Pietro Cucumile: “La disciplina giuridica minimale del crimine informatico e la protezione dei dati”
(Approfondimento a cura del F.to Col Pietro Avv. CUCUMILE, Dirigente Comandante del Corpo di Polizia locale di Civitavecchia,
Dottore di ricerca in diritto amministrativo.)
I reati informatici, o computer crimes, possono essere definiti come il risvolto negativo dello sviluppo tecnologico dell’informatica e della telematica. Il diffondersi delle tecnologie informatiche ha permesso di disegnare nuovi scenari da qualche decennio a questa parte in materia di illeciti. Infatti, in un periodo di tempo relativamente breve, la maggior parte delle attività umane, svolte manualmente o attraverso apparecchiature meccaniche, hanno lasciato il posto a più efficienti implementazioni digitali. Si pensi, ad esempio, agli enormi archivi documentali che creavano grossi problemi di gestione nonché, soprattutto, di indicizzazione.
Il vantaggio della creazione di database informatici centralizzati ha permesso di risolvere questi problemi, velocizzando ed ottimizzando tutte le operazioni di ricerca ed estrazione dati. Con le tecnologie digitali, inoltre, l’informazione si svincola dal supporto; di conseguenza, diventa assai facile poter riprodurre il contenuto indipendentemente dal supporto su cui è memorizzato (un hard disk, un dvd, un usb drive o altro). Da tutto ciò ne deriva anche un’estrema facilità in termini di portabilità e di trasferimento. Questa naturale facilità di scambio del dato digitale viene ulteriormente incrementata ed agevolata dallo sviluppo delle reti telematiche, in particolare dalla rete Internet.
Quindi, dall’informatica e dalle reti telematiche originano ampie possibilità per la crescita della società e delle comunicazioni. Lungo queste nuove nuove dorsali si sono sviluppate attività quali, ad esempio, l’e‐commerce, l’e‐government, l’home‐banking, il trading online e tante altre che consentono di rendere più efficiente la società ma, al contempo, la rendono estremamente dipendente dalla rete. Con questo si vuole sottolineare il fatto che la maggior parte delle attività sociali, lavorative e di svago, passano oggi attraverso reti telematiche. Se, dunque, tutti gli interessi e le attività propositive della società si spostano su Internet, di conseguenza, anche le attività illecite (i cd. reati informatici) ne seguiranno l’evoluzione nelle forme e nelle pratiche sopradescritte. A tal riguardo, è diventato necessario sviluppare idonee contromisure atte a contrastare, o quantomeno a limitare, il progredire di queste forme di crimine. Al fine di poter contrastare il sempre crescente aumento dei reati informatici, si rende necessario sviluppare metodologie, pratiche e normative in grado di combatterne gli effetti.
Esistono, fondamentalmente, due grandi tipologie di pratiche/metodologie di azione che è possibile adottare per contrastare i computer crimes:
• prevenzione dei reati (lato utente e lato Polizia di pubblica sicurezza);
• repressione dei reati (Codice penale e disposizioni comunitarie).
Al di là della specificità dei singoli illeciti che è possibile compiere attraverso gli strumenti informatici, si può dettare un decalogo di massime di riferimento per prevenire il compiersi dei reati informatici.
In prima istanza, la pratica prima è quella di sensibilizzare e responsabilizzare l’utenza sulle potenzialità ma anche sui rischi cui è possibile incorrere attraverso l’uso degli strumenti informatici. La scarsa alfabetizzazione dell’utenza Internet circa i pericoli ed i rischi su cui è possibile imbattersi è, forse, la causa prima della così ampia diffusione del cyber crime e ciò è specialmente vero in determinati tipi di illeciti. Sempre “lato utente” esistono, poi, procedure specifiche che verranno proposte nel prosieguo come possibili soluzioni preventive in relazione a determinati reati informatici.
Anche dal “lato della pubblica sicurezza” (Polizia postale e delle Comunicazioni e Gruppo Anti-Frode telematiche) esistono soluzioni in grado di prevenire i reati informatici o comunque designate a tale scopo. In tale ambito si pensi, ad esempio, a tutte quelle pratiche finalizzate al monitoraggio della rete Internet e che spesso vacillano tra il lecito e l’illecito, tra la necessità di garantire la sicurezza (all’art. 5 della “Convenzione Europea per la salvaguardia dei diritti dell’uomo e delle libertà fondamentali”) e quella di rispettare la privacy e la riservatezza (art. 8 della medesima Convenzione). Si citano qui, ad esempio, le pratiche di data retention, la possibilità, cioè, di poter tenere traccia dei dati inerenti gli spostamenti degli utenti, sia per quanto riguarda la navigazione in rete che per l’utilizzo della posta elettronica. Nello specifico i dati di interesse ai fini della prevenzione sono quelli in grado di identificare la fonte della comunicazione (indirizzo IP) e determinare data, ora e durata della comunicazione (file).
Prima di analizzare sinteticamente come il Codice penale classifichi ed individui i computer crimes, è opportuno precisare che, per ogni reato previsto, si specificheranno anche, oltre alle disposizioni del Codice penale, le possibilità preventive che l’utenza (intesa sia come utente privato che come azienda) può adottare al fine di scongiurare, al meglio possibile, crimini informatici a proprio danno.
La prima vera normativa di contrasto al fenomeno dei cyber crimes è stata la legge n° 547/93 (recante “Modificazioni ed integrazioni alle norme del Codice Penale e del codice di procedura penale in tema di criminalità informatica”). Precedentemente a questa legge pochi interventi sono stati approntati in materia di repressione ai reati informatici, soprattutto per quel che riguarda il periodo sino agli anni ’90. Sino ad allora si possono considerare, infatti, solo casi sporadici, come, ad esempio, la legge n° 191/78 che introduceva nel Codice penale l’art. 420 contro l’attentato ad impianti di elaborazione dati, ovvero la legge n° 121/81 relativa alla prima forma di tutela dei dati archiviati in un sistema informatico. A partire dal decennio successivo, con lo sviluppo delle tecnologie informatiche e telematiche, si sente, invece, una maggior esigenza di dotarsi di leggi più specifiche ed approfondite in materia di tutela informatica, come la legge n° 197/91 che, all’art. 12, punisce l’indebito utilizzo delle carte di credito o la n° 518/92 che, con l’art. 10, mira a punire, per vero in maniera eccessivamente generica, i reati di “pirateria informatica”. E’, però, con la legge n° 547/93 che si pongono le basi per una reale lotta al crimine informatico.
Per rendere più agevole la comprensione dei provvedimenti normativi previsti con la suddetta legge appare conveniente suddividere in macrocategorie le aree di intervento:
• frodi informatiche;
• falsificazioni;
• integrità dei dati e dei sistemi informatici;
• riservatezza dei dati e delle comunicazioni informatiche.
Le frodi informatiche sono regolamentate dall’art. 640‐ter del Codice penale, contenuto all’interno del Titolo XIII “dei delitti contro il patrimonio”, Capo II “dei delitti contro il patrimonio mediante frode”. Il delitto è punibile a querela della persona offesa, salvo che ricorra taluna delle circostanze di cui al secondo comma o un’altra circostanza aggravante. Si parla, qui, di un reato consistente nel “trarre in inganno” un elaboratore elettronico, al fine di ricavarne un guadagno economico (per sé o per altri complici), a danno di un soggetto terzo (solitamente il detentore dell’elaboratore elettronico). Si tratta perciò di un’estensione del reato di truffa descritto all’art. 640 c.p.
Tra i reati che più frequentemente vengono compiuti e che ricadono, tra gli altri, all’interno della “frode informatica”, vi sono le cd. “pratiche di phishing” e quelle di diffusione di appositi programmi truffaldini, definiti dialer. Il phishing altro non è che un’attività finalizzata ad estorcere dati personali (in prevalenza legati alle carte di credito od ai conti bancari) attraverso una richiesta esplicita al suo legittimo possessore. Il principale metodo per porre in essere il phishing è quello di inviare una mail in tutto e per tutto simile a quella che verrebbe inviata da un regolare istituto (banca, sito d’aste, provider, ecc. e con relativo logo identificativo), nella quale si riportano vari tipi di problemi tecnici (aggiornamento software, scadenza account, ecc.) che motivano l’utente a cliccare su un link riportato nella mail per andare ad aggiornare i propri dati personali. Chiaramente il link non porta al “vero” sito dell’istituzione, ma ad un instradamento fasullo ed opportunamente creato dall’autore del reato di phishing, che si impossesserà così dei dati inseriti dall’utente.
Dal punto di vista della prevenzione il phishing si configura come uno di quei reati che possono facilmente essere debellati con una corretta informazione agli utenti. A tal scopo l’A.B.I. (Associazione Bancaria Italiana) ha stilato una lista di 10 punti chiave nella prevenzione del phishing:
1. occorre diffidare di qualunque e-mail che vi richieda l’inserimento di dati riservati riguardanti codici di carte di pagamento, chiavi di accesso al servizio di home banking o altre informazioni personali;
2. è possibile riconoscere le truffe via e-mail con qualche piccola attenzione: generalmente queste e-mail non sono personalizzate e contengono un messaggio generico di richiesta di informazioni personali per motivi non ben specificati; fanno uso di toni intimidatori; non riportano una data di scadenza per l’invio delle informazioni;
3. nel caso in cui si riceva un’e-mail contenente richieste di questo tipo, la stessa non va risposta, ma va informata la banca interessata;
4. non bisogna cliccare su link presenti in e-mail sospette, in quanto questi collegamenti potrebbero condurre a un sito contraffatto, difficilmente distinguibile dall’originale;
5. bisogna diffidare, inoltre, di e-mail con indirizzi web molto lunghi, contenenti caratteri inusuali, quali in particolare @;
6. quando si inseriscono dati riservati in una pagina web, occorre assicurarsi che si tratti di una pagina protetta: queste pagine sono riconoscibili in quanto l’indirizzo che compare nella barra degli indirizzi del browser comincia con “https://” e non con “http://” e nella parte in basso a destra della pagina è presente un lucchetto;
7. bisogna diffidare se improvvisamente cambia la modalità con la quale viene chiesto di inserire i codici di accesso all’home banking;
8. occorre controllare regolarmente gli estratti del conto corrente e delle carte di credito per assicurarsi che le transazioni riportate siano quelle realmente effettuate. In caso contrario, occorre contattare la banca e/o l’emittente della carta di credito;
9. le aziende produttrici dei browser rendono periodicamente disponibili on-line e scaricabili gratuitamente degli aggiornamenti (le cosiddette patch) che incrementano la sicurezza di questi programmi
10. Internet è un po’ come il mondo reale: come non si darebbe ad uno sconosciuto il codice P.I.N. del bancomat, allo stesso modo occorre essere estremamente diffidenti nel consegnare i dati riservati senza essere sicuri dell’identità di chi li sta chiedendo.
Un altro tipo di reato che rientra nella categoria delle “frodi informatiche” è l’uso del cosiddetto dialer.
Il dialer è un piccolo programma (pochi kilobyte) appositamente scritto per dirottare la connessione Internet dell’ignaro utente verso un altro numero telefonico, spesso di tariffazione internazionale e comunque sempre molto più caro rispetto alla comune chiamata telefonica al numero POP del proprio provider. Attraverso l’utilizzo del dialer il guadagno è multiplo; operatori di telefonia, società produttrici dei dialer, webmaster. E’, però, da precisare che l’utente finale (singolo o azienda che sia) viene colpito dal dialer solo nel momento in cui effettivamente lo scarica e lo installa sul proprio computer. Il dialer, infatti, è un normalissimo programma e come tale deve preventivamente essere installato per poter essere eseguito. Una volta installato sarà il dialer che automaticamente sostituirà il numero ordinario di connessione con un altro a tariffazione maggiorata.
Anche per la frode a mezzo dialer, come per il phishing, molto importante è l’informazione dell’utenza Internet, la quale può proteggersi da questa truffa attraverso pochi e semplici accorgimenti. Innanzitutto, è possibile disabilitare presso il proprio operatore telefonico le chiamate verso numerazioni internazionali e/o verso i numeri speciali a pagamento. In secondo luogo, è possibile installare appositi software (definiti “stop dialer”) in grado di avvisare l’utente quando un programma terzo tenta di dirottare la connessione verso un altro numero telefonico non previsto.
Un altro intervento che è possibile adottare è quello di utilizzare una linea telefonica basata su tecnologia xDSL od a fibra ottica che, effettuando chiamate dirette e verso un solo numero, non subisce alcun danno dai dialer.
La materia delle falsificazioni è regolamentata dal Codice penale attraverso l’art. 491‐bis contenuto nel Titolo VII “dei delitti contro la fede pubblica”, Capo III “della falsità in atti”:
art. 491‐bis (“Documenti informatici”): “Se alcuna delle falsità previste dal presente capo riguarda un documento informatico pubblico o privato, si applicano le disposizioni del capo stesso concernenti rispettivamente gli atti pubblici e le scritture private. A tal fine per documento informatico si intende qualunque supporto informatico contenente dati o informazioni aventi efficacia probatoria o programmi specificamente destinati ad elaborarli”.
Il problema principale sta nel fatto che è limitativo ricondurre il documento informatico al “supporto informatico”. Il documento informatico, infatti, non viene compreso nella sua vera essenza che lo slega dalla materialità; mentre il documento cartaceo si lega indissolubilmente al contenuto. E’ da precisare che la normativa distingue tra falsità materiale e falsità ideologica; la prima identifica una non corrispondenza tra autore e testo, la seconda, invece, una non veridicità delle dichiarazioni contenute nel documento stesso.
Detto ciò bisogna, quindi, chiarire cosa si intende per “documento informatico”.
Il documento informatico è sostanzialmente un documento immateriale e dinamico, ed è la “rappresentazione informatica di atti, fatti o dati giuridicamente rilevanti” (come definito dal D.P.R. 513/97 art 1, lettera “a”, e riconfermato nel D.P.R. 445/2000 art. 1, lettera “b”) in quanto non vi è alcuna distinzione tra l’originale e la copia.
Non si tratta, dunque, di un mero cambio di supporto rispetto al preesistente documento cartaceo, bensì di un mutamento nella concezione vera e propria di documento che nell’informatica, come detto, assume i caratteri di rappresentazione.
Il documento informatico acquista effettiva valenza legale con la legge n° 59/1997 (art. 15 comma 2). Per poter, però, classificarsi valido, un documento deve poter essere autenticato e se ne deve poter attribuire la paternità.
A tale scopo interviene la firma digitale e, nel D.P.R. 513/97, art. 1 lettera “b” se ne da una definizione: s’intende “per firma digitale, il risultato della procedura informatica (validazione) basata su un sistema di chiavi asimmetriche a coppia, una pubblica e una privata, che consente al sottoscrittore tramite la chiave privata e al destinatario tramite la chiave pubblica, rispettivamente, di rendere manifesta e di verificare la provenienza e l’integrità di un documento informatico o di un insieme di documenti informatici”.
Con la firma digitale, dunque, si attesta anche l’integrità ed il non ripudio del documento (quindi si scongiura la falsità materiale), in quanto nella procedura di firma digitale viene generato un particolare codice crittografico derivante dalla “mescolanza” dei dati identificativi del mittente con il contenuto vero e proprio del documento (hash); qualora al momento della ricezione vi sia corrispondenza tra i codici crittografici ottenuti, si avrebbe conferma dell’integrità del documento e dell’autenticità del mittente.
Tutto ciò viene confermato dall’art. 5 del suddetto D.P.R. n° 513/97, in cui si specifica la validità quale scrittura privata del documento informatico sottoscritto con la firma digitale, nonché la sua efficacia probatoria. Dunque, nel caso in cui un documento venga deliberatamente falsificato (sia falsità materiale che ideologica) vengono applicate le pene di cui agli articoli che regolamentano le falsità in atti delle scritture private e degli atti pubblici (Titolo VII , Capo III).
Il Codice penale regolamenta, poi, una terza macrocategoria, che riguarda l’integrità dei dati e dei sistemi informatici, attraverso vari articoli, tra cui il 635‐bis sul “danneggiamento di sistemi informatici e telematici”, contenuto nel Titolo XIII “dei delitti contro il patrimonio”, Capo I “dei delitti contro il patrimonio mediante violenza alle cose o alle persone”.
L’art. 635‐bis del Codice penale ripropone il reato di danneggiamento (previsto dall’art. 635 c.p.) in rapporto non solo alle apparecchiature informatiche o telematiche, ma anche ai dati, informazioni o programmi in esse contenute, necessariamente caratterizzati da immaterialità e difficili da punire con il generico reato di danneggiamento. Nell’ambito dell’art. 635‐bis si parla, infatti, di danneggiamento totale o parziale, di deterioramento e di distruzione. Con la prima espressione si fa riferimento alle modalità attraverso cui si può rendere del tutto o in parte inservibile un sistema informatico/telematico, con la seconda ci si riferisce alla creazione di guasti in grado di far scemare le prestazioni del sistema, mentre nella terza espressione si descrive un’azione di annullamento totale di un sistema.
La miglior tecnica preventiva adottabile dall’utenza (privata o aziendale) è quella di dotarsi di efficienti sistemi di backup, in grado di sopperire all’eventuale perdita di dati e informazioni. “Aggravante” del reato “danneggiamento di sistemi informatici e telematici” è l’art. 420 c.p. “attentato a impianti di pubblica utilità” contenuto nel Titolo V “dei delitti contro l’ordine pubblico”.
Si tratta di un’estensione nei reati di danneggiamento a sistemi informatici, che trova, qui, un inasprimento nel caso in cui il reato sia compiuto contro impianti di pubblica utilità e, quindi, si concretizzi come di pericolo per l’ordine pubblico e per gli interessi socio‐economici collettivi.
Il Codice penale interviene anche estendendo l’art. 392 ai sistemi informatici (comma 3), “Esercizio arbitrario delle proprie ragioni con violenza sulle cose”. A tal riguardo, viene punito colui che ricorre al “regolamento di conti” attraverso l’uso della violenza sulle cose al fine di manifestare un preteso diritto. Riferito all’informatica si tratta dell’alterazione, modifica o cancellazione in tutto od in parte di un programma, al fine di turbarne il corretto funzionamento.
Interessante da porre in disamina è, inoltre, l’art. 615‐quinquies, attraverso cui si meglio precisa un aspetto già genericamente affrontato dall’art. 635‐bis. La fattispecie è contenuta nel Titolo XII “dei delitti contro la persona”, Capo III “dei delitti contro la libertà individuale”, Sezione IV “dei delitti contro la inviolabilità del domicilio”.
Con l’art. 615‐quinquies si mira a reprimere la “diffusione di programmi diretti a danneggiare o interrompere un sistema informatico”, tutti i programmi cioè rientranti sotto la categoria di malicious software (o malware). Il fatto che vi sia un articolo del Codice penale unicamente dedicato a questa tipologia di software, evidenzia come la diffusione stessa e la dannosità di questi malware sia molto alta. Le categorie che rientrano sotto l’etichetta di malware sono molte ma, in linea generale, sono tutte accomunate dal medesimo scopo di danneggiare un sistema informatico (specialmente in riferimento alla sua parte “software”).
La categoria di malware più diffusa e conosciuta è quella dei virus, speciali parti di codice che si diffondono, copiandosi, all’interno di altri programmi, in modo tale da essere eseguiti ogni volta che il file infetto viene aperto.
La diffusione dei virus è legata alla trasmissione di questi file infetti, che può avvenire sia attraverso comuni supporti di memorizzazione magneto‐ottica, sia attraverso una distribuzione su reti telematiche. Queste ultime, in special modo Internet, hanno poi dato terreno fertile alla diffusione di altri malicious code, tra cui worm, trojan horse, backdoor e spyware, solo per citare i più comuni.
Attraverso l’art. 615‐quinquies si mira, dunque, a reprimere la diffusione di questi codici maligni (indipendentemente dalla scopo per cui sono creati), e costituisce reato la distribuzione di supporti contenenti malware, o la loro diffusione attraverso reti telematiche (non è pertanto punita la creazione o la semplice detenzione di tali software). E’ da precisare, però, che tale reato è punito solo qualora vi sia dolo e non lo è nel momento in cui si accerti una condotta meramente colposa. Ciò serve a mandare liberi da incriminazione tutti quegli individui che si vedono vittime ignare ed inconsapevoli della diffusione dei malware (con particolare riferimento agli worm, che si riproducono senza il consenso dell’utente ed a sua insaputa). Inoltre, l’art. 615‐quinquies individua un reato di pericolo, in cui non necessariamente si deve verificare una distruzione (parziale o totale), come invece avviene nel caso dell’art. 635‐bis (reato di evento).
Dal punto di vista della prevenzione, è possibile ricorrere all’utilizzo di software quali antivirus, antispyware, ecc. che, se opportunamente aggiornati, sono in grado di segnalare all’utente l’eventuale presenza di evetuali software maligni.
Un’ultima categoria di reati informatici è quella inerente la riservatezza dei dati e delle comunicazioni informatiche. In tale ambito il Codice penale interviene con l’intento di reprimere forme di intrusione nella sfera privata altrui.
Il primo provvedimento previsto dalla legge n° 547/93 in materia di riservatezza dei dati e delle comunicazioni informatiche è quello adottato con l’art. 615‐ter del Codice penale “accesso abusivo ad un sistema informatico o telematico”, Titolo XII “dei delitti contro la persona”, Capo III “dei delitti contro la libertà individuale”, Sezione IV “dei delitti contro la inviolabilità del domicilio”. Con questo articolo si vuole tutelare il sistema informatico, inteso qui come vera e propria estensione del domicilio dell’individuo, al fine di proteggerlo da accessi non autorizzati e da permanenze non gradita (tutela peraltro garantita dall’art. 14 della Costituzione italiana).
Ciò che immediatamente si coglie dall’art. 615‐ter è che un sistema per poter subire un accesso abusivo, deve essere protetto da una qualsivoglia forma di sicurezza (sia essa una forma di protezione logica – ad esempio nome utente e password ‐ o fisica – vigilantes o porte blindate a protezione dei sistemi informatici; ed è d’altronde questo il caso in cui si può applicare il punto due del secondo comma); ciò presuppone un palesato interesse dell’individuo a voler tutelare i propri dati (ed in ciò si distingue anche la differenza del domicilio informatico da quello “reale” tutelato dall’art. 614 c.p.; essendo, infatti, il domicilio informatico un “luogo” estremamente flessibile ed aperto, non si può tutelare il domicilio a priori in quanto tale, ma si deve tutelare solo ciò che esplicitamente il titolare ha deciso che deve rimanere riservato e tale volontà esplicita è manifestata attraverso l’adozione di una misura di sicurezza).
Nel caso, infatti, in cui il sistema informatico non sia protetto in alcun modo non può sussistere il reato di accesso abusivo. E’ da precisare, inoltre, che con l’art. 615‐ter non si fa alcun riferimento ad eventuali danni causati dall’accesso abusivo al sistema (questione già affrontata con l’art. 635‐bis), ma si mira a reprimere esclusivamente l’atto di accesso ad un sistema per il quale non si hanno i diritti per accedervi o per permanervi oltre la durata stabilita dal titolare del sistema.
Ciò che, dunque, appare importante alla luce dell’art. 615‐ter è la salvaguardia dei dati contenuti all’interno del proprio “domicilio” informatico. Dal punto di vista della prevenzione, appare evidente che, tra le possibili soluzioni per scongiurare un accesso abusivo, ci sia quella di regolare l’accesso per selezione (o, di contro, per esclusione).
A tal riguardo una delle più semplici misure da adottare è quella di impostare un account dotato di nome utente e password di accesso. Altra soluzione, più dispendiosa ma anche più efficace, è quella di dotarsi di un firewall al fine di controllare gli accessi. In ogni caso, come già specificato, occorre che sia presente un, seppur minimo, sistema di protezione al fine di poter parlare di accesso abusivo in relazione all’art. 615‐ter c.p.
Altre disposizioni del Codice penale in materia di riservatezza dei dati e delle comunicazioni informatiche, le si possono riscontrare nell’art. 615‐quater, “Detenzione e diffusione abusiva di codici di accesso a sistemi informatici o telematici”.
Anche l’art. 615‐quater è compreso (come il 615‐ter) nel Titolo XII “dei delitti contro la persona”, Capo III “dei delitti contro la libertà individuale”, Sezione IV “dei delitti contro la inviolabilità del domicilio”. A differenza dell’art. 615‐ter però, l’art. 615‐quater fa riferimento al possesso indebito ed all’eventuale diffusione di codici di accesso e non al loro utilizzo ai fini di un accesso abusivo.
Tale articolo punisce, dunque, la detenzione non autorizzata di codici di accesso (con codici di accesso si intendono non solo password ma anche P.I.N., smart card criptate o eventuali sistemi biometrici, come le impronte digitali ed il riconoscimento vocale), ma anche la loro diffusione illecita a terzi non autorizzati. Inoltre, è contemplato quale reato anche la diffusione di istruzioni tecniche su come eludere od ottenere i suddetti codici di accesso.
In ogni caso, non è sufficiente la detenzione o la diffusione di codici illeciti per poter incorrere nelle pene previste dall’articolo in questione, ma è necessario che da tale detenzione o diffusione ne derivi un profitto per sé o per altri o altresì un danno a terzi.
Sempre in riferimento alla categoria sulla riservatezza dei dati e delle comunicazioni informatiche, il Codice penale individua nell’art. 621 (Titolo XII “dei delitti contro la persona”, Sezione V “dei delitti contro la inviolabilità dei segreti”) un ulteriore forma di protezione della riservatezza dei propri documenti,“Rivelazione del contenuto di documenti segreti”.
La legge n° 547/93 estende l’art. 621 c.p. anche ai documenti informatici, rendendo di fatto punibile come reato la rivelazione del contenuto di documenti riservati e da cui se ne tragga un indebito profitto per sé o per altri, oltreché un danno per il titolare dello stesso.
Più nello specifico dell’ambito informatico entrano gli artt. 617‐quater, 617‐quinquies e 617‐sexies (Titolo XII “dei delitti contro la persona”, Sezione V “dei delitti contro la inviolabilità dei segreti”), i quali tutelano la riservatezza delle comunicazioni informatiche proprio come nello stesso Codice penale alla stessa stregua delle comunicazioni per mezzo di apparecchiature telefoniche, telegrafiche ed epistolari attraverso gli artt. 617 e ss. Il fine ultimo di tali articoli è, comunque, quello espresso attraverso l’art. 616 c.p. sulla “Violazione, sottrazione e soppressione della corrispondenza”, sostenuto, tra l’altro, anche dall’art. 15 della Costituzione italiana sulla libertà e segretezza della corrispondenza e della comunicazione.
Gli articoli in esame si riferiscono chiaramente a tutte quelle forme di comunicazione informatica per cui è prevista una identificazione ben precisa dei/del destinatario (es. e‐mail, chat dirette ad un utente preciso, ecc), in cui, cioè, esiste una reale forma di corrispondenza inviolabile, la quale non esiste, invece, per le forme di comunicazione in cui i destinatari non sono ben definibili e specificati (es. siti pubblici del world wide web, chat pubbliche, ecc.).A tal proposito viene, invece, a tutela l’art. 21 della Costituzione italiana (inerente la libertà di manifestare il proprio pensiero).
Detto ciò, appare evidente come il reato di cui all’art. 617‐quinquies si disponga in una posizione prodromica rispetto all’art. 617‐quater, in quanto il primo si colloca in una fase antecedente l’intercettazione vera e propria e non è necessaria la prova dell’avvenuta intercettazione, interruzione o impedimento della comunicazione, essendo sufficiente accertare l’obiettiva potenzialità lesiva dell’apparecchiatura. Nel caso in cui avvenga poi l’effettiva intercettazione, interruzione o impedimento, si procederà secondo quanto previsto dall’art. 617‐quater.
Con l’art. 617‐sexies si mira, invece, a sanzionare l’impiego e la rivelazione pubblica dei contenuti precedentemente intercettati, nonché la loro falsificazione, alterazione o soppressione a scopo di profitto ovvero a danno di altri, condizione necessaria perché sussista il reato. Da precisare poi, ai fini soprattutto dell’art. 617‐quater, che l’intercettazione si verifica nel momento in cui si carpisce, in maniera fraudolenta ed all’insaputa dei soggetti coinvolti nella comunicazione, il contenuto del messaggio trasmesso. Qualora i soggetti coinvolti nella comunicazione autorizzino l’intercettazione il reato non sussisterebbe.
In ogni caso, perché si possa parlare di “intercettazione”, il messaggio deve giungere integralmente al suo destinatario previsto; nel caso in cui il messaggio non giunga al destinatario ma venga interrotto lungo il suo cammino si parlerebbe di “interruzione”; nel caso in cui, invece, la comunicazione non potesse nemmeno partire si parlerebbe di “impedimento”.
Tra le principali tipologie di reati che possono rientrare negli articoli di cui sopra, e specificatamente nell’art. 617‐quater, vi è lo sniffing, una tecnica finalizzata a carpire i dati e le informazioni che attraversano una rete telematica.
Dal punto di vista preventivo, la miglior soluzione per proteggersi da eventuali intercettazioni di comunicazioni informatiche, operate attraverso attacchi sniffing od altre modalità, è quella di adottare tecniche crittografiche che consentano di rendere illeggibile il contenuto del documento a chi è privo dell’autorità per farlo. La tecnica crittografica più diffusa è attuata attraverso il programma P.G.P. (Pretty Good Privacy), che consente di rendere sicure le comunicazioni su reti telematiche e non, adottando in special modo la crittografia asimmetrica, peraltro già osservata nell’implementazione della firma digitale.
• art. 623‐bis (“Altre comunicazioni e conversazioni”): “Le disposizioni contenute nella presente sezione, relative alle comunicazioni e conversazioni telegrafiche, telefoniche, informatiche o telematiche, si applicano a qualunque altra trasmissione a distanza di suoni, immagini od altri dati.”
Con l’art. 623‐bis, “altre comunicazioni e conversazioni”, si vuole, inoltre, estendere il campo di riferimento degli articoli sin qui discussi (ed appartenenti alla sezione “dei delitti contro la inviolabilità del domicilio”) a qualunque tipo di trasmissione, sia essa, indifferentemente, di dati, suoni o immagini.
Con tale precisazione si cerca di entrare in linea con quelli che sono gli sviluppi della multimedialità ed, in generale, dell’informatica più recente, basata sulla convergenza dei vari media e sulla continua innovazione delle tecnologie di trasmissione.
Dalle analisi sui reati informatici previsti dal Codice penale italiano, appare evidente come ci sia un forte interesse nel disciplinare tali illeciti. Tali provvedimenti normativi tendono, però, a perdere la loro efficacia se non correttamente supportati da provvedimenti a livello comunitario. Il principale problema derivante dalla regolamentazione del crimine informatico deriva infatti dalla sua “aterritorialità”. Si aprono, infatti, criticità che si collocano su diversi livelli:
• a livello investigativo (ampio terreno da monitorare);
• a livello processuale (chi è competente a fare cosa);
• livello di diritto penale (a quale legge penale, di quale Stato, bisogna fare riferimento).
Emerge, dunque, la necessità di dotare l’ordinamento dell’Unione europea di una normativa che sappia armonizzare le varie disposizioni nazionali, al fine di rendere più omogeneo ed efficace l’intervento sui computer crimes.
E’ già a partire dal 1997 che si è sentita l’esigenza di armonizzare concretamente le normative nazionali a livello comunitario, dapprima con la risoluzione sulle “priorità della cooperazione nei settori della giustizia e degli affari interni”, in cui si specifica la necessità di combattere il crimine informatico attraverso gli strumenti informatici stessi; poi con il documento definito dal “Gruppo multidisciplinare contro la criminalità organizzata”, in cui si prevedono misure e strategie di coordinamento transnazionali.
Nell’anno 1999 si è svolto, poi, a Tampere il primo Consiglio europeo (con 15 Stati membri) interamente dedicato al settore “Giustizia e affari interni” e soprattutto ai reati legati all’utilizzo delle tecnologie; a tal riguardo, si è indicato espressamente che l’obiettivo primo è quello di dotarsi di sanzioni comuni.
E’, però, con la Convenzione di Budapest sul cyber crime (firmata il 23 novembre 2001) che si è voluto dare una più decisa sferzata alla lotta contro il crimine informatico.
A tal proposito è non molto lontana nel tempo (20 febbraio 2008) l’approvazione, alla Camera dei Deputati, del disegno di legge (proposto in data 19 giugno 2007) di ratifica ed esecuzione della Convenzione del Consiglio d’Europa sulla criminalità informatica.
Le principali modifiche al Codice penale riguardano:
• l’art. 635‐bis (“Danneggiamento di informazioni, dati e programmi informatici”) è stato affiancato dagli artt. 635‐ter (“Danneggiamento di informazioni, dati e programmi informatici utilizzati dallo Stato o da altro ente pubblico o comunque di pubblica utilità”) e 635‐quater (“Danneggiamento di sistemi informatici o telematici”). Ciò che emerge è una chiara distinzione tra il danneggiamento dell’integrità dei dati (art. 635‐bis) ed il danneggiamento dell’integrità del sistema (art. 635‐quater). Il 635‐ter estende il 635‐bis ai reati commessi contro lo Stato o enti di pubblica utilità.
• L’art. 491‐bis viene aggiornato nella sua definizione di documento informatico, inteso non più come “qualunque supporto informatico contenente dati o informazioni aventi efficacia probatoria o programmi specificatamente destinati ad elaborarli”, bensì come “rappresentazione informatica di atti, fatti o dati giuridicamente rilevanti”, come peraltro già previsto dal D.P.R. n° 513/97. E’ stato, inoltre, introdotto l’art. 495‐bis, inerente la “Falsa dichiarazione o attestazione al certificatore sull’identità o su qualità personali proprie o di altri”.
• Nell’art. 615‐quinquies (“Diffusione di apparecchiature, dispositivi o programmi informatici diretti a danneggiare o interrompere un sistema informatico o telematico”) viene introdotta l’effettiva intenzione di danneggiamento. Ciò è utile a scagionare dal reato penale tutti coloro che si occupano di sicurezza informatica e che, quindi, sono spesso portati a compiere danneggiamenti a sistemi terzi al solo scopo di testarne la sicurezza.In termini di cooperazione comunitaria risulta essere molto importante anche la Decisione Quadro2005/222/GAI del 24 febbraio 2005, tra gli ultimi atti in materia di reati informatici a livello europeo.
La “decisione‐quadro” è utilizzata per ravvicinare le disposizioni legislative e regolamentari degli Stati membri. Essa può essere proposta su iniziativa della Commissione o di uno Stato membro e deve essere adottata all’unanimità. Vincola gli Stati membri per quanto riguarda il risultato da raggiungere, salva restando la competenza degli organi nazionali in merito alla forma ed ai mezzi da impiegare a tal fine. L’obiettivo della presente decisione quadro è quello di migliorare la cooperazione tra le autorità giudiziarie e le altre autorità competenti degli Stati membri, compresi la polizia e gli altri servizi specializzati incaricati dell’applicazione della legge, mediante il ravvicinamento delle legislazioni penali degli Stati membri nel settore degli attacchi contro i sistemi di informazione. Le notevoli differenze nelle normative degli Stati membri in questo settore possono, infatti, ostacolare la lotta contro la criminalità organizzata ed il terrorismo e complicare un’efficace cooperazione giudiziariae di polizia nel campo degli attacchi contro i sistemi di informazione. Il carattere transnazionale e senza frontiere dei moderni sistemi di informazione fa sì che gli attacchi contro tali sistemi siano spesso di natura transnazionale e rende evidente la necessità di adottare urgentemente azioni ulteriori per il ravvicinamento delle legislazioni penali in questo settore.
Le legislazioni penali nel settore degli attacchi ai danni di sistemi di informazione dovrebbero essere ravvicinate al fine di garantire la cooperazione giudiziaria e di polizia più ampia possibile nel settore dei reati attinenti agli attacchi ai danni di sistemi di informazione e di contribuire alla lotta contro la criminalità organizzata ed il terrorismo. E’ evidente che lo scopo di questa Decisione Quadro sia quello di armonizzare e rendere effettiva la cooperazione a livello transnazionale al fine di poter combattere il cyber crimine che, per antonomasia, è transfrontaliero e necessita dunque di una normativa più serrata ed efficace.
Proprio a partire dalle ultime considerazioni in merito ai provvedimenti a livello comunitario, si evince come la battaglia contro i crimini informatici debba necessariamente passare attraverso una forte sinergia e collaborazione a livello transnazionale. Tutti gli sforzi che, in questo campo, vengono compiuti dai singoli Paesi membri dell’Unione a livello nazionale, devono trovare una loro espressione anche a livello comunitario. A rendere particolarmente importante, quanto complessa, l’armonizzazione a livello comunitario, è certamente la particolare caratteristica di extraterritorialità delle nuove reti telematiche.
I reati compiuti a mezzo informatico, sono spesso slegati dal territorio e dunque diventa particolarmente complesso riuscire a punire il reato senza una normativa comune ed omogenea tra i vari Stati membri.
Benché l’Italia, nel caso specifico, sembra essersi dotata di un buon apparato legislativo nei confronti dei cyber crimes, è comunque doveroso sottolineare che tutti i provvedimenti in questione devono poter essere applicati al di là dei propri confini nazionali, pena un rendere, se non inutili, quanto mai vani tutti gli sforzi posti in essere. Per ultimo, ma non certo per importanza, è quanto mai importante coltivare, ai fini di una graduale riduzione del crimine informatico ed, in parallelo, allo sviluppo coordinato delle normative transnazionali, una nuova cultura informatica, che sappia ben informare e sensibilizzare l’utenza sui vantaggi ma anche sui rischi che è possibile correre attraverso un incauto utilizzo delle nuove tecnologie legate all’informatica ed alla telematica.