Roma, 17 – 18 giugno 1999

Carlo Sarzana di S.Ippolito

1. PREMESSA

    In quasi tutti i Paesi industrializzati del mondo, sono in corso iniziative a livello normativo ed a livello di studio e di predisposizione di rimedi nei confronti del c.d. Year-2-K. Il ritardo in generale in ordine alla predisposizione di iniziative di riprogrammazione dei sistemi difettosi in quanto non adeguati al passaggio all’anno duemila e alla predisposizione di programmi di emergenza, tuttavia non è indifferente, tanto da far ritenere ad alcuni esperti che potrebbero verificarsi malfunzionamenti, specie nei sistemi informatici che governano i c.d. settori critici che riguardano la collettività (sistemi finanziari, bancari, assicurativi, sanitari, e relativi ai trasporti, alla produzione di e distribuzione di energie, di prodotti industriali ed alimentari, alle attività delle pubbliche amministrazioni, ai sistemi di difesa, previdenza, ecc.).

    Dal punto di vista tecnico, lo si rileva per inciso, la situazione più preoccupante riguarda il funzionamento di apparati nei quali siano incorporati microchips e la cui elencazione è praticamente sterminata, come risulta da studi ed in particolare dal paper dal titolo "Year 2000 recession?" del dott. E. Yardeni, diffuso su Internet nella versione del 7.3.1999.

    Le grandi organizzazioni internazionali hanno dal canto loro iniziato a studiare i vari problemi in argomento, pubblicando appositi studi. La Commissione dell’Unione Europea ha diffuso il 2.12.96 una comunicazione dal titolo "Come l’Unione Europea affronta il problema informatico dell’anno 2000" mentre l’OCSE ha redatto due interessanti documenti e cioè "The year 2000 problem" del 16.3.1998 (DSTI/ICCP/(98)P) e "Le problème de l’an 2000: incidences ed actions" del 2.10.98 (PUMA(98)10/FINAL).

    In alcuni Paesi come negli USA il legislatore si è preoccupato del problema, emanando apposite leggi (vedi cap. n. 2) mentre in molti altri Paesi le associazioni di categoria dei settori privati stanno sforzandosi di creare sistemi alternativi all’intervento giudiziario per prevenire, in qualche modo, le prevedibili innumerevoli liti che insorgeranno a seguito del previsto malfunzionamento di vari sistemi informatici.

    A questo proposito e con specifico riguardo ai problemi di ordine giuridico e giudiziario, la situazione si presenta indubbiamente preoccupante, sia perché vi è molta incertezza in ordine alla normativa tradizionale che può applicarsi alle controversie nascenti dal sopracitato malfunzionamento in relazione all’anno 2000, sia perché l’impatto delle liti sul sistema giudiziario, specie in alcuni Paesi, potrebbe determinare il collasso dell’apparato.

    E’ sintomatico al riguardo quanto affermato in un recentissimo rapporto (marzo 1999) dalla speciale Commissione del Senato USA (Senate Special Committee on the year 2000: Tecnology problem). Nel rapporto in questione dal titolo "Investigating the impact the year 2000 problem" si dice, tra l’altro, che occorrono iniziative legislative più incisive rispetto a quelle adottate (Year 2000 Information Readiness and Disclosure Act) ed adottande (bill dal titolo "Crash Protection Act S.1518) allo scopo di arginare la valanga di controversie giudiziarie che potrebbero nascere a seguito dei più volte citati incidenti. Secondo le previsioni del rapporto, i costi delle future controversie supererebbero in tutto il mondo i mille miliardi di dollari e si afferma al riguardo, senza mezzi termini, che esistono seri dubbi in ordine alla possibilità che l’attuale sistema giudiziario statunitense possa far fronte ad un potential montruous wave of litigation …

    Le riflessioni del Comitato sono particolarmente gravi, specie per l’Italia, il cui sistema giudiziario civile è, com’è noto, già sull’orlo del collasso!

2 . LE INIZIATIVE LEGISLATIVE ESTERE DIRETTE A PREVENIRE O RIDURRE L’AFFLUSSO DI CONTROVERSIE GIUDIZIARIE CIVILI.

    A quanto risulta, soltanto negli Stati Uniti a livello di legislazione federale e statale, sono state emanate apposite leggi. In argomento, la legge più importante sembra essere anzitutto la già citata "Year 2000 Information and Readiness Disclosure Act" (Pubblic Law 105.271, del 19.10.98) detta anche "Good Samaritan Bill", che ha come scopo principale quello di incentivare la divulgazione e la circolazione delle informazioni pertinenti. La legge stabilisce che le informazioni scritte relative alla preparazione di prodotti o servizi relativi al passaggio all’anno 2000 non potranno comportare la responsabilità dei loro makers (autori) per "covered actions" (azioni di garanzia), tranne che in particolari casi.

    Altre leggi importanti approvate sono state il "The Digital Millennium Copyright Act of 1998", approvato il 28.10.1998, "Smail Business Year 2000 Readiness Act" approvato nel gennaio 1999, "Examination Parity and Year 2000 Readiness for Financial Institution Act" approvato nel marzo 1998.

    Molti altri stati dell’Unione stanno esaminando disegni di legge relativi ai problemi dell’anno 2000 (32 stati) mentre in sei stati, alla data del marzo 1999, erano state approvate leggi tendenti a creare varie forme di immunità (Nevada, California, Florida, Georgia, Hawai, Virginia) .

3 – LE INIZIATIVE IN ITALIA IN ORDINE AI PROBLEMI DELL’ANNO 2000.

    In Italia,, in data 6 agosto 1998 il Presidente del Consiglio dei Ministri dell’epoca, aveva creato il Comitato per l’anno 2000. Tale Comitato, non si era mai riunito e si era dissolto con la caduta del Governo Prodi. Soltanto in data 14.12.98 il Presidente attuale del Consiglio ha riattivato il Comitato attribuendogli vari compiti. Tale Comitato tuttavia ha incontrato vari problemi di funzionamento per cui il presidente dello stesso, prof. Bettinelli, ha più volte pubblicamente espresso, sia detto per inciso, rilievi e proteste, spesso molto vibrate.

    L’AIPA, almeno per il settore pubblico, ha inviato nel 1998 uno specifico questionario ("Questionario rischio anno 2000") tendente ad ottenere informazioni dalle Amministrazioni sui progressi di ciascuna di esse verso il raggiungimento della conformità anno 2000 dei propri sistemi informativi automatizzati e sulle azioni messe in atto per ridurre il rischio che, a seguito di mancata o inadeguata conformità all’anno 2000, si potessero verificare malfunzionamenti dei sistemi informatici e interruzioni nella erogazione dei servizi. Non tutte le Amministrazioni hanno però risposto al questionario: l’AIPA sta elaborando quelle ricevute.

    A livello parlamentare, si segnalano varie iniziative. Al Senato, è stato presentato il 16.2.99 dal senatore Sella di Monteluce ed altri, il disegno di legge n. 3808 avente come titolo "Misure urgenti e sgravi fiscali per l’adeguamento dei sistemi informativi e computerizzati all’anno 2000".

    Altro disegno di legge recante il numero 3830, è stato presentato al Senato dal Governo, avente come titolo "Disposizioni urgenti per l’adeguamento dei sistemi informatici e computerizzati al passaggio dell’anno 2000". I due disegni di legge sono stati unificati ed è stato proposto un nuovo testo, attualmente in discussione al Senato.

    Varie interrogazioni sull’argomento sono state ripresentate da alcuni parlamentari (Selva, il 14.1.1999; Paissan, il 15.12.1998).

    Anche le grandi organizzazioni imprenditoriali e quelle agenti nel settore informatico si stanno occupando del problema (vedi ad es. il paper dell’agosto 1998, avente come titolo "La piccola e media industria e i problemi dell’anno 2000", diffuso dall’IBM e quello diffuso dalla Microsoft dal titolo "Domande frequenti sull’anno 2000"). Dal canto suo, la Banca d’Italia è scesa in campo, effettuando una indagine sull’adeguamento dei sistemi informatici delle banche italiane all’Euro ed all’anno 2000, condotta mediante questionario dal Servizio Vigilanza sugli enti creditizi .

4 – I PROBLEMI GIURIDICI IN GENERALE DEL MANCATO ADEGUAMENTO DEI PRODOTTI INFORMATICI ALL’ANNO 2000.

    Occorre dire con chiarezza che questo problema, pur essendo estremamente importante, è stato trattato in modo per ora non molto approfondito. In effetti, la questione presenta aspetti largamente casistici e quindi da esaminare caso per caso e, soprattutto, richiede soluzioni diverse secondo la data di commercializzazione del prodotto, la qualità dell’acquirente e la sua competenza specifica, l’efficacia di clausole limitative della responsabilità, i vizi della volontà ecc. . E’ da tener presente che sia in Francia che negli USA, sono state già proposte le prime azioni giudiziarie che funzionano in realtà come "ballon d’essai".

    L’aspetto civilistico dei problemi esula dall’ambito della mia esposizione: per quanto riguarda l’aspetto penalistico devo dire che a tutt’oggi non esistono studi specifici ne’ in Italia ne’ all’estero.

    Le mie osservazioni sono quindi necessariamente sommarie e superficiali anche perché il tempo a mia disposizione è breve e comunque l’attuale sede consente di effettuare soltanto dei flash con ovvia riserva di approfondire gli argomenti in seguito sul terreno strettamente penalistico.

5 - I POSSIBILI REATI CON RIFERIMENTO ALLA FORNITURA DI PRODOTTI INFORMATICI CON "SCADENZA" ANTERIORE ALL’ANNO 2000.

    Nell’ambito privato (società produttrici o venditrici di prodotti e sistemi informatici) potrebbe verificarsi il caso della c.d. truffa contrattuale (art. 640 c.p.) qualora si sia deliberatamente omesso di far presente al contraente "debole" (non esperto) che il sistema non è o non era in grado di riconoscere il passaggio all’anno 2000. Su questo argomento, ha ritenuto la Suprema Corte che anche il silenzio maliziosamente serbato in alcune circostanze da parte di chi abbia il dovere giuridico di farle conoscere, integra l’elemento oggettivo ai fine della configurabilità del reato di truffa, trattandosi di un raggiro idoneo a determinare il soggetto passivo a prestare il consenso che altrimenti non avrebbe dato (cfr. Cass. Sez. I, sent. n. 055479 del 13.5.98, imp. Perina; vedi anche Sez. 2, sent. n. 02333 del 2.3.1996 P.M. in proc. Capra).

    Ed in altra occasione, la Suprema Corte ha affermato che ricorrono gli estremi della truffa contrattuale tutte le volte che uno dei contraenti pone in essere artifizi o raggiri, diretti a tacere o a dissimulare fatti o circostanze tali che, ove conosciuti, avrebbero indotto l’altro contraente ad astenersi dal concludere il contratto (vedi Sez. 6, sent. 05705 del 8.5.1987, imp. Miccoli).

    Tale fattispecie sussiste anche quando il venditore del sistema non è in possesso comunque di una organizzazione tale da poter intervenire per l’aggiornamento del programma e lo tace al venditore, pur conoscendo che il sistema fornito non è in grado di riconoscere l’anno 2000.

    Altro caso potrebbe essere quello del venditore che, richiesto di fornire un sistema efficiente quanto al riconoscimento della data, fornisce un prodotto che non riconosce, in realtà, la data dell’anno 2000. In questo caso, potrebbe forse applicarsi l’art. 515 del codice penale (frode in commercio) secondo cui commette il reato de quo chiunque nell’esercizio di un’attività commerciale, consegna all’acquirente una cosa mobile per un’altra ovvero una cosa mobile per origine, provenienza, quantità o qualità, diversa da quella dichiarata o pattuita. In questo caso, viene consegnata una cosa che non ha i requisiti specifici richiesti per il suo ottimale funzionamento. Se quindi viene fornito un sistema (hardware più software) che non è in grado di funzionare oltre l’anno 2000, ove si ritenga che il sistema abbia una sua materialità, potrebbe applicarsi tale disposizione.

    Come ha affermato più volte la Suprema Corte, per la sussistenza del delitto di frode in commercio, non occorrono artifizi o raggiri da parte del venditore, essendo insito l’inganno nella obiettività della consegna di una cosa per un’altra (aliud pro alio) ovvero di una cosa per origine, qualità e quantità diversa da quella dichiarata o pattuita (vedi Cass. Sez. 6 – 26.2 1973 n. 338, imp. Montale).

    In realtà, esiste una differenza tra truffa e frode in commercio in quanto la frode in commercio, concretandosi nella consegna di cosa diversa da quella dichiarata o pattuita, presuppone un vinculum iuris liberamente costituitosi, cioè un negozio giuridico concluso tra le parti senza concorso di artifici o raggiri, mentre nel reato di truffa contrattuale la sussistenza di detti artifici o raggiri, costituisce uno degli elementi costituitivi e caratterizzanti del reato previsto dall’art. 640 c.p. (Cass. Sez. 2, sent. 06289 del 22.5.76, imp. Mattoli).

    Altra ipotesi è quella nella quale venga fornito ad un ente pubblico un sistema informatico comprendente un software non in linea con l’anno 2000. In questo caso potrebbe sussistere il reato di cui all’art. 356 c.p. e cioè il delitto di frode nelle pubbliche forniture.

    Questo reato si realizza non appena il fornitore ponga in essere un qualsiasi comportamento malizioso nei confronti dell’ente pubblico per effetto del quale le legittime attese dell’ente medesimo vengano frustrate: non occorre ne’ il proposito dell’autore di conseguire un indebito lucro ne’ l’effettivo verificarsi di un danno patrimoniale ai danni dell’ente pubblico (Cass. Sez. 6 sent. 07679 del 17.11.72, imp. Baietti, vedi anche Cass. Sez. VI, sent. 29.6.81 n. 6483, Gentile). Il reato si concreta quindi in un inadempimento che sia effetto di malafede contrattuale.

    Tuttavia, se il venditore di apparecchiature informatiche trae dalla maliziosa inosservanza un indebito vantaggio personale ai danni dell’ente, compie due diversi illeciti (frode nelle pubbliche forniture e truffa).

    A questo proposito devo ricordare che, sempre secondo la Suprema Corte, anche la consegna di aliud pro alio nella esecuzione di un contratto di fornitura informatica integra il reato di frode nelle pubbliche forniture (Cass., Sez. III, 13.11.98 n. 11373, imp. Leonardi).

    Passando ora ad altre ipotesi, nel caso in cui dal blocco totale o parziale del sistema, non voluto dall’agente fornitore del sistema, derivi un danno alle persone (lesioni personali o morte) si applicheranno le corrispondenti figure di lesioni personali colpose o di omicidio colposo (art. 589 e 590 c.p.) . In certi casi, l’azione del fornitore potrebbe concorrere con quella del dirigente del centro informatico che abbia omesso di prendere le precauzioni necessarie per evitare il verificarsi dell’evento dannoso: si applicherebbe in tal caso l’art. 113 c.p. (cooperazione nel delitto colposo) secondo cui "nel delitto colposo, quando l’evento è stato cagionato dalla cooperazione di più persone, ciascuna di esse soggiace alle pene stabilite per il delitto stesso".

    Molte delle fattispecie previste dagli articoli del capo VI (delitti contro l’incolumità pubblica, art. 422 e segg. ed in particolare le ipotesi previste dagli artt. 449 – delitti colposi di danno; art. 450 – delitti colposi di pericolo; art. 451 – omissione colposa di cautele o difese contro disastri o infortuni sul lavoro) potrebbero applicarsi qualora l’evento dannoso o pericoloso si sia prodotto in rapporto di casualità con il malfunzionamento del sistema informatico, di governo o di controllo, in relazione con la mancata previsione di date che superino l’anno 2000.

    Nei casi in cui dal malfunzionamento di un sistema informatico sia derivato un evento che consista in una lesione personale o nel decesso di una persona, potrebbe anche entrare in gioco il concetto di colpa con previsione (circostanza aggravante prevista per i delitti colposi dall’art. 61 n. 3 c.p.: l’aver nei delitti colposi, agito nonostante la previsione dell’evento) ovvero il concetto di dolo eventuale. Occorre precisare che si risponde di reato colposo, aggravato dalla previsione dell’evento, quando l’evento dannoso sia stato concretamente previsto come di possibile verificazione da parte dell’agente, il quale, tuttavia, al timore che si verifichi oppone la speranza che non si verifichi perché non lo vuole.

    In altri termini, nel nostro sistema penale, la linea di demarcazione che separa il dolo eventuale dalla colpa con previsione, va ricercata nell’accettazione del rischio, per cui risponderà a titolo di dolo l’agente che, pure non volendo l’evento, accetta il rischio che esso si verifichi come risultato della sua condotta, comportandosi anche a costo di determinarlo; risponderà invece a titolo di colpa aggravata l’agente che, pur rappresentandosi l’evento come possibile risultato della sua condotta, agisce nella ragionevole speranza che esso non si verifichi (cfr. giurisprudenza costante: cfr. da ultimo Cass. Sez. 1, n. 4583 del 21.4.94, imp. Giordano). Trattasi, come è chiaro, di indagini relative a circostanze di fatto, da accertare caso per caso.

6 – POSSIBILI RIMEDI PER PREVENIRE IL VERIFICARSI DI UN INGORGO GIUDIZIARIO ED ASSISTERE LE VITTIME INCOLPEVOLI DEL MILLENNIUM BUG

    Forse l’unico modo per evitare che sulla giustizia civile si scarichi una valanga di processi originati dal millennium bug potrebbe essere quello di configurare normativamente l’evento come una "calamità naturale" e di consentire un largo intervento finanziario statale e/o regionale.

    Potrebbe quindi crearsi un organo, il Commissario Straordinario del Governo per il Coordinamento delle Iniziative Finanziarie relative all’anno 2000, che amministrerebbe un "fondo di solidarietà" per le vittime del millennium bug che dovrebbe provvedere ad erogare mutui senza interessi di durata non superiore al quinquennio a favore dei soggetti che esercitano attività imprenditoriale, commerciale, artigianale, ecc. e che abbiano ricevuto danni a causa dell’evento di cui sopra allorchè vi sia stata responsabilità esclusiva del fornitore informatico ed occorra intervenire rapidamente per il ripristino dell’attività o per sopperire al mancato guadagno verificatosi in conseguenza del malfunzionamento delle apparecchiature informatiche pertinenti o collegate alla gestione dell’azienda, purchè la "vittima" non abbia contribuito a creare la situazione dannosa per sua colpa. Il fondo verrebbe poi a surrogarsi nei diritti del danneggiato verso il responsabile.

    Nel caso di blocco del sistema che abbia condotto l’azienda incolpevole sull’orlo del fallimento, questo potrebbe essere evitato ricorrendo ad una speciale procedura, tipo amministrazione controllata, alla quale potrebbe essere erogato un contributo a fondo perduto e destinato al ripristino dell’attività.

    Il danno dovrebbe essere valutato mediante il ricorso a speciali organi tecnici o, nell’impossibilità di esatta valutazione, equitativamente, ed il mutuo o il contributo dovrebbe avere un limite massimo per l’erogazione. Qualora esista copertura assicurativa specifica, la somma verrebbe erogata soltanto per la differenza.

    Il fondo sarebbe alimentato con un doppio canale: una percentuale tratta dai premi assicurativi raccolti nel territorio dello Stato nel ramo responsabilità civile e un contributo erogato direttamente dallo Stato e tratto da uno speciale capitolo del Tesoro.

    Trattasi, come è chiaro, di semplici ipotesi da realizzare poi in concreto, calibrando attentamente l’iniziativa.