informáticos “privados”

2.1. Los daños a informaciones, datos y programas informáticos (art. 635-bis, C.P.).

El delito de “daños a informaciones, datos y programas informáticos” del artículo 635-bis del C.P. castiga, con pena de prisión de seis meses a tres años, a quien “destruyere, deteriorase, borrase, alterase o suprimiese informaciones, datos o programas informáticos ajenos”(4).

El objeto material del delito lo constituyen los datos, informaciones y programas informáticos ajenos. Respecto a la anterior formulación, que había sido introducida en el Código Penal mediante la Ley 547 de 1993, el legislador italiano del 2008 suprimió la referencia a los sistemas informáticos o telemáticos, que, de acuerdo con la bipartición realizada tanto por el Convenio Cibercrimen del Consejo de Europa, como por la Decisión marco 2005/222/JAI del Consejo de la Unión Europea, relativa a los ataques contra los sistemas de información, se protegen ahora mediante normas ad hoc (art. 635-quater y art. 635-quinquies, C.P.).

No parece adecuada, sin embargo, la referencia que, junto con los datos y los programas informáticos, se hace a las informaciones, ya que su mención amplía de manera excesiva el ámbito de aplicación del delito, posibilitando la subsunción en el artículo 635-bis del C.P. de los meros daños a informaciones contenidas en un documento de papel o que de todos modos no se puedan tratar mediante un programa informático(5).

La formulación del tipo resulta adecuarse bastante a la del artículo 4º del Convenio Cibercrimen. Respecto al anterior artículo 635-bis del C.P., que castigaba también la destrucción, el deterioro y la inutilización total o parcial de los datos, informaciones y programas informáticos ajenos, la nueva norma, que menciona expresamente los resultados ilícitos de cancelación, alteración y supresión de datos, resulta ser más correcta. Estos resultados típicos, que pueden ocasionarse también de manera omisiva, representan las distintas “modalidades” con las que puede manifestarse la agresión a la integridad y a la disponibilidad de los datos y de los programas informáticos.

La alteración consiste en una modificación del contenido de los datos informáticos(6). De esta manera, pueden ser subsumidos en el nuevo artículo 635-bis ibídem, los daños causados mediante el empleo de programas malware que transformen o modifiquen el contenido de los datos informáticos(7). Del mismo modo, podrán ser castigadas las alteraciones (o defacement) de páginas web que se sustancien en la modificación no autorizada de los datos informáticos que forman dichas páginas, o en la transformación de códigos fuente o del lenguaje de programación de un software. Por el contrario, no se podrá decir que existe alteración en los casos de instalación ilícita de programas espía (como Spyware, Trojan Horse y Keylogger), cuya función principal es la de memorizar los datos que se tratan y envían desde el ordenador “espiado” y transmitirlos al delincuente informático sin que haya ninguna modificación de su contenido(8).

A diferencia del artículo 5º del COC, el artículo 635-bis del C.P. no menciona los supuestos que consistan en la producción de daños, y tampoco, como requiere el artículo 4º de la Decisión marco 2005/222/JAI, aquellos que consistan en hacer inaccesibles los datos informáticos.

La decisión del legislador italiano de no castigar de manera expresa los hechos que consistan en “dañar” (damaging) datos informáticos ajenos no parece del todo correcta. El hecho de dañar datos o programas informáticos abarca casos que pueden ser subsumidos solo en parte en la conducta típica del deterioro de datos(9), que consiste en disminuir o menoscabar el valor o la posibilidad de utilización de datos, informaciones o programas informáticos.

Críticas similares surgen respecto a la decisión de no castigar los hechos que consistan en hacer inaccesibles datos informáticos, resultado expresamente mencionado en el artículo 4º de la Decisión marco 2005/222/JAI, lo que permitiría abarcar todas aquellas conductas (como, por ejemplo, el empleo no autorizado de programas de criptografía, la ilícita aposición de una contraseña a un archivo) cuyo efecto consiste en impedir, de manera permanente o temporal, el legítimo acceso a los datos a su titular. Sin embargo, estos últimos casos podrían ser subsumidos en el resultado típico de supresión de datos informáticos(10).

La supresión(suppression) de datos informáticos abarca no solo los hechos que consistan en una eliminación definitiva de los datos y que impidan cualquier posibilidad de recuperación de estos en el ordenador o soporte en los que estaban almacenados, sino también aquellos casos en que se impida el normal acceso a los datos a su legítimo titular. Piénsese, por ejemplo, en la sustitución de una contraseña o del nombre de un file, en el desplazamiento de un archivo a un directory distinto o en la ocultación de los datos(11).

Por su parte, la cancelación (deletion) consiste en hacer total y definitivamente irreconocible el contenido de los datos o de los programas informáticos(12). Los datos se pueden cancelar tanto destruyendo o dañando los soportes en los que están almacenados, como mediante su formatación. Del todo irrelevante será, a efectos penales, que los datos o los programas informáticos borrados puedan ser recuperados por su titular en otro soporte (por ejemplo, en un CD-ROM, o en back-up, etc.)(13).

El legislador italiano, a diferencia, por ejemplo, del español(14), no ha considerado oportuno limitar la aplicación del tipo únicamente a los casos graves de daños a datos y programas informáticos. La ratio de esta cláusula “indefinida” es la de restringir el tipo delictivo para evitar que abarque también la simple alteración de datos cuando estos no tengan ningún valor o utilidad.

Sin embargo, a falta de una definición legal del concepto de “gravedad” de los daños producidos a datos y programas informáticos, será competencia de los jueces la compleja tarea de determinar el criterio de selección de aquellos casos de daños que por su gravedad habría que considerar penalmente relevantes. Por lo tanto, la previsión de esta cláusula podría resultar contraria al principio fundamental de taxatividad, si bien en bonam partem.

2.2. Los daños a sistemas informáticos o telemáticos (art. 635-quater, C.P.).

El delito de daños a sistemas informáticos y telemáticos del artículo 635-quater del C.P. castiga, con pena de prisión de uno a cinco años, a quien “mediante las conductas mencionadas en el artículo 635-bis, C.P. o a través de la introducción o la transmisión de datos, informaciones o programas informáticos, destruya, dañe o inutilice en todo o en parte sistemas informáticos o telemáticos ajenos, u obstaculice de manera grave su funcionamiento”(15).

Se trata de un delito de resultado de medios determinados, puesto que el resultado tiene que producirse “mediante las conductas descritas en el artículo 635-bis, C.P.” o “a través de la introducción o la transmisión de datos, informaciones o programas”.

El primer supuesto típico, que se estructura como un tipo cualificado (Qualifikationstatbestand) respecto del tipo básico contenido en el artículo 635-bis, C.P., castiga los daños a sistemas informáticos o telemáticos ocasionados “mediante las conductas previstas en el artículo 635-bis, C.P.”, es decir, mediante “la destrucción, deterioro, cancelación, alteración o supresión de datos, informaciones y programas”(16). La formulación del delito es distinta a la del artículo 3º de la Decisión marco 2005/222/JAI y del artículo 5º del COC, y no parece correcta en la parte en que califica como conducta, junto a las de introducción y de transferencia de datos mencionadas en la segunda parte del tipo, a los “hechos” típicos del artículo 635-bis, C.P., como si se tratase de un delito de acción(17). Como se ha subrayado anteriormente, el artículo 635-bis del C.P. se caracteriza por ser un delito de resultado que castiga cualquier conducta (activa u omisiva) cuyo efecto causal consista en ocasionar un “daño” a través de una de las modalidades típicas de destrucción, cancelación, alteración o supresión de datos, informaciones o programas informáticos ajenos.

La segunda conducta tipificada en el delito del artículo 635-quater castiga los sabotajes informáticos realizados “a través de la introducción o la transmisión de datos, informaciones o programas”. La previsión de este subtipo, que se adecúa al artículo 5º COC y al artículo 3º de la Decisión marco 2005/222/JAI, se justifica por la necesidad de castigar también los casos, cada día más frecuentes, de daños “lógicos” —es decir, que afectan a la parte del software de un sistema informático— llevados a cabo mediante conductas neutras de introducción de datos en un sistema informático o de transmisión a través de la web o de un soporte físico (por ejemplo una USB, CD-ROM, etc.) o de programas malware ( gusanos, virus, etc.).

El artículo 635-quater del C.P. también describe el resultado típico del delito como “destruir, dañar, inutilizar total o parcialmente” u “obstaculizar gravemente el funcionamiento” de un sistema informático o telemático.

La formulación del primer resultado previsto por el tipo delictivo reproduce la conducta típica prevista en el artículo 635-bis del C.P.

El segundo resultado típico previsto en el artículo 635-quater consiste, de acuerdo con la previsión del artículo 5º del COC, en obstaculizar gravemente el funcionamiento de un sistema informático o telemático. Esta previsión, que parece incluir también la de interrupción (prevista en el art. 3º de la Decisión marco 2005/222/JAI), se puede estimar correcta, puesto que permite superar aquellas lagunas normativas que impedían castigar, durante la vigencia del anterior artículo 635-bis del C.P., los daños “funcionales” a un sistema informático o telemático(18). Paradigmáticos en este sentido son los mencionados ataques de denegación de servicio (Denial of Service o Distributed Denial of Service Attacks), que impiden el correcto funcionamiento de un sistema informático, si bien no causan, en sentido estricto, ningún daño a los datos y a los programas informáticos.

Los resultados funcionales, si bien coinciden muy a menudo con conductas dañosas “violentas”, pueden producirse también en una fase posterior y autónoma respecto a estas(19). Piénsese, por ejemplo, en la transmisión o en la introducción ilícita de un programa malicioso de tipo worm en un ordenador ajeno. En este caso, la inutilización total o parcial del sistema informático puede verificarse a posteriori con el progresivo agotamiento de los recursos de la memoria ocupada por el “gusano”.

Correcta y acorde con las recomendaciones del Consejo de Europa, aparece la decisión políticocriminal de limitar el ámbito penal del tipo a aquellos hechos que obstaculicen gravemente el funcionamiento de un sistema informático o telemático. La previsión de esta cláusula indeterminada permite excluir la relevancia penal de aquellos hechos que produzcan una interrupción de entidad muy leve a un sistema de información. Piénsese, por ejemplo, en el envío de un número limitado de mensajes de correo electrónico no deseados (Spam), o en las sendas virtuales (Net-Strike) organizadas por grupos pequeños de usuarios, que no interfieren de manera relevante en el correcto funcionamiento de un servidor. En estos casos parece más correcto el recurso a instrumentos penales y administrativos previstos en el Código de la privacy (D. Leg. 196/2003) para el caso en el que el spammer haya obtenido en Internet direcciones de correo electrónico sin el consentimiento de sus titulares y enviarles correos publicitarios no deseados. Esta conducta, en caso de que se cumplan todos los elementos típicos del delito “tratamiento ilícito de datos” del artículo 167 del Decreto Legislativo 196 del 2003, (“codice privacy”) tendría que ser castigada de manera menos severa (prisión de seis a dieciocho meses) respecto a la pena prevista por el delito del artículo 635-quater del C.P.(20).

Resulta sorprendente, sin embargo, que queden excluidos del ámbito de aplicación del artículo 635-quater ibídem los daños físicos, esto es, los que se cometan contra el hardware de un sistema informático(21).

Efectivamente, la norma se refiere solamente a aquellos daños lógicos cometidos mediante las “conductas” de destrucción, deterioro, cancelación o a las conductas de introducción o transmisión de datos, informaciones o programas informáticos. Por lo tanto, solo se podrán reconducir a este delito aquellos casos de daños físicos que se verifiquen (de manera indirecta) a través de modalidades lesivas de tipo “lógico”, es decir, mediante datos o contra datos o programas informáticos. Piénsese, por ejemplo, en la introducción o en la transmisión de un virus que obstaculice indirectamente el correcto funcionamiento del ventilador de enfriamiento de un sistema informático infectado, inutilizando, en parte, u obstaculizando, el correcto funcionamiento del sistema. En este caso nos encontraríamos frente a una evidente disparidad de tratamiento, puesto que los casos de daños “físicos” causados a sistemas informáticos se castigarían con la pena (mucho más leve) prevista por el artículo 635 del C.P. (de reclusión de hasta un año o multa de hasta 309 euros) en lugar de la pena más grave establecida por los daños “lógicos” del 635-quater (prisión de uno a cuatro años), a pesar de que los efectos sobre el funcionamiento del sistema informático afectado podrían ser idénticos.

2.3. El concepto de “ajenidad” de los datos, informaciones y programas informáticos

Los “hechos” típicos de destrucción, deterioro, cancelación, alteración o supresión de informaciones, datos y programas informáticos previstos en el delito del artículo 635-bis del C.P. constituyen eventos técnicamente neutros, que no presentan en sí mismos connotación ilícita alguna. En este sentido, resulta paradigmática la amplia definición de “tratamiento de datos” que proporciona el artículo 4º, párrafo 1, letra a) del llamado Código de la privacy italiano (D. Leg. 196/2003) que incluye, entre las conductas lesivas que pueden tener como objeto los datos (personales), también su modificación, bloqueo, cancelación y destrucción.

Resulta, por lo tanto, difícil delimitar, sin otros elementos típicos, la esfera de las conductas lícitas que recaen sobre los datos informáticos respecto a los comportamientos ilícitos merecedores de sanción penal, ya que falta un requisito intrínseco de ilicitud en los resultados de daños tipificados en el artículo 635-bis del C.P.

No parece posible determinar el carácter ilícito de los daños en base a la ausencia de consentimiento por parte del titular de los datos o de los programas informáticos dañados(22). Si lo hiciéramos, nos encontraríamos ante una ilógica presunción de tipicidad de todas las operaciones que causen un efecto similar a las conductas previstas en el delito de daños causados a informaciones, datos y programas, cuyo carácter antijurídico habría que excluir en cuanto se constate la presencia de la causa de justificación del consentimiento de la víctima. Esto produciría una parálisis en las operaciones cotidianas de tratamiento de datos y programas realizadas por sujetos públicos o privados en el ámbito laboral, jurídico, económico o social, que, en abstracto, tendrían que ser subsumidas en el artículo 635-bis ibídem.

Con el objetivo de superar las dificultades a la hora de distinguir entre los casos de daños a datos penalmente relevantes de los que no lo son, el legislador italiano, pese a las fuertes críticas de la doctrina, ha considerado oportuno recurrir al dudoso requisito de la ajenidad de los datos, informaciones y programas informáticos(23). Esta previsión representa una anomalía, no solo respecto a las fuentes internacionales, sino también en al panorama jurídico europeo donde, a excepción de España, la referencia al carácter ajeno de los datos o programas se ha omitido, requiriendo de manera más correcta que los daños a los datos se lleven a cabo “sin derecho” o “sin autorización”. Estas cláusulas de ilicitud expresa, que no requieren necesariamente la existencia de un derecho de propiedad o de posesión del sujeto pasivo sobre los datos informáticos dañados, permiten recurrir, a la hora de delimitar el hecho típico, a todas las normas extrapenales que regulan las actividades legítimas sobre los datos(24).

Sin duda, por tanto, habría sido más correcta la previsión por parte del legislador italiano de una cláusula de ilicitud expresa, delimitando así el ámbito de aplicación del delito de daños a datos informáticos llevados a cabo mediante conductas “no autorizadas”(25).

Esta ha sido, por ejemplo, la técnica de formulación adoptada por los legisladores rumano (L. 196/2003, arts. 44 y 45) y belga (Code Pénal, art. 550-ter), la cual castiga los daños cometidos sin autorización (sachant qu’il n’y est pas autorisé)(26), y por el legislador español, que, en el artículo 264, párrafos 1 y 2 del C.P., castiga los daños a datos y a sistemas informáticos cometidos “sin autorización”(27). Muy similar es la técnica adoptada por el legislador alemán (§§ 303a, 303b StGB), si bien este ha preferido emplear el adverbio rechtswidrig (de manera antijurídica)(28). Según destacada doctrina, esta cláusula de ilicitud no constituiría un elemento de la antijuridicidad (Rechtswidrigkeit), sino de la tipicidad (Tatbestandsmerkmal) del delito(29).

3. Los daños a datos y a sistemas informáticos “de utilidad pública”

3.1. Sobre la peculiar técnica de formulación de los delitos

Al dar actuación al Convenio Cibercrimen del Consejo de Europa, el legislador italiano no se ha limitado —como han previsto muchos legisladores europeos (como por ejemplo el alemán, el español y el austriaco)— a distinguir entre los daños ocasionados a datos y aquellos ocasionados a sistemas informáticos, sino que ha ido más allá, castigando de manera autónoma los “daños ocasionados a informaciones, datos y programas informáticos utilizados por el Estado o por otra entidad pública o que de todos modos resulten ser de utilidad pública” (art. 635-ter, C.P.) y los “daños ocasionados a sistemas informáticos o telemáticos de utilidad pública” (art. 635-quinquies,C.P.).

La primera crítica que hay que formular a la decisión del legislador italiano es la de utilizar expresiones distintas para definir “objetos” que revisten la misma relevancia pública, puesto que ello no queda justificado desde un punto de vista político-criminal. En lugar de la compleja y controvertida expresión “utilizados por el Estado o por otra entidad pública, o a ellos pertenecientes, o de todos modos de utilidad pública” para calificar los “objetos” sobre los que recaen los efectos lesivos tipificados en el artículo 635-ter ibídem, habría sido mejor que hubiera empleado la expresión, más sintética, “utilidad pública”, que ha empleado en el artículo 635quater, C.P.(30).

Más criticable aún es la decisión de tomar como modelo —para tipificar los delitos de daños ocasionados a datos y a sistemas informáticos “públicos”— el delito de “atentado contra instalaciones de utilidad pública” del artículo 420 del C.P. (parcialmente derogado por el art. 6º de la L. 48/2008) y no, como habría sido más correcto, el de daños causados a datos informáticos del artículo 635-bis del C.P. y de sabotaje informático del artículo 635-quater, ibídem.

De la misma manera que el mencionado artículo 420, párrafo 2, tanto el artículo 635-ter, párrafo 1, como el 635-quinquies, párrafo 1, se caracterizan por su peculiar estructura de los llamados delitos “de atentado”, “de emprendimiento” o “de preparación” (“actos dirigidos a…”) y, por consiguiente, por la anticipación de la tutela penal.

La estructura de los artículos 635-ter, párrafo 2, C.P., y 635-quinquies, párrafo 2, ibídem es igual a la del derogado párrafo tercero del artículo 420 del C.P. De esta manera, el legislador ha introducido en este complejo sistema normativo que regula la materia de los daños informáticos dos nuevos delitos que se caracterizan por presentar una peculiar estructura de “delitos cualificados por el resultado” (reati aggravati dall’evento).

3.2. Los “delitos de atentado” contra datos y sistemas informáticos de utilidad pública (arts. 635-ter, párrafo 1 y 635-quinquies, párrafo 1, C.P.).

El primer párrafo del artículo 635-ter del C.P. castiga, con pena de prisión de uno a cuatro años, el hecho dirigido a “destruir, deteriorar, borrar, alterar o suprimir” informaciones, datos o programas informáticos de relevancia pública.

Por su parte, el artículo 635-quinquies, párrafo 1, castiga, con pena de prisión de uno a cuatro años, los actos dirigidos a destruir, dañar o inutilizar, en todo o en parte, sistemas informáticos o telemáticos “públicos” o a obstaculizar gravemente su funcionamiento, cuando estos se cometan mediante las modalidades típicas descritas en el artículo 635-quater del C.P. Ambos delitos se caracterizan por su estructura de delitos de “atentado” o de “emprendimiento” (delitti di attentato)(31). Para no extender excesivamente el ámbito de aplicación de estos delitos parece más correcto entender que el umbral de la relevancia penal de los atentados contra datos y sistemas informáticos de “utilidad pública” coincide con el de la tentativa de los correspondientes delitos comunes de “daños a informaciones, datos y programas informáticos” del artículo 635-bis, párrafo 1, y de “daños a sistemas informáticos o telemáticos” del artículo 635-quater, párrafo 1. Por lo tanto, serán penalmente relevantes únicamente aquellos actos que, sobre la base de un criterio de prognosis póstuma (ex ante), resulten ser objetivamente idóneos y dirigidos de manera inequívoca a crear un peligro concreto para el bien jurídico protegido (véase infra párr. 5)(32). Por el contrario, habrá que excluir la punibilidad de estos delitos en fase de tentativa, al no ser compatible con su naturaleza de delitos de “atentado”(33).

3.3. La estructura de los artículos 635-ter, párrafo 2 y 635-quinquies, párrafo 2 del C.P.

En base al artículo 635-ter párrafo 2, el delito de atentado contra informaciones, datos y programas informáticos de “utilidad pública” (art. 635-ter, párr. 1, C.P.) se castigará con pena de prisión de tres a ocho años, si de su comisión se deriva la destrucción, deterioro, cancelación, alteración o supresión de informaciones, datos o programas informáticos(34).

El artículo 635-quinquies, párrafo 2, establece que el delito de “atentado” contra sistemas informáticos o telemáticos “públicos” (art. 635-quinquies, párr. 1, C.P.) se castigue con pena de prisión de tres a ocho años, si de su comisión se deriva la destrucción de, o el daño a un sistema informático o telemático, o este resulte en todo o en parte inutilizado(35).

En ambos artículos, el legislador italiano empleó una expresión (“si del hecho se derivase”) propia de los “delitos agravados por el resultado” (reati aggravati dall’evento)(36). Sin embargo, para poder incluir estas normas en la categoría de “delitos agravados por el resultado” hay que analizar también su estructura típica.

Los artículos 635-ter, párrafo 2 y 635-quinquies, párrafo 2 del C.P. configuran respectivamente como agravante el resultado de daños ocasionados a datos, informaciones y programas informáticos y el de daños ocasionados a sistemas informáticos o telemáticos de utilidad pública. El resultado típico que tiene que producirse para que se consideren cometidos los delitos enunciados anteriormente ha de ser abarcado por el dolo del hecho típico previsto en el primer párrafo de cada delito. Por ello, no nos hallamos ante auténticos “delitos cualificados por el resultado”, sino ante tipos delictivos autónomos. En consecuencia, desde un punto de vista práctico, el resultado de “destrucción, deterioro, cancelación, alteración o supresión” en un caso, y de “destrucción y daño” de datos y de sistemas de utilidad pública, en el otro, tiene que considerarse como un elemento constitutivo de un delito consumado autónomo, y no como uno circunstancial de las conductas de atentado. El resultado producido no podrá ser objeto de una ponderación de las circunstancias, tal como establece el artículo 59 del C.P.(37).

4. Tratamiento sancionador y circunstancias agravantes

El tipo básico del delito de daños ocasionados a informaciones, datos y programas informáticos del artículo 635-bis, párrafo 1 del C.P. se castiga con pena de prisión de seis meses a tres años, mientras que para los tipos agravados del segundo párrafo, introducidos mediante la anterior Ley 547 de 1993, la pena es de uno a cuatro años de prisión.

Presenta escasa relevancia práctica la circunstancia agravante de haber cometido los daños a datos y a sistemas informáticos tanto públicos como privados “con violencia sobre las personas o con amenazas”. El legislador parece no haber tenido en cuenta que hoy en día la mayoría de los ataques informáticos se realizan a través de las redes telemáticas y, en especial, de internet, sin la necesidad de contacto físico con los sistemas informáticos y con las personas que en su caso velan por la seguridad de estos sistemas.

Con toda seguridad, presenta una mayor relevancia la circunstancia agravante establecida para todos los tipos de daños ocasionados a datos y a sistemas informáticos cuando estos se cometan “con abuso de la función de operador de sistema”(38). Sin embargo, hay que resaltar que el concepto “operador de sistema”, que no se ajusta al lenguaje informático, podría abarcar a todos aquellos sujetos que, por distintas razones, “operan” sobre un sistema informático(39). Hubiera sido mejor, por tanto, sustituir esta expresión por “administrador de sistema” (system administator), que, con toda seguridad, resulta ser más adecuada para abarcar todos los técnicos informáticos que, por el hecho de tener control sobre las fases de un proceso de elaboración de datos informáticos, pueden acceder con mayor facilidad a los datos y a los programas contenidos en los sistemas informáticos que operan. Y, precisamente de esta relación privilegiada con los sistemas informáticos —además de la naturaleza particularmente confidencial de sus tareas— deriva la especial peligrosidad de las conductas que justifica un tratamiento sancionador más grave en los casos de daños informáticos cometidos por los administradores de los sistemas.

La formulación de las circunstancias agravantes previstas por los delitos de “atentado” contra datos y sistemas informáticos de “utilidad pública” (arts. 635-ter, párr. 3, y 635-quinquies, párr. 3, C.P.) y de daños ocasionados a sistemas informáticos y telemáticos (art. 635-quater, párr. 2, ib.) es idéntica a la del 635-bis, párrafo 2, excepto por la falta de determinación de la entidad del aumento de pena(40). Para estos casos, en base a la regla establecida por el artículo 64 del C.P., habrá que apreciar un incremento de pena en los subtipos agravados de hasta un tercio respecto a la pena prevista por el correspondiente tipo básico.

El tratamiento sancionador previsto para los delitos (consumados) de daños ocasionados a datos y a sistemas informáticos de “utilidad pública” previstos en los artículos 635-ter, párrafo 2 y 635-quinquies, párrafo 2, que se caracterizan por su severidad (pena de reclusión de tres a ocho años), aparece del todo “autónomo” respecto al tratamiento más benévolo previsto para los casos de atentado contra datos y sistemas informáticos (uno a cuatro años). Además de resultar desproporcionado y excesivamente severo, este trato es contrario a las propias recomendaciones internacionales que, tipificando de manera autónoma los daños ocasionados a datos y a sistemas informáticos, requieren implícitamente que estos sean castigados de manera distinta. Por el contrario, la pena prevista por el delito (consumado) de daños ocasionados a datos de utilidad pública del artículo 635-ter, párrafo 2, resulta ser, no solamente más grave que la del delito de daños ocasionados a sistemas informáticos y telemáticos “privados”, sino que además idéntica a la del tipo de daños a sistemas informáticos “públicos” (art. 635-quinquies, párrafo 2).

Por ello, es criticable la decisión político-criminal de equiparar, desde un punto de vista sancionador, los ilícitos contenidos en los artículos 635-ter y 635-quinquies, puesto que el desvalor de los ataques dirigidos contra sistemas informáticos de utilidad pública (art. 635-quinquies, C.P.) es muy superior al de los daños ocasionados a datos, informaciones y programas informáticos “públicos” del 635-ter. Es evidente, por tanto, la diferencia sancionadora en relación con los tipos básicos de daños ocasionados a datos “privados” (pena de reclusión de seis meses a tres años) y de los ocasionados a sistemas informáticos “privados” (pena de reclusión de uno a cinco años) de los artículos 635-bis y 635-quater del C.P.

En perspectiva de lege ferenda, sería oportuno que el legislador, de acuerdo con las recomendaciones internacionales, diferenciase el tratamiento sancionador —en base a su distinto desvalor— de los ataques informáticos cometidos contra los datos y los sistemas informáticos de naturaleza “privada” y aquellos de naturaleza “pública”.

5. Los bienes jurídicos protegidos

Parte de la doctrina, valorando sobretodo la colocación sistemática de los delitos de daños informáticos en el Código Penal, ha afirmado que el bien jurídico protegido por estas normas es el valor patrimonial de los bienes informáticos (datos, informaciones, programas y sistemas informáticos)(41). Sin embargo, de esta manera se ha sobrestimado su colocación sistemática sin tener en cuenta que para determinar el interés jurídico protegido, en la relación entre el “título” (“sección” o “capítulo”) y el texto normativo, debe predominar siempre este último por ser más vinculante y de mayor riqueza descriptiva(42). La colocación sistemática del delito es solamente uno de los criterios hermenéuticos a disposición del intérprete para confirmar lo que se ha obtenido desde la interpretación del texto normativo(43). En la determinación del interés jurídico protegido por la norma el intérprete tiene que estar necesariamente vinculado al contenido del “hecho” típico(44).

Sobre la base del análisis de los “hechos” tipificados por los delitos de daños informáticos emerge que el bien jurídico protegido no es el patrimonio del propietario de los datos o de los sistemas informáticos dañados (que queda como un bien jurídico secundario), sino la integridad y la disponibilidad de los datos y de los sistemas informáticos(45).

6. Consideraciones críticas finales y perspectivas ‘de lege ferenda

El loable objetivo del legislador italiano de dar actuación a las disposiciones del Convenio Cibercrimen sobre los daños informáticos no se ha conseguido de manera satisfactoria.

En primer lugar, este no ha suprimido la referencia al controvertido concepto de “ajenidad” de los datos, informaciones y programas informáticos. La referencia a esta expresión, en el contexto de la informática, crea muchos problemas para determinar tanto quién es la persona ofendida, como el interés protegido. Es muy complejo aplicar a “objetos” informáticos conceptos tradicionales propios del Derecho Civil, como los de propiedad y de posesión.

En perspectiva de lege ferenda, sería oportuno que el legislador sustituyese el controvertido requisito de la ajenidad de los datos, requiriendo, de acuerdo con la técnica adoptada por otros legisladores europeos, que las conductas dañosas se lleven a cabo “sin autorización”.

Por otra parte, suscita mucha perplejidad, desde un punto de vista político-criminal, la decisión de formular los daños ocasionados a datos y a sistemas informáticos “públicos” como delitos de “atentado”. El empleo de esta técnica de protección en el ámbito de la criminalidad informática es contrario al principio de proporcionalidad(46). Este fundamental principio requiere que entre el grado de la anticipación de la protección penal y la importancia del bien jurídico protegido exista una cierta proporción(47). En consecuencia, la incriminación de hechos que se caractericen por una peligrosidad no lo suficientemente elevada es únicamente admisible en aras a la protección de un interés jurídico fundamental como, por ejemplo, el del sistema de derechos e instituciones primordiales del Estado, sin los cuales perdería su identidad de Estado social de derecho(48).

El recurso a la técnica de los delitos de “atentado” para sancionar la puesta en peligro de los bienes jurídicos cuyo nivel de importancia no es suficientemente alto no resulta adecuado, ya que infringe el principio de proporcionalidad(49). Los delitos de “atentado” (o “de emprendimiento”) contra los datos y los sistemas informáticos “de utilidad pública” permiten la incriminación de conductas que en realidad son meramente preparatorias y que no representan, en la mayoría de los casos, una seria amenaza para un bien jurídico fundamental, ni son indispensables para la sobrevivencia del sistema político-constitucional o de la propia sociedad. Así, la decisión político-criminal de anticipar la protección penal a los actos de preparación resulta completamente desproporcionada.

En la sociedad de la información, los intereses jurídicos emergentes de la integridad y la disponibilidad de los datos y de los sistemas informáticos (así como el de la intimidad informática(50)) han adquirido una notable dimensión y relevancia social. Se trata de bienes jurídicos que merecen ser protegidos por el Derecho Penal debido a la ineficacia o la insuficiencia de los medios alternativos de protección tanto técnicos (passwords, firewall, etc.), como organizativos (códigos deontológicos, reglamentos, policy, etc.). Una protección efectiva resulta indispensable para garantizar el interés colectivo de la seguridad informática(51), además de la certeza, rapidez y normal desarrollo de las relaciones sociales, económicas y jurídicas que cada día, con más frecuencia, se realizan a través de medios informáticos. Pese a su gran importancia, estos intereses no poseen, en la jerarquía de valores propios de un ordenamiento democrático, una importancia tal que justifique una protección que recurra a la técnica de los delitos de consumación anticipada o de preparación (atentado).

Hay que criticar, por tanto, la decisión político-criminal del legislador italiano de proteger los datos, las informaciones, los programas y los sistemas informáticos “públicos” a través del recurso a la técnica de los delitos de “atentado”. El mismo resultado se habría podido conseguir, sin incurrir en evidentes problemas hermenéuticos, previendo una circunstancia agravante especial autónoma para los delitos de daños ocasionados a datos y sistemas informáticos(52).

En perspectiva de lege ferenda, es oportuno que el legislador, de acuerdo con las indicaciones internacionales y con las decisiones de muchos legisladores europeos (por ejemplo el alemán, el español, y el austriaco) formule los delitos de daños ocasionados a datos y a sistemas informáticos como de resultado. De esta manera, se evitaría una excesiva anticipación del ámbito de aplicación garantizando, al mismo tiempo, la punibilidad de la tentativa.

La hipertrofia normativa en materia de daños informáticos no parece el instrumento idóneo para abarcar todas las modalidades lesivas que inciden sobre la integridad y la disponibilidad de los datos y de los sistemas informáticos. En los tipos delictivos de daños a sistemas informáticos (arts. 635-quater y 635 quinquies) solo se pueden subsumir aquellos hechos de agresión “lógica” a datos y programas que causen un daño funcional a sistemas de información. Por el contrario, quedan excluidos los daños físicos cometidos contra el hardware de un sistema informático o telemático, que, en consecuencia, podrán ser subsumidos solamente en el delito menos grave de daños a las cosas del artículo 635 del C.P., a pesar de que puedan provocar los mismos efectos sobre la funcionalidad del sistema.

Ahora bien, tomando como modelo la legislación alemana, el legislador italiano podría incluir dentro del delito de daños ocasionados a sistemas informáticos y telemáticos un “subtipo” ad hoc para castigar también los daños de carácter “físico”(53).

Teniendo en cuenta los nuevos intereses jurídicos protegidos en la sociedad de la información, sería también recomendable que el legislador cambiase la colocación de los delitos de daños informáticos y los situase fuera de los delitos contra el patrimonio. En este sentido, podría introducir en el Código Penal un nuevo título dedicado al bien jurídico de la seguridad informática, en el que pueda ubicar todos los delitos que lesionen o pongan en peligro la intimidad, la integridad y la disponibilidad de los datos y de los sistemas informáticos, como, por ejemplo, el acceso ilícito a un sistema informático, la detención y la difusión de códigos de acceso, la interceptación de datos informáticos, los daños informáticos, etc.(54).

En conclusión, sería oportuna una reforma del sistema normativo italiano en materia de daños informáticos para adecuarlo, no solo desde un punto de vista formal, sino también sustancial, a las obligaciones internacionales, tal como requiere expresamente nuestra Constitución (arts. 10, 11 y 117). Para dar una correcta actuación a estas obligaciones será necesario que en el futuro el legislador italiano tome más en cuenta la importante contribución de la experiencia jurídica extranjera, que constituye un útil instrumento para verificar la corrección de las técnicas de protección que hay que adoptar. Al mismo tiempo tendrá que mantenerse en el camino trazado por los principios constitucionales fundamentales en materia penal (legalidad, ofensividad, proporcionalidad y subsidiariedad(55)), que no pueden ser sacrificados amparándose en que hay que cumplir, de manera formal, con las obligaciones internacionales en materia de lucha contra la criminalidad informática.

Bibliografía

AA. VV. Diritto penale. Lineamenti di parte speciale. 4 Ed. Bologna: Zanichelli, 2000.

ANGIONI, F. Il pericolo concreto come elemento della fattispecie: la struttura oggettiva. II Ed. Milano: Giuffré, 1994.

Contenuto e funzioni del concetto di bene giuridico. Milano: Giuffré, 1983.

ARDIZZONE, S. I reati aggravati dall’evento. Milano: Giuffré, 1984.

BONDI, A. I reati aggravati dall’evento tra ieri e domani. Napoli: Ed. Scientifiche Italiane, 1999.

‘L’esclusività’ di Rengier. Contributo alla critica dei reati aggravati dall’evento. En: Rivista italiana di diritto e procedura penale (1994); pp. 1460 y ss.

BRANCA, G. Commentario della Costituzione: Rapporti civil. Bologna: Zanichelli, 1981.

BRICOLA, F. Teoria generale del reato. En. Nss. dig. it. Vol. XIX (1973); pp. 1 y ss.

Voce Danneggiamento (Diritto penale). En: Enciclopedia del diritto. XI. Milano: Giuffré, 1962.

CONCAS, L. (1967). Delitti dolosi aggravati da un evento non voluto e tentativo. En: Rivista italiana di diritto e procedura penale (1967); pp. 809 y ss.

DELITALA, G. ll “fatto” nella teoria generale del reato. Padova: Cedam, 1930.

DONINI, M. Alla ricerca di un disegno. Scritti sulle riforme penali in Italia. Padova: Cedam, 2003.

Dogmatica penale e politica criminale a orientamento costituzionalistico. Conoscenza e controllo critico delle scelte di criminalizzazione. En: Dei delitti e delle pene. n.º 3 (1998); pp. 37 y ss.

Teoria del reato. Una introduzione. Padova: Cedam, 1996.

DREHER, E.; LACKNER, K. & KÜHL, K. Strafgesetzbuch Kommentar. 27. Neu bearb. Aufl. München: Beck Verlag, 2011.

FIANDACA, G. & MUSCO, E. Diritto penale, Parte generale. VI ed., 4 rist. Bologna: Zanichelli, 2013.

Diritto penale, Parte speciale. Vol. II, Tomo II, V Ed. Bologna: Zanichelli, 2007.

FISCHER, T. Strafgesetzbuch und Nebengesetze, 57. Auf. München: Beck Verlag, 2010.

GALLO, E. Delitti aggravati dall’evento e delitti di attentato. En: Giurisprudenza italiana (1990); pp. 409 y ss.

Voce Attentato. En. Digesto discipline penalistiche. vol. I (1987); pp. 345 y ss.

—Il delitto di attentato nella teoria generale del reato. Milano: Giuffré, 1966.

GALLO, M. Sulla distinzione tra figura autonoma e figura circostanziata. En: Rivista italiana di diritto e procedura penale (1949); pp. 560 y ss.

GRASSO, G. L’anticipazione della tutela penale: i reati di pericolo e i reati di attentato. En: Rivista italiana diritto procedura penale (1986); pp. 689 y ss.

GROSSO, C.F. Struttura e sistematica dei cd. “delitti aggravati dall’evento”. En: Rivista italiana di diritto e procedura penale (1963); pp. 442 y ss.

GUERRINI, R. Elementi costitutivi e circostanze del reato. Milano: Giuffré, 1988.

HILGENDORF, E. Grundfälle zum Computerstrafrecht. En: Juristische Schulung (1996); p. 892.

HILGENDORF, E.; FRANK, T. & VALERIUS, B. Computer und Internetstrafrecht. Berlin, Heildelberg: Springer, 2005.

HOYER, E. §303a StGB. En: RUDOLPHI, H.-J.; HORN, E.; GÜNTHER, H.-L. & SAMSON, E. (Hrsg.). Systematischer Kommentar zum Strafgesetzbuch. München: Heymann, 2009.

MANTOVANI, F. Diritto penale, Parte speciale. II,III Ed., Padova: Cedam, 2009.

MARINUCCI, G. Fatto e scriminanti. Note dommatiche e politico-criminali. En. Rivista italiana di diritto e procedura penale (1983); pp. 1237 y ss.

MARINUCCI, G. & DOLCINI, E. Corso di diritto penale. Milano: Giuffré, 2001.

MAZZACUVA, N. Diritto penale e Costituzione. En: INSOLERA, G., MAZZACUVA N., PAVARINI M., ZANOTTI M. (a cura di). Introduzione al sistema penale. Vol. I. Torino: Giappichelli, 2000, pp. 79 y ss.

— Il disvalore di evento nell’illecito penale. Milano: Giuffré, 1983.

MELCHIONDA, A. Le circostanze del reato. Padova: Cedam, 2000.

MEUNIER, C. La loi du 28 novembre 2000 relative à la criminalité informatique ou le droit pénal et la procédure pénale à l’ère numérique. En: Revue de droit pénal et de criminologie (2001); pp. 630 y ss.

MIR PUIG, S. El principio de proporcionalidad como fundamento constitucional del Derecho penal. En: CARBONELL MATEU, J. C.; GONZALEZ CUSSAC, J. L. & ORTS BERENGUER, E. (coord.). Constitución, derechos fundamentales y sistema penal. Valencia: Tirant lo Blanch, 2009, pp. 1357 y ss.

MUCCIARELLI, F. Commento agli artículo 1, 2, 4 e 10 l. 1993 n. 547. En: Legislazione penale (1996); pp. 57 y ss.

NUVOLONE, P. Il sistema del diritto penale. Padova: Cedam, 1975.

PADOVANI, T. Diritto penale, IX ed. Milano: Giuffré, 2008.

La tipicità inafferrabile. Problemi di struttura obiettiva delle fattispecie di attentato contro la personalità dello Stato. En: AA. VV. Il delitto politico dalla fine dell’ottocento ai giorni nostri. Roma: Sapere 2000, 1984, pp. 169 y ss.

PAGLIARO, A. Il fatto di reato. Palermo: Priulla, 1960.

PALAZZO, C. F. Introduzione ai principi di diritto penale. Torino: Giappichelli, 1999.

— I confini della tutela penale: selezione dei beni e criteri di criminalizzazione”. Rivista italiana di diritto e procedura penale (1982); pp. 453 y ss.

PALIERO, E. Il principio di effettività nel diritto penale: profili politico-criminali. En: PISANI, M. (a cura di). Studi in memoria di Pietro Nuvolone, Vol. I. Milano: Giuffré, 1991; pp. 395 y ss.

PARODI GIUSINO, M. I reati di pericolo tra dogmatica e politica criminale. Milano: Giuffré, 1990.

PECORELLA, C. La riforma dei danneggiamenti informatici ad opera della l. n. 48/2008. En: RUGGIERI F. & PICOTTI L. (ed). Nuove tendenze della giustizia penale di fronte alla criminalità informatica. Aspetti sostanziali e processuali. Torino: Giappichelli, 2001, pp. 148 y ss.

Commento all’artículo 615-ter C.P. En: DOLCINI, E. & MARINUCCI, G. (a cura di). Codice penale commentato, II ed. Milano: Giuffré, 2006, pp. 4330 y ss.

Il diritto penale dell’informatica. II ed. Padova: Cedam, 2006.

PETROCELLI, B. Il delitto tentato, Padova: Cedam, 1955.

PICA, G. Diritto penale delle nuove technologie, Torino: Giappichelli, 1999.

PICOTTI, L. Ratifica della convenzione cybercrime e nuovi strumenti di contrasto contro la criminalità informatica e non solo. En: Diritto dell’Internet, n.º 5 (2008); pp. 437 y ss.

La ratifica della Convenzione Cybercrime del Consiglio d’Europa. Profili di diritto penale sostanziale. En: Diritto penale e proceso (2008), p. 713.

Sistematica dei reati informatici, tecniche di formulazione legislativa e beni giuridici tutelati. En: ID. Il diritto penale dell’informatica nell’epoca di Internet. Padova: Cedam, 2004, pp. 58 y ss.

Voce Reati informatici. En: Enciclopedia giuridica Treccani, Aggiorn. Roma: Treccani, 2001, pp. 8 y ss.

PREZIOSI, S. La fattispecie qualificata, Padova: Cedam, 2000.

PULITANÒ, D. Illiceità espressa e illiceità speciale. En: Rivista italiana di diritto e procedura penale (1967); pp. 65 y ss.

RINALDI, R. Commento all’artículo 9, l. 23 dicembre 1993, n. 547. En: Legislazione penale (1996); pp. 134 y ss.

ROMANO, M. Commentario sistematico del codice penale, I, sub artículo 56 C.P., 3ª Ed. rinn. e ampl. Milano: Giuffré, 2004.

SALVADORI, I. Il “microsistema” normativo concernente i danneggiamenti informatici. Un bilancio molto poco esaltante. En. Rivista italiana di diritto e procedura penale (2012); pp. 204 y ss.

Hacking, cracking e nuove forme di attacco ai sistemi di informazione. Profili di diritto penale e prospettive de jure condendo. En: Cyberspazio e diritto, n.º 3 (2008); pp. 354 y ss.

Los nuevos delitos informáticos introducidos en el Código Penal español con la Ley Orgánica 5/2010. Perspectiva de derecho comparado. En: Anuario de Derecho Penal y Ciencias Penales. Vol. LXIV, 2011; pp. 221 y ss.

SARZANA, C. La legge di ratifica della Convenzione di Budapest: una “gatta” legislativa frettolosa. En: Diritto penale e processo, n.º 12 (2008); pp. 1562 y ss.

SCOPINARO, L. Internet e reati contro il patrimonio. Torino: Giappichelli, 2007.

SIEBER, U. The International Handbook on Computer Crime. Computer related Economic Crime and the Infringements of Privacy. Chichester: Wiley, 1986.

STREE, W. & HECKER, B. §303a StGB. En: SCHÖNKE, A. & SCHRÖDER, H. (Hrsg.). Strafgesetzbuch Kommentar, 28. Auf. München: Beck Verlag, 2010, pp. 2664 y ss.

TAGLIARINI, F. I delitti aggravati dall’evento. Profili storici e prospettive di riforma. Padova: Cedam, 1979.

VASSALLI, G. I principi generali del diritto nell´esperienza penalistica. En: Rivista italiana di diritto e procedura penale (1991); pp. 699 y ss.

—Concorso tra circostanze eterogenee e “reati aggravati dall’evento”. En: Rivista italiana di diritto e procedura penale (1975); pp. 3 y ss.

WOHLERS, W. Deliktstypen des Präventionsstrafrechts - zur Dogmatik “moderner” Gefährdungsdelikte. Berlin: Duncker und Humblot, 2000.

WOLFF, H. § 303a StGB. En: LAUFHÜTTE, H.-W.; RISSING-VAN SAAN, R. & TIEDEMANN, K. (Hrsg.). Leipziger Kommentar, StGB. 12. Auf., Band 6. Berlin: De Gruyter, 2010, p. 403.

ZACZYK, R. §303a StGB. En: KINDHÄUSER, U., (Hrsg.). Strafgesetzbuch, 4., völlig neu bearb. Aufl. Baden-Baden: Nomos, 2010, p. 2481, Rdn. 7.

ZIESCHANG, F. Gefährdungsdelikte. Berlin: Dunckler und Humblot, 1998.

ZUCCALÁ, G. “Profili del delitto di attentato”. En: Rivista italiana diritto procedura penale (1977); pp. 1225 y ss.

(1) Para un comentario sistemático de las principales novedades introducidas por la Ley 48 del 2008 véase Sarzana, C. (2008). “La legge di ratifica della Convenzione di Budapest: una “gatta” legislativa frettolosa”. Diritto penale e processo, N.º 12, pp. 1562 y ss.; Picotti, L. (2008). “Ratifica della convenzione cybercrime e nuovi strumenti di contrasto contro la criminalità informatica e non solo”. Diritto dell’Internet. N.º 5, pp. 437 y ss.; respecto a los nuevos delitos de daños informáticos véase Salvadori, I. (2012). “Il ‘microsistema’ normativo concernente i danneggiamenti informatici. Un bilancio molto poco esaltante”. Rivista italiana di diritto e procedura penale, N.º 1, pp. 204 y ss.

(2) La bipartición entre daños a datos y a sistemas informáticos está prevista, por ejemplo, en la legislación penal alemana (§§ 303ª y 303b StGB), austriaca (§§ 126ª e 126b StGB), rumana (art. 44 y art. 45 l. abr. 21/2003, Nº 161), portuguesa (arts. 3º y 4 l., sep. 15/2009, Nº 109) y española (C.P., art. 264.1 y 2).

(3) Se trata de delitos que castigan la mera comisión de “actos dirigidos” a causar un resultado generador de lesión de un bien jurídico y cuya estructura objetiva coincide con la de la tentativa. Para un análisis de los problemas dogmáticos y político-criminales que plantea esta categoría de delitos véase en la doctrina italiana Gallo, E. (1966). Il delitto di attentato nella teoria generale del reato. Milano: Giuffré; Idem. (1987). “Voce Attentato. Digesto discipline penalistiche. Vol. I, pp. 340 y ss.; Zuccalá, G. (1977). “Profili del delitto di attentato”. Rivista italiana diritto procedura penale, pp. 1225 y ss.; Grasso, G. (1986). “L’anticipazione della tutela penale: i reati di pericolo e i reati di attentato”. Rivista italiana diritto procedura penale, pp. 689 y ss.; Padovani, T. (1984). “La tipicità inafferrabile. Problemi di struttura obiettiva delle fattispecie di attentato contro la personalità dello Stato”. En: AA. VV. Il delitto politico dalla fine dell’ottocento ai giorni nostri. Roma: Sapere, 2000, pp. 169 y ss.

(4) Artículo 635-bis del Código Penal: “salvo che il fatto costituisca più grave reato, chiunque distrugge, deteriora, cancella, altera o sopprime informazioni, dati o programmi informatici altrui è punito, a querela della persona offesa, con la reclusione da sei mesi a tre anni. Se ricorre la circostanza di cui al numero 1) del secondo comma dell’articolo 635 ovvero se il fatto è commesso con abuso della qualità di operatore del sistema, la pena è della reclusione da uno a quattro anni e si procede d’ufficio”.

(5) En este sentido, véase Pecorella, C. (2011). “La riforma dei danneggiamenti informatici ad opera della L. Nº 48/2008”. En: Ruggieri, F. I, Picotti, L. (ed). Nuove tendenze della giustizia penale di fronte alla criminalità informatica. Aspetti sostanziali e processuali. Torino: Giappichelli, pp. 148 y ss.

(6) Cfr., respecto al análogo delito de alteración de datos (Datenveränderung), previsto en el § 303ª del Código Penal alemán, v. Wolff, H. (2010). “§ 303ª StGB”. En: Laufhütte, H.-W.; Rissing-Van Saan, R. & Tiedemann, K. (Hrsg.). Leipziger Kommentar, StGB. 12. Auf., Band 6. Berlín: De Gruyter, p. 403; Stree, W. & Hecker, B. (2010). “§ 303ª StGB”. En: Schönke, A. & Schröder, H. (Hrsg.). Strafgesetzbuch Kommentar, 28. Auf. München: Beck Verlag, p. 2664.

(7) Cfr. Council of Europe, ob. cit., p. 61.

(8) En sentido similar, véase Hilgendorf, E.; Frank, T. & Valerius, B. (2005). Computer- und Internetstrafrecht. Berlín, Heildelberg: Springer, p. 56.

(9) Cfr. Council of Europe, ob. cit., p. 61. Respecto a la interpretación de la conducta de deterioro de datos y de sistemas informáticos véase en doctrina a Pecorella C. (2006). Il diritto penale dell’informatica, II ed. Padova: Cedam, pp. 216 y ss.

(10) Cfr. Council of Europe, ob. cit., p. 61.

(11) Respecto a la interpretación del tipo penal análogo de Unterdrückung, prevista en el § 303ª StGB, Cfr. Hilgendorf, E.; Frank, T. & Valerius, B., ob. cit., p. 55; Wollf, H., ob. cit., pp. 401-402; Fischer, T. (2010). Strafgesetzbuch und Nebengesetze, 57. Auf. München: Beck Verlag, pp. 2122.

(12) Sobre el sentido de la cancelación (Löschung) de datos informáticos prevista por el §303ª StGB, véase Hilgendorf, E.; Frank, T. & Valerius, B., ob. cit., p. 55; Hoyer, E. (2009), “§ 303ª StGB”. En: Rudolphi, H.-J.; Horn, E.; Günther, H.-L. & Samson, E. (Hrsg.). Systematischer Kommentar zum Strafgesetzbuch. München: Heymann, pp. 27, 3.

(13) En sentido similar, véase en la doctrina alemana Zaczyk, R. (2010). “§ 303ª StGB”. En: Kindhäuser U. (Hrsg.). Strafgesetzbuch, 4., völlig neu bearb. Aufl. Baden-Baden: Nomos, p. 2481, Rdn. 7.

(14) Sobre el nuevo delito de daños de datos informáticos del artículo 264.1 del Código Penal español véase Salvadori, I. (2011), “Los nuevos delitos informáticos introducidos en el Código Penal español con la Ley Orgánica 5/2010. Perspectiva de derecho comparado”. Anuario de Derecho Penal y Ciencias Penales. Vol. LXIV, pp. 237 y ss.

(15) Artículo 635-quater del Código Penal: “salvo che il fatto costituisca più grave reato, chiunque, mediante le condotte di cui all’articolo 635-bis, ovvero attraverso l’introduzione o la trasmissione di dati, informazioni o programmi, distrugge, danneggia, rende, in tutto o in parte, inservibili sistemi informatici o telematici altrui o ne ostacola gravemente il funzionamento è punito con la reclusione da uno a cinque anni”.

(16) Respecto al tipo análogo previsto en el § 303b, Abs. 1, n.1, del Código Penal alemán, que castiga el Computersabotage cometido mediante daños a datos informáticos (§ 303ª StGB) véase Wolff, H., ob. cit., p. 418, Rdn. 2; Stree, W. & Hecker, B., ob. cit., p. 2666. Considera que el § 303b n.1 StGB constituye un delito agravado por el resultado (erfolgsqualifiziertes Delikt); Zaczyk, R., ob. cit., p. 2484. Una estructura similar tiene el nuevo delito de sabotaje informático, previsto en el artículo 264.2 del Código Penal español.

(17) Crítico también es Picotti, L. (2008). “La ratifica della Convenzione Cybercrime del Consiglio d’Europa. Profili di diritto penale sostanziale”. Diritto penale e processo, p. 713.

(18) Esta laguna había sido resaltada ya en doctrina por Picotti, L. (2000). “Voce ‘Reati informatici’”. Enciclopedia giuridica Treccani, Aggiorn. Roma: Treccani, pp. 8 y ss. En contra Pecorella, C., Il diritto penale dell’informatica, cit., pp. 219 y ss., según la cual las alteraciones de tipo funcional podían ser abarcadas mediante la conducta tipificada de “inutilización total o parcial” de un sistema informático o telemático.

(19) En este sentido, Picotti, L., ob. cit., p. 445. De manera más general, respecto al delito de daños a cosas del artículo 635 del Código Penal, véase Bricola, F. (1962). “Voce Danneggiamento (Diritto penale)”. Enciclopedia del diritto. XI, Milano: Giuffré, p. 606, según el cual, el resultado dañoso tiene que considerarse in re ipsa en relación a la conducta violenta.

(20) Sobre la aplicación del tratamiento ilícito de datos personales del artículo 167 del Decreto Legislativo 196/03 por el envío de correos electrónicos no deseados, véase Salvadori, I. (2008). “Hacking, cracking e nuove forme di attacco ai sistemi di informazione. Profili di diritto penale e prospettive de jure condendo”. Cyberspazio e diritto, n.º 3, pp. 354 y ss.

(21) Cfr. Pecorella C. (2011), “La riforma dei reati di danneggiamento informatico”, ob. cit., p. 150.

(22) En este sentido, véase supra Picotti, L. Voce Reati informatici, ob. cit., p. 19; más recientemente Idem. (2008) Ratifica della Convenzione Cybercrime, ob. cit., pp. 444.

(23) Véanse, bajo la vigencia del anterior artículo 635-bis del C.P., introducido en el Código Penal italiano mediante la Ley 547 de 1993, las observaciones críticas de Picotti, L. Voce Reati informatici, ob. cit., p. 19; en sentido similar, Pecorella, C. Il diritto penale dell’informatica, ob. cit., pp. 204-211.

(24) Sobre la distinción entre cláusulas de ilicitud expresa y especial véase Pulitanò, D. (1967). “Illiceità espressa e illiceità speciale”. Rivista italiana di diritto e procedura penale, pp. 65 y ss.

(25) En este sentido, véase también la disposición en materia de daños ocasionados a datos y programas informáticos prevista por la Recomendación R (89) 9 del Consejo de Europa, que requiere que los Estados miembros castiguen “the erasure, damaging, deterioration or suppression of computer data or computer programs without right”.

(26) Para un análisis del artículo 550-ter del Código Penal belga, véase Meunier, C. (2001). “La loi du 28 novembre 2000 relative à la criminalité informatique ou le droit pénal et la procédure pénale à l’ère numérique”. Revue de droit pénal et de criminologie, pp. 630 y ss.

(27) Es similar la técnica adoptada por el legislador portugués, que en la transposición del Convenio Cibercrimen del Consejo de Europa mediante la Ley 109, de 15 de septiembre del 2009, ha castigado los daños informáticos (arts. 4º y 5 l., ob. cit.) cometidos “sem permissão legal ou sem para tanto estar autorizado pelo propietario”.

(28) Respecto a la interpretación del adverbio rechtswidrig y sobre su controvertida colocación en el ámbito de la categoría de la tipicidad o de la antijuridicidad véanse, en el debate doctrinal alemán, las consideraciones de Hilgendorf, E. (1994). “Tatbestandsprobleme bei der Datenveränderung nach § 303a StGB”. Juristische Rundschau, p. 478; Dreher, E.; Lackner, K. & Kühl, K. (2011). “303a StGB”. Strafgesetzbuch Kommentar, 27, neu bearb. Aufl. München: Beck Verlag, p. 1412.

(29) En doctrina v. Dreher, E.; Lackner, K. & Kühl, K., ob. cit., p. 1412; Hilgendorf, E. (1996). “Grundfälle zum Computerstrafrecht”. Juristische Schulung, pp. 892; Hoyer, A., ob. cit., p. 12; Hilgendorf, E.; Frank, T. & Valerius, B., ob. cit., pp. 54.

(30) Cfr. Picotti, L. (2008). “La ratifica della Convenzione Cybercrime...”, ob. cit., p. 715.

(31) Sobre la estructura de los delitos de “consumación anticipada” véase Delitala, G. (1930). Il “fatto” nella teoria generale del reato. Padova: Cedam, pp. 178 y ss.; equipara los delitos de atentado a los delitos de consumación anticipada también Nuvolone, P. (1975). Il sistema del diritto penale. Padova: Cedam, pp. 390 y ss.; Mazzacuva, N. (1983). Il disvalore di evento nell’illecito penale. Milano: Giuffré, p. 181.

(32) Sobre la necesidad de que los actos que constituyen un “delito de atentado” o de “emprendimiento” (delitti di attentato) causen un concreto peligro al bien jurídico protegido véase Gallo, E., Voce Attentato, ob. cit., pp. 340 y ss. Sobre la estructura de los delitos de peligro concreto véase, más en general, Angioni, F. (1994). Il pericolo concreto come elemento della fattispecie: la struttura oggettiva, II ed. Milano: Giuffré, pp. 206 y ss.; Idem. (1983). Contenuto e funzioni del concetto di bene giuridico. Milano: Giuffré, p. 177; Parodi Giusino, M. (1990). I reati di pericolo tra dogmatica e politica criminale. Milano: Giuffré, pp. 318 y ss. En la doctrina alemana véase, ex pluribus, Zieschang, F. (1998). Gefährdungsdelikte. Berlín: Dunckler und Humblot, pp. 384-389; Wohlers, W. (2000). Deliktstypen des Präventionsstrafrechts - zur Dogmatik “moderner” Gefährdungsdelikte. Berlín: Duncker und Humblot, pp. 311-318; Roxin, C. (2006). Strafrecht, AT., I Band, 4. Auf. München: Beck Verlag, pp. 423-426, Rdn. 147-152.

(33) En doctrina véase Petrocelli, B. (1955). Il delitto tentato, Padova: Cedam, p. 52; Gallo, M. Appunti di diritto penale, Le forme di manifestazione del reato. Torino: 2003, pp. 64 y ss.; Romano, M. (2004). Commentario sistematico del codice penale, I, sub art. 56 C.P. 3ª Ed. Rinn. e ampl. Milano: Giuffré, pp. 602; Marinucci, G. & Dolcini, E. (2001). Corso di diritto penale. Milano: Giuffré, p. 591; Padovani, T. (2008). Diritto penale, IX Ed. Milano: Giuffré, p. 277; Fiandaca, G. & Musco, E. (2013). Diritto penale, Parte generale. VI Ed., 4 rist. Bologna: Zanichelli, p. 470.

(34) Artículo 635-ter, párrafo 2, C.P.: “se dal fatto deriva la distruzione, il deterioramento, la cancellazione, l’alterazione o la soppressione delle informazioni, dei dati o dei programmi informatici, la pena è della reclusione da tre a otto anni”.

(35) Artículo 635-quinquies, párrafo 2, C.P.: “se dal fatto deriva la distruzione o il danneggiamento del sistema informatico o telematico di pubblica utilità ovvero se questo è reso, in tutto o in parte, inservibile, la pena è della reclusione da tre a otto anni”.

(36) Sobre la controvertida naturaleza de los delitos agravados por el resultado véase, ex pluribus, Grosso, C. F. (1963). “Struttura e sistematica dei cd. ‘delitti aggravati dall’evento’”. Rivista italiana di diritto e procedura penale. Pp. 442 y ss.; Concas, L. (1967). “Delitti dolosi aggravati da un evento non voluto e tentativo”. Rivista italiana di diritto e procedura penale. Pp. 809 y ss.; Vassalli, G. (1975). “Concorso tra circostanze eterogenee e ‘reati aggravati dall’evento’”. Rivista italiana di diritto e procedura penale. Pp. 3 y ss.; Dolcini, E. (1979). “L’imputazione dell’evento aggravante. Un contributo di diritto comparato”. Rivista italiana di diritto e procedura penale. Pp.755 y ss.; Tagliarini, F. (1979). I delitti aggravati dall’evento. Profili storici e prospettive di riforma. Padova: Cedam; Ardizzone, S. (1984). I reati aggravati dall’evento. Milano: Giuffré; Gallo, E. (1990). “Delitti aggravati dall’evento e delitti di attentato”. Giurisprudenza italiana. Pp. 410 y ss.; Bondi, A. (1994). “L’esclusività di Rengier. Contributo alla critica dei reati aggravati dall’evento”. Rivista italiana di diritto e procedura penale. Pp.1460 y ss.; Idem. (1999). “I reati aggravati dall’evento tra ieri e domani”. Napoli: Ed. Scientifiche italiane, pp. 49 y ss.; Preziosi, S. (2000). La fattispecie qualificata, Padova: Cedam.

(37) En este sentido, negando que los “delitos de emprendimiento” (delitti di attentato) puedan considerarse delitos cualificados por el resultado y que, por lo tanto, el resultado típico producido tenga que considerarse como simple elemento circunstancial del delito, véase Gallo, E., Delitti aggravati dall’evento, ob. cit., pp. 419, 421-422. En contra, Vassalli, G. Concorso fra circostanze eterogenee, ob. cit., p. 41. Más general, respecto a los criterios elaborados por la doctrina para establecer cuando hay un delito autónomo o un delito circunstancial véase Gallo, M. (1949). “Sulla distinzione tra figura autonoma e figura circostanziata”. Rivista italiana di diritto e procedura penale. Pp.560 y ss.; Guerrini, R. (1988). Elementi costitutivi e circostanze del reato. Milano: Giuffré; Melchionda, A. (2000). Le circostanze del reato. Padova, 2000, pp. 558 y ss., en especial pp. 565-576.

(38) La circunstancia agravante del abuso de “actuar en calidad de operador de un sistema informático” se aplica también a los delitos de “acceso ilícito a un sistema informático o telemático” (art. 615-ter, C.P.), de “posesión y difusión ilícita de códigos de acceso a sistemas informáticos o telemáticos” (art. 615-quater, C.P.), de “interceptación o interrupción ilícita de comunicaciones informáticas o telemáticas” (art. 617-quater, C.P.), de “instalación de aparatos aptos para interceptar, impedir o interrumpir comunicaciones informáticas o telemáticas” (art. 617-quinquies, C.P.), de “falsificación, alteración o supresión del contenido de comunicaciones informáticas o telemáticas” (art. 617-sexies, C.P.) y de “estafa informática” (art. 640-ter, C.P.).

(39) En este sentido, véase Mucciarelli, F. (1996). “Commento agli art. 1, 2, 4 e 10 l. 1993 Nº 547”. Legislazione penale. Pp.102; Pecorella, C. (2006), “Commento all’art. 615-ter C.P.”. En: Dolcini, E. & Marinucci, G. (a cura di). Codice penale commentato, II Ed. Milano: Giuffré, p. 4330; Dolcini, E. & Marinucci, G. Il diritto penale dell’informatica, ob. cit., pp. 121 y ss.

(40) En sentido crítico véase Picotti, L. La ratifica della Convenzione cybercrime, ob. cit., p. 713.

(41) En este sentido, bajo la vigencia del anterior artículo 635-bis, Rinaldi, R. (1996). “Commento all’art. 9, l. 23 dicembre 1993, Nº 547”. Legislazione penale. Pp. 134, nota 2; Pica, G. (1999). Diritto penale delle nuove tecnologie. Torino: Giappichelli, pp. 86-87, según el cual “l’inquadramento sistematico [dell’art. 635-bis C.P.] appare corretto, anche perché non vi è ubio che la norma vuole offrire tutela al bene informatico sotto il profilo patrimoniale”. En sentido similar, Manes, V. (2006), en AA. VV. Diritto penale. Lineamenti di parte speciale. 4 Ed., Bologna: Zanichelli, p. 567; Scopinaro, L. (2007). Internet e reati contro il patrimonio. Torino: Giappichelli, p. 206; Fiandaca, G. & Musco, E. (2007). Diritto penale, Parte speciale. Vol. II, t. II, V Ed. Bologna: Zanichelli, p. 144; determina en la propiedad y el goce de datos y sistemas informáticos el bien jurídico protegido por los delitos de daños informáticos Mantovani, F. (2009). Diritto penale, Parte speciale, II. III Ed. Padova: Cedam, p. 136.

(42) Angioni, F., ob. cit., p.12.

(43) Ibíd. pp. 13. En sentido similar Donini, M. (1996). Teoria del reato. Una introduzione. Padova: Cedam, p. 125.

(44) Sobre la función del “hecho típico” en la teoría del delito véase Delitala, G., ob. cit.; Marinucci, G. (1983). “Fatto e scriminanti. Note dommatiche e político-criminali”. Rivista italiana di diritto e procedura penale. Pp. 1237 y ss.; Pagliaro A. (1960). Il fatto di reato. Palermo: Priulla; Donini, M., ob. cit., pp. 108 y ss.

(45) En este sentido véase Consejo de Europa. Criminalitè informatique, ob. cit., pp. 44; Consejo de Europa. Explanatory Report, ob. cit., p. 60; también Commonwealth. Model Law on Computer and Computer related Crime. 2002, en http://www.thecommonwealth.org. En la doctrina alemana véase Sieber, U. (1986). The International Handbook on Computer Crime. Computer related Economic Crime and the Infringements of Privacy. Chichester: Wiley; Hilgendorf, E.; Frank, T. & Valerius, B., ob. cit., pp. 54, 57; Wolff, H., ob. cit., pp. 390, 418; en la doctrina italiana Picotti, L. (2004). “Sistematica dei reati informatici, tecniche di formulazione legislativa e beni giuridici tutelati”. En: Picotti, L. Il diritto penale dell’informatica nell’epoca di Internet, Padova: Cedam, pp. 73.

(46) Sobre el fundamento constitucional del principio de proporción véase Angioni, F., ob. cit., pp. 176; Vassalli, G. (1991). “I principi generali del diritto nell´esperienza penalistica”. Rivista italiana di diritto e procedura penale. Pp. 699 y ss.; Palazzo, C. F. (1992). “I confini della tutela penale: selezione dei beni e criteri di criminalizzazione”. Rivista italiana di diritto e procedura penale. Pp. 453 y ss.; Marinucci, G. & Dolcini, E., ob. cit., p. 519, en particular la nota 99; en la doctrina española véase Mir Puig, S. (2009). “El principio de proporcionalidad como fundamento constitucional del Derecho Penal”. En: Carbonell Mateu, J.C.; González Cussac, J. L. & Orts Berenguer, E. (coord.). Constitución, derechos fundamentales y sistema penal. Valencia: Tirant lo Blanch, pp. 1357 y ss.

(47) “Tanto più importante [...] è il bene offendibile dal reato, tanto più è legittimamente anticipabile la sua tutela e viceversa”: así Angioni, F., ob. cit., p. 176.

(48) Ibídem , pp. 12.

(49) Véase ibídem, pp. 180 y ss., pp. 203 y ss.

(50) Sobre este nuevo interés jurídico véase Picotti, L. Sistematica dei reati informatici, ob. cit., p. 78; Salvadori I. (2008). “L’esperienza giuridica degli Stati Uniti in materia di hacking e cracking”. Rivista italiana di diritto e procedura penale, N.º 3, pp. 1279 y ss.

(51) Sobre la seguridad informática, o interés merecedor de protección penal, véase las consideraciones de Picotti, L. Sistematica dei reati informatici, ob. cit., pp. 70 y ss.

(52) En este sentido, véase, por ejemplo, el § 303b, párrafo 2, del código penal alemán, que establece un aumento de pena en los casos de daños a un sistema informático de esencial importancia para la administración pública. Es similar la formulación del artículo 264. Párrafo 3.2, del Código Penal español, que castiga, de acuerdo con el artículo 7º, párrafo 2, de la Decisión Marco 2005/222/JAI, los ataques a los datos y a los sistemas informáticos que afecten a intereses esenciales de la sociedad.

(53) El § 303 b, párrafo 1, numeral 3, del Código Penal alemán (StGB) castiga con pena de prisión de hasta tres años, o con pena pecuniaria, “la destrucción, daño, remoción, alteración, o inutilización de un sistema de elaboración de datos o de un soporte informático de almacenamiento de datos” (eine Datenverarbeitungsanlage oder einen Datenträger zerstört, beschädigt, unbrauchbar macht, beseitigt oder verändert).

(54) En este sentido, es paradigmática la decisión tomada por el legislador belga, que con la Ley 34 de 28 novembre de 2000 ha introducido en el Código Penal un nuevo título IX-bis, que recoge las “infractions contre la confidentialitè, l’integritè et la disponibilità des systems informatiques et des donnees qui sont stockees, traites ou trasmises par ces systèmes”.

(55) Sobre estos fundamentales principios del Derecho Penal véase, además de los fundamentales trabajos de Bricola, F. (1973). “Teoria generale del reato”. Nss. dig. it. Vol. XIX, pp. 42 y ss.; Bricola, F. “Art. 25, 2º e 3º comma”. En: Branca, G. (1981). Commentario della Costituzione: Rapporti civil. Bologna: Zanichelli, pp. 227 y ss.; también Vassalli, G., ob. cit., pp. 699 y ss.; Donini, M., ob. cit., pp. 25 y ss.; Donini, M. (2003). “Ragioni e limiti della fondazione del diritto penale sulla Carta costituzionale”. En: Alla ricerca di un disegno. Scritti sulle riforme penali in Italia, Padova: Cedam, pp. 37 y ss.; Donini, M. (1998). “Dogmatica penale e politica criminale a orientamento costituzionalistico. Conoscenza e controllo critico delle scelte di criminalizzazione”. Dei delitti e delle pene, n.º 3, pp. 37 y ss.; Palazzo, C. F. (1999). Introduzione ai principi di diritto penale. Torino: Giappichelli; Paliero, E. (1991). “Il principio di effettività nel diritto penale: profili politico-criminali”. En: Pisani, M. (a cura di). Studi in memoria di Pietro Nuvolone, Vol. I, Milano: Giuffré, pp. 395 y ss.; Mazzacuva, N. (2000). “Diritto penale e Costituzione”. En: Insolera, G.; Mazzacuva, N.; Pavarini, M. & Zanotti, M. (a cura di). Introduzione al sistema penale. Vol. I, Torino: Giappichelli, pp. 79 y ss.