Diritto e Fisco | Articoli

Crimini informatici: non accettate caramelle dagli sconosciuti

13 Ottobre 2010 | Autore:
Crimini informatici: non accettate caramelle dagli sconosciuti

La rete è un posto tutt’altro che sicuro: i cyber crime o crimini informatici toccano un italiano su quattro.

I nostri inquirenti della Polizia postale l’hanno battezzata “Venice Carnival” ed è stata la prima vera indagine contro il cyber crime condotta su ampia scala internazionale. Oltre mille siti web di una trentina di Paesi, un centinaio dei quali italiani, sono stati infettati, ad insaputa dei rispettivi gestori, da un software che reindirizzava l’utente a pagine internet ospitanti materiale pedopornografico.

Le indagini, coordinate dalla Procura di Venezia col sussidio dell’Europol e degli organi di polizia di mezzo mondo, sono partite nel lontano 2009 grazie alla segnalazione di una nonna che, navigando sul web in cerca di regali per i nipoti, si è invece imbattuta in un sito web di abusi sessuali su minori.

La notizia è di quelle che accendono uno spiraglio di speranza. Innanzitutto perché i sistemi tecnici delle forze dell’ordine hanno dimostrato di essere al passo con quelli dei criminali. Ma soprattutto perché possiamo finalmente registrare un’operazione di livello internazionale, non impantanata nelle maglie della burocrazia o delle differenze tra le legislazioni dei vari Stati: annoso problema della lotta al cyber crime.

In sintesi, si sta creando quella cultura sociale e giuridica necessaria per ripristinare il gap tra bene e male anche all’interno della rete. E questo apre a noi la porta per spiegare di cosa stiamo parlando…

Ai bambini che mettono il primo piede fuori casa si è sempre raccomandato di non accettare caramelle dagli sconosciuti. Il che è anche un monito di portata più generale, perché le caramelle non sono solo le biglie zuccherose. Caramelle sono tutte le seduzioni che imbrigliano l’uomo. E la vita è sempre piena di caramelle.

Sennonché, ad un certo punto della storia umana, la realtà si è improvvisamente duplicata. Le strade e le piazze sono diventate quelle virtuali della rete. E una generazione – la nostra – si è trovata a fare i conti con un mondo del quale non aveva mai ricevuto istruzioni. Così esposti ai pericoli, eravamo come bambini in mezzo ad una giungla.

Nessuno poteva mettere in guardia i neofiti dalle nuove “caramelle” fatte di bit. Non c’erano stati genitori ad impartirci i consigli e i rimproveri del caso. Solo qualche giorno fa le nostre madri hanno imparato ad usare Google e siamo piuttosto noi ad insegnar loro cosa fare e cosa no. Sempre noi stiamo ora istruendo anche i nostri figli: inseriamo meccanismi di protezione nei software, sistemi di controllo a distanza dei minori, abilitazioni e disabilitazioni.

Ma la nostra generazione “di mezzo” ha dovuto imparare tutto a proprie spese.

In questa condizione, il cyber crime è nato e si è moltiplicato con una facilità estrema.

Le ultime statistiche dipingono l’Italia come uno dei paesi con più alta incidenza di criminalità informatica, il sesto nella classifica internazionale (la prima è la Cina). Oltre il 69% degli utenti ha subito un attacco online. Il 51% ha scoperto di avere il proprio pc infetto da virus. Nei primi sei mesi del 2010, la Polizia postale ha denunciato ben 819 persone per reati di e-commerce e ne ha arrestati 37. Sono invece 2.913 le persone querelate per hacking, con 76 arresti. 475 sono state le denunce per reati pedopornografici e 51 gli arresti.

Luciano De Crescenzo diceva che le nuove tecnologie non sono altro che prolunghe. Prolunghe di qualcosa che già esisteva prima. Così l’auto è una prolunga delle gambe, la TV lo è degli occhi, il telefono dell’orecchio. Internet è una prolunga della parola. E come tutti i mezzi di amplificazione, ad essere esaltati non sono solo i benefici, ma anche i problemi.

Il Web non solo ha dato la possibilità di meglio realizzare i crimini da sempre commessi dall’uomo (c.d. crimini tradizionali portati a termine con modalità tecnologiche: truffe, pornografica, giochi d’azzardo, prostituzione, riciclaggio, diffamazione, molestie proselitismo di sette sataniche), ma ha anche creato figure di reato del tutto nuove. Queste ultime sono le c.d. condotte delittuose strettamente connesse alle nuove tecnologie. Vi rientrano, per esempio, l’hacking, la violazione della privacy, lospamming, il phishing (finalizzato ad ottenere, con un raggiro, dati personali o password utili a realizzare ulteriori condotte illecite), la diffusione di virus informatici, lo sniffing (ossia l’intercettazione passiva dei dati che viaggiano in rete), ilbackdoor (ossia la creazione di entrate segrete in un sistema informatico), l’email bombing (il bombardamento, con migliaia di email, di un server di posta elettronica sino a causare il crash).

Elementi di criminologia
Il cyber crime, cresciuto esponenzialmente con l’aumento delle transazioni attraverso carte di credito e conti online, ha anche disegnato una nuova psicologia del criminale informatico per via delle modalità con cui l’illecito è posto in essere.

Il nuovo stereotipo di malvivente è un soggetto non violento, con elevata capacità di pianificazione. Ha una scarsa percezione dell’illegalità del proprio comportamento, opera in solitudine e ha minori strumenti psicologici di contenimento dell’ansia (per via dell’assenza di contatto diretto con la scena criminis).
Le stesse modalità di cooperazione tra i criminali sono mutate. Le riunioni non hanno più bisogno di tenersi in casolari sperduti; non sono necessarie parole d’ordine e metafore dette al telefono. Oggi basta collegarsi alla rete con un sistema protetto e prendere minime precauzioni a tutela dell’anonimato. I nuovi malviventi organizzano rave party anche attraverso un semplice clic di messaggeria istantanea.

Inoltre, la gamma dei criminali informatici è divenuta più ampia rispetto a quella tradizionale: essa abbraccia soggetti che difficilmente eseguirebbero analoghe azioni nel mondo non digitale, perché incapaci di reggere l’impatto “face-to-face” con la vittima. Caso tipico è quello dell’insider, l’impiegato infedele che si appropria di segreti industriali per venderli alla concorrenza, ma che non sarebbe mai capace di forzare una cassaforte per rubare dei documenti.
A cambiare, infine, sono anche i moduli organizzativi dei gruppi criminali. Non essendo più necessario il controllo del territorio, c’è minore necessità di contatti personali e di rapporti basati sulla fiducia del gruppo nei confronti del singolo. Scompare quindi la ferrea disciplina piramidale; i contatti diventano latenti e meno rigidi (si pensi all’incetta di mano d’opera, effettuata sul Web, al fine di trovare chi sposti il denaro rubato su conti segreti).

La normativa
Il problema del cyber crime deve essere affrontato tenendo separati i due gradini normativi che lo caratterizzano: quello internazionale e quello nazionale.

Le Convenzioni internazionali
Il principale problema che ostacola la perseguibilità del crimine informatico è la sua connotazione transnazionale, ossia il fatto che la condotta non è sempre vincolata a una territorialità ben definita.
Lo stesso locus commissi delicti è spesso incerto, ben potendo un’azione delittuosa essere ideata in luogo, essere eseguita con apparecchiature situate in un diverso Stato e, infine, produrre danni in un altro posto.
Ciò pone problemi non solo di competenza dell’autorità procedente e giudicante, ma anche di collaborazione tra le autorità investigatrici.

Uno dei casi più emblematici è stato quello di Yahoo.com. Sul portale di aste del colosso informatico si vendevano cimeli nazisti e materiale inneggiante al razzismo. In Francia, dove (come del resto in tutto il mondo), connettendosi alla rete, era possibile visionare e acquistare tale materiale, alcune organizzazioni antisemite ricorsero al Tribunale di Parigi. I giudici, ritenendo il delitto commesso nel territorio francese – essendosi ivi realizzato il danno – a dispetto del fatto che i server fossero negli USA, superarono l’eccezione di incompetenza sollevata dalla difesa di Yahoo, che mirava a spostare il giudizio oltre oceano. Così i magistrati parigini condannarono la società americana ad una ammenda di 100.000 franchi. Ebbene, nonostante la decisione fosse in Europa esecutiva, le Corti d’Appello Federali degli Stati Uniti si sono pronunciate per l’inapplicabilità della sentenza nel suolo americano.

L’art. 6 del nostro codice penale stabilisce che è punito con la legge italiana “chiunque commette un reato nel territorio dello stato” (da intendersi esteso anche alle dodici miglia marine dalla linea costiera e allo spazio aereo e al  sottosuolo raggiungibile in concreto).

Il secondo comma dell’art. 6, a proposito del problema del locus commissi delicti, stabilisce che il reato si considera commesso nel territorio italiano quando l’azione (o l’omissione) che lo costituisce è ivi avvenuta in tutto o in parte ovvero si è verificato l’evento che è la conseguenza dell’azione o omissione. Ciò, oltre ad essere di non facile determinazione quando si tratta di reati commessi tramite internet, crea problemi di “appropriazione giurisdizionale” su fatti che non hanno alcun legame al territorio nazionale. Infatti, sorge la possibilità che lo stesso fatto venga perseguito da una pluralità di autorità giudiziarie sia in ordine agli stessi imputati che ai concorrenti nell’illecito, con conseguente rischio di contrasto tra le diverse pronunce delle varie autorità nazionali.

La via migliore per evitare questo empasse è di mettere in comune procedimenti e procedure e creare istituzioni infra-statuali, capaci di interloquire con le autorità giudiziarie dei diversi Paesi.

Il primo vero tentativo di superare questi problemi a livello europeo è stato la “Convenzione del Consiglio d’Europa sul Cyber Crime”, firmata a Budapest nel 2003 ed entrata in vigore l’1 luglio 2004, oggi approvata da 42 paesi (tra cui alcuni extraeuropei come gli Stati Uniti, il Canada, il Giappone ed il Sud Africa) e ratificata da nemmeno la metà di essi. Il nostro Parlamento ha approvato solo il 5 aprile 2008 la relativa legge di ratifica.

Il trattato europeo è volto a promuovere una politica internazionale comune sulla tutela dai crimini informatici, in particolare nel campo della pornografia infantile, della frode e della violazione delle reti. La Convenzione ha inteso armonizzare le legislazioni interne degli Stati aderenti e promuovere una cooperazione nella fase delle indagini (spesso bloccate da lungaggini burocratiche). In altre parole, gli Stati hanno finalmente capito che, in un mondo sciolto e veloce come il Web, bisogna evitare l’irrigidimento in regole farraginose.

A tal fine è stata istituita l’Agenzia europea per la Sicurezza delle Reti e delle Informazioni (ENISA), con compiti anche inerenti alla pirateria informatica.

In Italia, l’organo di contatto è il Servizio di Polizia Postale e delle Comunicazioni (con diciannove compartimenti regionali e settantasei sezioni provinciali).

Per superare il problema dei contrasti tra le varia autorità procedenti, la Convenzione ha stabilito (art. 22) che ogni Stato, nel definire la propria competenza territoriale, debba uniformarsi al principio della commissione del reato nel proprio territorio. Questo principio non innova la nostra legislazione perché, come abbiamo visto, è già previsto all’art. 6 c.p.

A tale criterio, però, l’art. 22 ne ha aggiunto un altro di portata più innovativa: “Quando più di una parte rivendica la propria competenza (rectius, giurisdizione) per una presunta infrazione prevista dalla presente convenzione, le parti coinvolte si consultano, laddove sia opportuno, al fine di stabilire la competenza più appropriata per esercitare l’azione penale”.

Poiché spesso non è di facile individuazione l’autore del reato informatico, la Convenzione ha previsto la responsabilità per i crimini informatici anche delle persone giuridiche (enti, società, ecc.) nel cui interesse la persona fisica abbia agito. In tal modo si è superato quel principio costituzionale (sancito dal nostro ordinamento) per cui la responsabilità penale non può che essere personale.

La legislazione interna
Il primo passo della nostra legislazione in materia di cyber crime è stata la legge n. 547 del 23 dicembre 1993 che ha introdotto, nel codice penale, specifiche ipotesi delittuose ed ha ampliando i poteri degli inquirenti nella fase di acquisizione delle prove attraverso intercettazioni telefoniche e telematiche. Sono stati così disciplinati la frode informatica (art. 640 ter c.p.), il falso documento informatico (art. 491 bis c.p.), il sabotaggio telematico (art. 420 c.p.), il danneggiamento di dati o programmi informatici (art. 635 bis c.p.), l’accesso abusivo ad un sistema informatico o telematico (art. 615 ter c.p.), la diffusione di apparecchiature o programmi volti a danneggiare un sistema informatico (art. 615 quinquies), l’intercettazione, impedimento o interruzione di comunicazioni tra sistemi informatici (art. 617 quater c.p.).

Per fronteggiare la pedofilia on line è stata emanata la legge n. 269 del 1998. Anzi, l’Italia è stata tra le prime nazioni a darsi una normativa in materia. Una legge, tuttavia, che ha avuto non poche difficoltà di applicazione per via della a-territorialità con cui tali delitti vengono posti in essere.

Sono intervenuti successivamente la legge n. 248 del 2000, volta a reprimere i comportamenti illeciti di pirateria informativa, e l’importante decreto legislativo n. 231 del 2001, che ha esteso le sanzioni penali previste per i cyber crime anche alle persone giuridiche.

Infine è giunta la tanto attesa legge di ratifica della Convenzione di Budapest (L. 18 marzo 2008 n. 48), dal contenuto decisamente meno ampio rispetto al trattato. Infatti, dalla data della sua firma (2003), il nostro sistema giuridico aveva già disciplinato gran parte delle fattispecie contenute nella convenzione.
Il legislatore nazionale si è limitato ad aggiornare le norme esistenti, che in alcuni casi (si pensi all’art. 491 bis c.p.) erano ormai anacronistiche.

Peraltro, la legge di ratifica è nata già vecchia, poiché, in cinque anni, la realtà tecnica dell’informatica e della telematica era decisamente cambiata, con un’inevitabile evoluzione dei crimini informatici. Si pensi al phishing e alle altre ipotesi di furto d’identità, illeciti che nel 2001 non erano neanche immaginabili. Insomma, il Parlamento italiano, che con la legge n. 48 poteva supplire a tali deficit, oziosamente invece si è limitato a confermare quanto molto tempo prima avevano già scritto i colleghi europei.

Il cammino del legislatore, dunque, non può dirsi per nulla terminato. Peraltro, proprio la rapida evoluzione degli strumenti informatici e delle intelligenze criminali impone di non abbassare mai la guardia.
Non in ultimo bisogna considerare l’enorme importanza di formare un personale specializzato: non ha senso creare delle norme tecniche molto articolate se poi coloro che sono chiamati ad applicarle non hanno le competenze professionali per comprendere appieno cos’è la criminalità informatica. Ritengo che potrebbe essere assai utile – e alla fine vi si arriverà di certo – creare una sezione specializzata, istituendo proprio una Procura Nazionale Anti-criminalità tecnologica (così come la Procura Nazionale Antimafia).



Sostieni LaLeggepertutti.it

La pandemia ha colpito duramente anche il settore giornalistico. La pubblicità, di cui si nutre l’informazione online, è in forte calo, con perdite di oltre il 70%. Ma, a differenza degli altri comparti, i giornali online non hanno ricevuto alcun sostegno da parte dello Stato. Per salvare l'informazione libera e gratuita, ti chiediamo un sostegno, una piccola donazione che ci consenta di mantenere in vita il nostro giornale. Questo ci permetterà di esistere anche dopo la pandemia, per offrirti un servizio sempre aggiornato e professionale. Diventa sostenitore clicca qui

Lascia un commento

Usa il form per discutere sul tema (max 1000 caratteri). Per richiedere una consulenza vai all’apposito modulo.

 


NEWSLETTER

Iscriviti per rimanere sempre informato e aggiornato.

CERCA CODICI ANNOTATI

CERCA SENTENZA

Canale video Questa è La Legge

Segui il nostro direttore su Youtube