KULT Underground

una della più "antiche" e-zine italiane – attiva dal 1994

Cybercrime…

8 min read

“Un computer sicuro…
è un computer spento”
Bill Gates

Del “Consiglio d’Europa” come più “antica” istituzione europea, precedente anche al sistema delle Comunità (evolutosi poi in Unione Europea), ho già avuto modo di parlare in passato[2].

Ed è proprio nell’ambito di questa organizzazione che si è adottata la “Convenzione Europea sulla Criminalità informatica”, nella convinzione che tali nuovi fenomeni, di dimensione evidentemente transnazionale, possono essere ben contrastati solo attraverso un’armonizzazione delle legislazioni dei vari Stati sovrani. Così, dopo alcune Raccomandazioni non vincolanti indirizzate agli Stati membri negli anni ’90, un Comitato di esperti appositamente incaricato, in circa quattro anni di lavoro, ha elaborato la “Convention on Cybercrime”, aperta alla firma a Budapest il 23/11/2001, entrata in vigore il 1/07/2004[3].

Essa costituisce il primo accordo internazionale riguardante i crimini commessi attraverso internet o altre reti informatiche, ed estende la portata del reato informatico includendo tutti i reati, in qualunque modo commessi mediante un sistema informatico, anche nel caso in cui la prova del reato sia esclusivamente sotto forma elettronica.

Il suo obiettivo rimane la realizzazione di una politica comune fra gli Stati membri, attraverso l’adozione di una legislazione appropriata, che consenta di combattere il crimine informatico in maniera coordinata. In particolare, tende ad armonizzare le fattispecie di reato riguardanti la criminalità informatica, a dotare i Paesi firmatari della Convenzione degli strumenti necessari allo svolgimento delle indagini e al perseguimento dei crimini correlati all’area informatica e a costruire un efficace sistema di cooperazione internazionale[4].

Con la L. 18 marzo 2008, n. 48[5], l’Italia ha ratificato la Convenzione[6], che opera sostanzialmente su tre piani: quello del diritto sostanziale (sono state introdotte nel codice penale diverse “nuove” fattispecie di reato), processuale e della rilevanza penale di alcune condotte in ambito aziendale[7].

L’art. 615 quinquies, del codice penale ha represso fino a ieri “la diffusione di apparecchiature, dispositivi o programmi informatici diretti danneggiare o interrompere un sistema informatico”. La norma, così come novellata, punisce oggi (reclusione fino a 2 anni e multa sino a 10.329 €) chiunque, allo scopo di danneggiare illecitamente un sistema informatico o telematico, si procura, produce, riproduce, importa, diffonde, comunica consegna o comunque mette a disposizione di altri apparecchiature, dispositivi o programmi informatici[8].

Anche la disciplina penale del documento informatico[9] e della firma digitale, subisce qualche integrazione con l’introduzione nel Codice Penale dei reati di falsa dichiarazione o attestazione al certificatore sull’identità o su qualità personali proprie o di altri (art.495 bis-fino a 1 anno di carcere) e di truffa del certificatore di firma elettronica (art.640 quinquies-fino a 3 anni di carcere e 1032 € di multa).

In ambito processuale le novità mirano a chiarire gli specifici poteri degli inquirenti nella delicata fase dell’accertamento del reato. In particolare, si è stabilita (modifiche agli artt.247/248/254/256/259/260/352/353/354 Codice Procedura Penale), la possibilità per l’Autorità Giudiziaria di disporre, in sede di ispezione, rilievi e altre operazioni tecniche sui sistemi, di perquisire gli stessi anche se protetti da misure di sicurezza, di esaminare presso le banche anche i dati, le informazioni ed i programmi informatici.

Vengono disciplinate anche le modalità di acquisizione dei dati oggetto di sequestro presso i fornitori di servizi informatici e telematici o di telecomunicazioni, nonché l’adozione di un provvedimento che permette il congelamento temporaneo (fino a 90 giorni), ed urgente dei dati personali[10]. In questo modo il legislatore sovrannazionale (e di conseguenza quello italiano), ha affrontato, sia pur parzialmente, la questione del ruolo del provider, e degli obblighi che la pubblica autorità può imporre ai fornitori di servizi telematici, nello spirito di collaborazione che deve essere sempre considerato da questi ultimi nella repressione di comportamenti criminosi.
Le nuove norme avranno significativa incidenza anche in ambito aziendale, come accennato in precedenza, ambito nel quale si è sempre sottovalutato il tema del “computer crime” sia non prevedendo apposite soluzioni per impedire la commissione di reati all’interno delle imprese, sia non cautelandosi per le conseguenze giuridiche ed economiche, a causa probabilmente e della pubblicità negativa che deriverebbe dall’esplicita denuncia di questi fatti e della mancanza, fino ad ora, di strumenti repressivi efficaci.

Ora tutte le ipotesi di reato informatico commesso dalle singole persone fisiche sono estese anche alle persone giuridiche (aziende ed enti di varia natura)[11]. A dover preoccupare le aziende, poi, non è solo l’estensione della responsabilità a tutti i delitti informatici, ma la circostanza che la stessa possa essere imputata anche nelle ipotesi in cui non venga rintracciato l’autore materiale del reato. Ne consegue che la mancata individuazione del responsabile materiale, certo frequente in questi casi, possa impedire di capire esattamente al magistrato le motivazioni dell’illecito e quindi determinare un’attribuzione di responsabilità anche quando l’autore del reato abbia agito per fini esclusivamente personali e non nell’interesse del suo datore di lavoro[12].

Di fronte a tale nuova prospettiva l’azienda sarà inevitabilmente costretta a studiare delle strategie preventive ed idonee, da un lato, ad impedire la commissione di reati informatici al suo interno e, dall’altro, in grado di escludere una sua responsabilità nelle ipotesi in cui le misure adottate non siano state in grado di evitare la commissione del reato.

Ci si chiede, per concludere, quali saranno le reali conseguenze sul piano dell’applicazione concreta, specie in ambito giudiziario, delle nuove norme.

L’interpretazione delle norme penali informatiche è, infatti, ancora sensibilmente condizionata da un diverso modo di leggere il significato di termini tecnici utilizzati dalle norme, delle diverse tecnologie, del diverso modo di interpretare il contesto ove la norma trova applicazione. La terminologia utilizzata, sino a poco tempo fa non era per nulla usuale nell’ordinamento penale; termini quali “programma informatico”, “sistema informatico e telematico”, “dati e informazioni”, “misure di sicurezza” (presi da un mondo, quello informatico, sensibilmente diverso da quello giuridico), non ci vengono spiegati dal legislatore; quindi di fatto accade che alcune decisioni divergano tra loro poiché, mentre alcuni giudici interpretano quel determinato termine secondo l’accezione tipicamente informatica, altri lo interpretano secondo un’impostazione più propriamente giuridica[13].

Anche in questo caso, quindi, occorre attendere il consolidarsi di indirizzi giurisprudenziali, nella speranza che tutti (o la maggior parte) dei provvedimenti dei giudici siano ispirati da un’effettiva conoscenza dei contesti in cui le norme sono chiamate a operare, riconoscendo che l’intervento del legislatore in esame rappresenta un indubbio e significativo passo in avanti nella lotta contro la criminalità informatica.

 

[1] Nell’immagine il logo del Consiglio d’Europa, www.coe.int.
 
[2] Es. Kult n.3, dicembre 1994 “La CEDU”. I Paesi Membri di questa organizzazione continentale sono attualmente 47.
 
[3] Capitolo IV, Disposizioni Finali “Convenzione del Consiglio D’Europa sulla criminalità informatica”
Art.36 : Firma ed entrata in vigore.
Questa convenzione è aperta alla firma degli Stati membri del CdE e degli Stati non membri che hanno partecipato alla sua elaborazione.
Questa Convenzione entrerà in vigore il primo giorno del mese successivo alla scadenza dei tre mesi successivi alla data in cui cinque stati, compresi almeno tre stati membri del CdE, avranno espresso il loro consenso ad essere vincolati dalla Convenzione”.
Come di prassi la formula per stabilire l’entrata in vigore di un atto normativo internazionale è piuttosto articolata…
 
[4] La Convenzione, stabilisce tre principi generali nella cooperazione internazionale:
·         questa deve essere fornita nella misura più ampia possibile;
·         deve essere estesa a tutti i reati relativi ai sistemi e ai dati informatizzati;
·         deve rispettare non soltanto le disposizioni della Convenzione, ma anche essere conforme agli altri accordi internazionali in materia.
·          
[5] Gazzetta Ufficiale R.I, Serie gen.- n. 80 del 4/04/ 2008, supplemento ordinario, in vigore dal 5/04/2008.
 
[6] Cfr. “Crimini informatici: un passo avanti con la ratifica della Convenzione” e “Le aziende non possono più “snobbare” i reati informatici” di Paolo Galdieri in Interlex del 20/03/08 e del 12/06/08, www.interlex.it
 
[7] La legge estende alle aziende la “responsabilità amministrativa”, già prevista per numerosi reati dal decreto legislativo 231/2001 (che istituisce una sorta di responsabilità “penale” per le persone giuridiche con sanzioni economiche e limiti di azione), a praticamente tutti i delitti informatici commessi dai vertici o dai dipendenti, sempre che siano realizzati nell’interesse dell’ente o per l’ipotesi che lo stesso ne abbia tratto un vantaggio.
[8] Si prevedono poi più ipotesi di danneggiamento informatico e segnatamente:
– il danneggiamento di informazioni, dati e programmi informatici (art.635 bis);
– il danneggiamento di informazioni, dati e programmi informatici utilizzati dallo Stato o da altro ente pubblico o comunque di pubblica utilità (635 ter);
– il danneggiamento di sistemi informatici e telematici (635 quater).
Codice Penale, Libro II, Titolo XIII, Capo I,”Dei Delitti contro il patrimonio mediante violenza alle cose o alle persone”
 
[9] Si definisce come “la rappresentazione informatica di atti, fatti o dati giuridicamente rilevanti” secondo il Regolamento di cui al DPR. 10 novembre 1997, n. 513.
[10] Viene prevista, anche, la concentrazione della competenza per i reati informatici presso gli uffici di Procura Distrettuali al fine di facilitare il coordinamento delle indagini e la formazione di gruppi di lavoro specializzati in materia. Anche il Codice di Procedura Penale quindi, da molti considerato ancora inadeguato, si arricchisce di contenuti, sino a prevedere, in ossequio ad un’esigenza avvertita dai più, la costituzione di veri e propri pool di magistrati con competenze specifiche.
 
[11] Il testo estende (art. 7 legge 48/2008) la responsabilità amministrativa degli enti ai seguenti reati informatici:
– falsità in un documento informatico (art. 491-bis c.p.);
– accesso abusivo ad un sistema informatico o telematico (art. 615-ter c.p.);
– detenzione e diffusione abusiva di codici di accesso a sistemi informatici o telematici (art. 615-quater c.p.);
– diffusione di apparecchiature, dispositivi o programmi informatici diretti a danneggiare o interrompere un sistema informatico o telematico (art. 615-quinquies c.p.);
– intercettazione, impedimento o interruzione illecita di comunicazioni informatiche o telematiche (art. 617-quater c.p.);
– installazione di apparecchiature atte ad intercettare, impedire o interrompere comunicazioni informatiche o telematiche (art. 615-quinquies c.p.);
– danneggiamento di informazioni, dati e programmi informatici (art. 635-bis c.p.);
– danneggiamento di informazioni, dati e programmi informatici utilizzati dallo Stato o da altro ente pubblico o comunque di pubblica utilità (art. 635-ter c.p.);
– danneggiamento di sistemi informatici o telematici (art. 635-quater c.p.);
– danneggiamento di sistemi informatici o telematici di pubblica utilità (art. 635-quinquies c.p.);
– frode informatica del certificatore di firma elettronica (art. 640-quinquies c.p.).
 
[12] La preoccupazione non può poi che aumentare quando si consideri che l’azienda ritenuta responsabile è soggetta, oltre che all’esborso di ingenti somme di danaro, a sanzioni interdittive quali: a) l’interdizione dall’esercizio dell’attività; b) la sospensione o la revoca delle autorizzazioni, licenze o concessioni funzionali alla commissione dell’illecito; c) il divieto di contrattare con la pubblica amministrazione, salvo che per ottenere le prestazioni di un pubblico servizio; d) l’esclusione da agevolazioni, finanziamenti, contributi o sussidi e l’eventuale revoca di quelli già concessi; e) il divieto di pubblicizzare beni o servizi.
 
[13] Si aggiunga che il legislatore in molti casi usa termini diversi, e a volte non appropriati, per indicare determinati aspetti tecnologici (si pensi alle definizioni delle firme elettroniche), alimentando così le difficoltà interpretative.

Commenta