Forse c'era sotto dell'altro
ed ora ha poca importanza
le urla e quella porta sbattuta
della mia vecchia stanza.

Forse c'era sotto dell'altro
oppure ero io a provocare
ma se uscivo così conciato
avrei fatto meglio a non rientrare.

Forse c'era sotto dell'altro
ma quei jeans strappati erano per me
la cosa più importante del mondo
nel mille e novecento ottantatré.

Forse c'era sotto dell'altro
ma ora non ha più importanza
tutta quell'acqua è passata
e quanto rimane è pazienza.

Questo è il secondo di una serie di articoli dedicati all’analisi della violenza di genere nel contesto digitale, in attesa del 25 novembre, Giornata Internazionale per l’Eliminazione della Violenza contro le Donne. Il focus qui è sulla evoluzione della tutela penale di fronte all’aggressione sessuale virtuale.

La nozione di Violenza Sessuale Virtuale (VSV) si riferisce a una serie di condotte aggressive e coercitive a sfondo sessuale che avvengono attraverso strumenti digitali, in assenza di contatto fisico tra l’autore e la vittima. Questo fenomeno, che colpisce in modo sproporzionato donne e ragazze, si articola in forme insidiose come anche la sextortion (estorsione sessuale) e l’abuso sessuale virtuale anche tramite deepfake.

Nonostante l’azione si svolga in uno spazio virtuale, l’intento e l’impatto psicologico della VSV non differiscono sostanzialmente dalla violenza agita nello spazio fisico. Entrambe mirano al dominio, al controllo e alla sopraffazione della vittima. L’ambiente digitale, offrendo anonimato e distanza fisica, può abbassare la percezione del rischio da parte del persecutore, amplificando il senso di impotenza della vittima.

La Sextortion si distingue dal Revenge Porn per la sua finalità strumentale. Consiste nel minacciare la diffusione di immagini intime, reali o manipolate, al fine di estorcere alla vittima ulteriore materiale sessuale, denaro, gift card o servizi. Questa dinamica rientra nel reato di Estorsione (Art. 629 c.p.), dove la prospettazione del danno (la diffusione) ha una chiara efficacia intimidatoria sulla vittima.

Un caso limite è rappresentato dall’abuso sessuale nel Metaverso, ovvero l’aggressione compiuta tramite avatar. Questo atto, pur essendo moralmente riprovevole e causando un impatto psicologico, solleva interrogativi sulla sua riconducibilità alla fattispecie della Violenza Sessuale (Art. 609-bis c.p.), che richiede la condotta materiale.

Il quadro normativo italiano e la giurisprudenza di legittimità

Il Diritto penale italiano, in assenza di una fattispecie autonoma di “Violenza Sessuale Virtuale” (VSV), ha affrontato la questione attraverso l’adattamento e l’interpretazione estensiva dell’Art. 609-bis c.p. e l’introduzione di nuove fattispecie.

Nonostante la formulazione letterale dell’Art. 609-bis c.p. sembri presupporre la materialità del contatto, la giurisprudenza di legittimità ha dato una risposta affermativa alla possibilità di configurare la violenza sessuale attraverso la rete, superando la necessità di una contestualità spaziale o di un contatto corporeo diretto.

La Corte di Cassazione ha consolidato l’orientamento secondo cui il reato può estrinsecarsi anche nel compimento di atti sessuali su se stessi (autoerotismo) effettuati a seguito di costrizione o induzione, come stabilito in diverse sentenze (ad esempio, la Sez. III, sent. n. 37076/12). In questa prospettiva, la Cassazione ha confermato la condanna per violenza sessuale realizzata mediante l’utilizzo di social network e webcam: in un caso specifico, il soggetto aveva compiuto atti di autoerotismo dopo essersi assicurato che alcune minori lo avrebbero guardato attraverso webcam (Sez. III, sent. n. 16616/15). Secondo questa interpretazione, il delitto, quando consiste nel compimento di atti sessuali su se stessi, può essere commesso anche in ambito virtuale, poiché la norma non richiede una contestualità spaziale, ma è essenziale che l’abuso venga effettivamente percepito dalla vittima.

La giurisprudenza ha esteso ulteriormente questo concetto, stabilendo che anche la prestazione sessuale a distanza possa integrare l’elemento oggettivo dell’Art. 609-bis c.p., purché sia accertata la costrizione. Ad esempio, il reato si perfeziona quando la condotta consiste nell’invio di messaggi whatsapp allusivi ed espliciti a una minorenne, costringendola a realizzare selfie intimi da inviare, sotto la minaccia di pubblicazione (sextortion) (Cass., Sez. III, sent. n. 25266/20). In tali contesti, la condotta è considerata violenza sessuale, e non estorsione (Art. 629 c.p.), in quanto l’obiettivo primario del reo è l’ottenimento dell’atto sessuale (l’invio di foto intime o l’autoerotismo coartato) e non solo un vantaggio patrimoniale (Cass., Sez. II, sent. n. 41985/21).

Nonostante questo orientamento giurisprudenziale sia condivisibile in quanto garantisce la tutela della vittima all’interno dell’ordinamento vigente, la stessa Cassazione riconosce una differente invasività nel caso di violenza sessuale virtuale rispetto a quella reale. Inoltre, il limite concettuale di ricondurre la Violenza Sessuale (Art. 609-bis c.p.) esclusivamente all’atto che genera contatto o un’azione su se stessi crea un vuoto normativo per l’abuso sessuale tramite avatar. Poiché l’atto di molestare l’avatar di un soggetto non è in grado di “toccare materialmente” la persona e non rientra nel compimento di atti autoerotici costretti sulla vittima, la sua riconducibilità al 609-bis è esclusa dalla giurisprudenza prevalente.

Contrasto al Deepfake e alla Sextortion

Alcune forme più comuni di VSV sono oggi contrastate efficacemente da due articoli del Codice Penale, introdotti o influenzati dal cosiddetto “Codice Rosso” (L. 69/2019):

Diffusione illecita di immagini o video sessualmente espliciti(Art. 612-ter c.p., Revenge Porn): che punisce la diffusione, senza consenso, di immagini o video sessualmente espliciti;

Illecita diffusione di contenuti generati o alterati con sistemi di intelligenza artificiale (Art. 612-quater c.p.)- Questo nuovo reato, introdotto con la Legge 132/2025, punisce specificamente la diffusione lesiva di contenuti generati o alterati con Intelligenza Artificiale (IA). L’introduzione del 612-quater è stata fondamentale per colmare la lacuna lasciata dal 612-ter, che si applicava solo a immagini realmente realizzate o sottratte, e per contrastare l’abuso sessuale virtuale.

La Sextortion viene ricondotta alla fattispecie di Estorsione(Art.629 c.p.), rientrando nel campo dei reati comuni realizzati mediante strumenti informatici.

La dimensione europea e l’impatto di genere

A livello europeo, la Direttiva (UE) 2024/1385 sulla lotta alla violenza contro le donne impone agli Stati membri l’obbligo di criminalizzare la creazione e diffusione di contenuti intimi tramite IA o photoshop (i cosiddetti deepfakes), rafforzando la tutela. Prevede, inoltre, pene detentive rigorose e l’obbligo di fornire assistenza specialistica, come centri antistupro e centri antiviolenza sessuale, e misure di rimozione del materiale.

Secondo i dati a disposizione circa il 90% delle vittime di diffusione non consensuale di immagini intime sono donne. L’impatto emotivo e psicologico sulla vittima è devastante, causando disturbi d’ansia, depressione e Disturbo Post-Traumatico da Stress (PTSD), configurando un danno biologico risarcibile. Nel contesto di revenge porn e sextortion, il danno è spesso aggravato dalla vittimizzazione secondaria (victim blaming), dove la donna viene colpevolizzata per aver prodotto il contenuto sessuale.

Prova digitale e tutela preventiva

La repressione dei crimini di VSV è strettamente legata alla capacità di acquisire e preservare la prova digitale (immagini, chat, post) in modo ammissibile in giudizio. Semplici screenshot hanno valore probatorio limitato e necessitano di essere supportati da metodologie di acquisizione tecnica forense che garantiscano l’autenticità e l’inalterabilità del contenuto web.

Un elemento cruciale della tutela in Italia è l’intervento preventivo e d’urgenza del Garante per la protezione dei dati personali, previsto dall’Art. 144-bis del Codice Privacy. Chiunque abbia un fondato timore di diffusione non consensuale di materiale sessualmente esplicito può presentare una segnalazione al Garante. Questo interviene entro quarantotto ore e notifica un provvedimento alle piattaforme digitali corredato dell’impronta hash del materiale. Questo codice univoco digitale consente alle piattaforme di identificare e bloccare automaticamente qualsiasi tentativo futuro di ricaricare lo stesso file, offrendo una protezione continua.

Verso una riforma integrata

La violenza sessuale virtuale rappresenta un attacco strutturale alla dignità e all’autodeterminazione. L’ordinamento italiano, pur avendo reagito prontamente con le nuove norme su deepfake e revenge porn, e pur grazie all’interpretazione evolutiva e meritoria della Cassazione che estende il reato di Violenza Sessuale alle condotte costrittive a distanza, evidenzia una rigidità dogmatica di fronte all’abuso sessuale puro nel Metaverso.

L’orientamento giurisprudenziale, che equipara l’atto sessuale coartato a distanza (ad esempio, l’autoerotismo imposto) al reato tradizionale, è fondamentale per la tutela della vittima, ma la Cassazione stessa riconosce una differente invasività rispetto all’atto commesso in presenza. Il limite concettuale, che esclude l’aggressione tramite avatar dal 609-bis c.p., impone una riflessione sull’adeguatezza del concetto di “atto sessuale” nell’era degli ambienti immersivi.

È cruciale che la risposta del legislatore non si limiti alla repressione ex post, ma valuti l’opportunità di introdurre una fattispecie ad hoc, come si è reso necessario per i deepfake, per superare il principio di materialità e tutelare l’integrità sessuale come bene giuridico non solo fisico, garantendo allo stesso tempo un bilanciamento tra la gravità delle condotte digitali e quelle fisiche. Parallelamente, è essenziale valorizzare gli strumenti di prevenzione e di tutela rapida (ex ante), come l’intervento del Garante Privacy, indispensabili per contenere il danno psicologico e sociale subito dalle donne.

L'articolo Dal corpo allo schermo: come l’abuso sessuale si è spostato nel mondo digitale proviene da Red Hot Cyber.

Numerose applicazioni web fanno affidamento su Apache Tomcat, un contenitore servlet Java open source di largo utilizzo. Il 27 ottobre 2025, Apache ha rivelato due vulnerabilità: CVE-2025-55752 e CVE-2025-55754, che interessano diverse versioni di Tomcat.

Le versioni interessate includono Apache Tomcat da 11.0.0-M1 a 11.0.10, da 10.1.0-M1 a 10.1.44 e da 9.0.0-M11 a 9.0.108, con anche le versioni precedenti di fine ciclo di vita (EOL) vulnerabili.

La necessità di un’immediata applicazione di patch negli ambienti aziendali è sottolineata dal fatto che il primo può comportare il rischio di esecuzione di codice remoto (RCE) in determinate configurazioni, mentre il secondo offre la possibilità di manipolazione della console.

La vulnerabilità più grave, CVE-2025-55752, riguarda un bug di path traversal introdotto nella correzione di un precedente bug (60013). Gli URL riscritti vengono normalizzati prima della decodifica, consentendo agli aggressori di manipolare i parametri di query e di aggirare le protezioni per directory sensibili come /WEB-INF/ e /META-INF/.

Quando le richieste PUT sono attivate, una configurazione in genere limitata agli utenti di fiducia, si può verificare il caricamento di file nocivi, provocando così l’esecuzione di codice da remoto. Questa vulnerabilità, identificata da Chumy Tsai di CyCraft Technology, è stata classificata come estremamente grave, il che mette in evidenza il suo possibile impatto sui sistemi non aggiornati che utilizzano Tomcat in ambiente di produzione.

Oltre al problema di attraversamento, il CVE-2025-55754 risolve un bug di neutralizzazione impropria delle sequenze di escape ANSI nei messaggi di registro di Tomcat. Nei sistemi Windows dotati di console che supportano ANSI, gli aggressori potrebbero creare URL per iniettare sequenze che manipolano la visualizzazione della console, gli appunti o addirittura inducono gli amministratori a eseguire comandi.

Questa falla interessa Tomcat dalla versione 11.0.0-M1 alla 11.0.10, dalla 10.1.0-M1 alla 10.1.44 e dalla 9.0.0.40 alla 9.0.108, oltre a versioni EOL selezionate come dalla 8.5.60 alla 8.5.100.

Identificato da Elysee Franchuk di MOBIA Technology Innovations, il problema nasce dai log non sottoposti a escape, che consentono alle sequenze di controllo di influenzare il comportamento del terminale senza autenticazione.

Apache invita gli utenti ad aggiornare alle versioni mitigate: Tomcat 11.0.11, 10.1.45 o 9.0.109 e successive, che risolvono entrambe le vulnerabilità tramite una gestione URL migliorata e l’escape dei log.

L'articolo Vulnerabilità in Apache Tomcat: aggiornare subito per evitare rischi sicurezza proviene da Red Hot Cyber.