Danilo RIPONTI
Avvocato in Conegliano (TV), Membro della Commissione Giustizia
della Lega Italiana per i Diritti dell'Uomo, nonché dell'Accademia
Medico-giuridica delle Venezie. Cultore di Antropologia Criminale
presso l'Università di Trieste.
1. Premessa
L'imponente diffusione dei computers e il loro utilizzo ormai
capillare praticamente in tutti i settori della vita moderna, dai
più complessi ai più banali, sta rapidamente modificando il volto
della società contemporanea.
L'avvento poi della telematica e di internet hanno creato una
trasformazione culturale di rilevanza radicale, quasi una mutazione
antropologica, che ha determinato l'avvento di una cultura
"digitalica" assolutamente nuova e per taluni aspetti sorprendente.
I "nativi digitalici" infatti confessano in modo immediato in
internet, che diviene una sorta di memoria collettiva, circostanze
che mai avrebbero rivelato neppure ai più intimi amici o parenti,
con una trasformazione completa dei protocolli di
comunicazione.
Questa generazione, che negli USA viene definita generazione Y o
tecnosensual, sopprime le relazioni umane in favore di una
pseudo-relazione in una dark-room virtuale, che assicura la
spersonalizzazione e l'anonimato: in tale ambito si può essere a
piacere maschio o femmina, giovane o vecchio, ricco o povero, ci si
nasconde cioè non solo agli altri ma anche a se stessi.
Questa generazione trasferisce in internet la propria vita attiva,
e i fenomeni del tipo You Tube o quello ancor più sconcertante di
Second Life, cioè di totale trasferimento di ogni vissuto su un
mondo virtuale apparentemente del tutto esaustivo, ma in realtà del
tutto svuotato di valori in favore di un onnipotenza della tecnica,
sono a dir poco inquietanti: la vita reale, per i milioni di
giovani che adottano tali "filosofie", si riduce solo ad una pausa
per dormire e recuperare forze, al fine di riprendere una realtà
virtuale considerata di centrale ed esclusiva importanza, quasi che
la persona umana diventasse una specie di propaggine di questa
grande coscienza collettiva, e internet divenisse una protesi
esistenziale di vitale centralità.
è questa la cultura (o sottocultura) del superamento di ogni
limite, della trasgressione che diviene regola e come tale deve
essere sistematicamente superata in eccessi crescenti, assecondati
dall'illusoria onnipotenza della tecnica.
I valori condivisi sono quelli diffusi e propugnati da internet
(pensiamo alla spaventosa diffusione della Dea anoressia, mitizzata
in molteplici blog giovanili), con totale devalorizzazione di
quelli propri della società civile reale, al punto che si
riscontrano con continuità, negli studi psicologici, situazioni e
casistiche di soggetti portatori di gravi disturbi psicopatologici,
che in internet sono considerati veri e propri eroi.
Non v'è da stupirsi che questi giovani presentino gravi disturbi
mentali che vanno dai disturbi del comportamento (condotte devianti
antisociali e criminali, iperattività, disobbedienza ostinata,
aggressività, autolesionismo e predisposizione agli incidenti,
difficoltà di concentrazione e costanti insuccessi scolastici,
tossicofilie e tossicomanie, specie con riferimento alle droghe di
tendenza o droghe furbe, le smart drugs(1)), a gravi fenomeni di
noia grave e invasiva, e instabilità emotiva; da seri disturbi
psicosomatici e ipocondria, con sentimenti devastanti di
autosvalutazione e vergogna, a pericolose anomalie del
comportamento alimentare (bulimia, anoressia, iperalimentazione con
obesità patologiche) e del sonno.
L'incidenza dei suicidi giovanili è in spaventosa crescita.
è davvero il caso di dire che internet, la sua extraterritorialità
e la globalizzazione che ne consegue, hanno scoperchiato un vaso di
Pandora dalle proporzioni sino a pochi anni fa
inimmaginabili.
Tutto è sorto dall'avvento del computer, o meglio dalla
straordinaria diffusione che tale macchina, specie dopo la
realizzazione del pc (personal computer), ha assunto nella società
civile, o meglio ancora da un suo uso abnorme che si è
progressivamente diffuso nelle classi giovanili.
Questa macchina, nella sua operatività, si presenta come
intrinsecamente nuova rispetto a qualsiasi apparato tecnico
prodotto nel passato, poiché si compone non soltanto di un elemento
materiale bensì anche di un programma, che fornisce alla struttura
fisica della macchina tutte le istruzioni, in via completa ed
anticipata, idonee ad assicurare il funzionamento che
l'utilizzatore intende perseguire; proprio per il poter funzionare
in termini ipotetici (cioè potendo accertare esso stesso variabili
legate a fatti futuri e non preventivati e tenerne conto nel suo
funzionamento) e potenziali (a seconda della molteplicità di
possibili variabili), il computer è in grado di riprodurre (pur
entro limiti ben precisi) talune funzioni proprie dell'intelligenza
umana, ed è divenuto insieme simbolo e strumento del mutamento
epocale in atto nel mondo, mutamento la cui drammaticità spesso
sfugge all'uomo della strada.
Tutto ciò è stato reso possibile soprattutto dalle innovazioni
introdotte dalla microelettronica che ha consentito, a partire
dagli anni '70, di produrre e diffondere enormemente elaboratori
multifunzionali di grande potenza, piccole dimensioni e basso
costo, i cosiddetti personal computers: nelle numerosissime
versioni esistenti, in rapido aumento e costante evoluzione, essi
appaiono i veri protagonisti della odierna informatica distribuita
e generano una progressiva situazione di vera e propria
computer-dipendenza.
Senza dubbio, in effetti, l'avvento del computer e soprattutto la
diffusione della cultura digitalica che ne è derivata e la sua
diffusione nell'attuale società civile costituiscono una delle
peculiarità culturali dell'inizio del Terzo Millennio.
Si tratta di un processo in atto ormai da molti anni che
caratterizza lo sviluppo della nostra società ed ha creato modelli
di elaborazione e di gestione delle informazioni e dei dati
completamente innovativi rispetto alla tradizione del
passato.
Tali modelli hanno assunto un ruolo decisivo, in prima fase
particolarmente nelle realtà economiche e scientifiche, potendone
scaturire una accentuata automazione nelle gestioni contabili e nei
processi produttivi industriali e aziendali in genere, nonché nei
procedimenti di ricerca scientifica, di estrema rilevanza per la
agilità procedimentale, la semplicità e flessibilità gestionale,
per i costi e le risorse assai contenuti che implica.
Determinati settori economici, di eccezionale importanza nella
società civile contemporanea, fondano la propria organizzazione sui
sistemi informatici e telematici.
Il settore bancario e finanziario, per esempio, fa larghissimo uso
di tali tecnologie, indispensabili in ragione della globalizzazione
dei mercati finanziari e dell'esigenza di disporre di informazioni
in tempo reale; la diffusione, poi, di strumenti di pagamento e di
credito elettronici o a microprocessore ha ancorato tali attività
all'operatività di programmi telematici, dai quali sono
"dipendenti" in modo assoluto, con i vantaggi ma anche i rischi che
ciò implica: non a caso, è proprio tale settore ad essere il più
esposto a gravi disfunzioni e ad aggressioni criminali
specifiche.
Anche il settore assicurativo fa larghissimo uso, non solo per la
normale operatività amministrativa e contabile ma anche per la
gestione contrattuale delle polizze che per la gestione informatica
dei sinistri (o comunque degli eventi assicurati), di evoluti
sistemi informatici che consentono di determinare in tempo reale
ogni problematica specifica, dalla valutazione del rischio, al
calcolo del premio, alla determinazione del danno
risarcibile.
L'attività industriale ha sfruttato le nuove tecnologie
informatiche non solo per le problematiche amministrative e
contabili, ma anche per la riorganizzazione e automazione delle
specifiche operatività produttive.
In effetti, la principale finalità per cui internet è stato
inizialmente progettato e sviluppato è, oltre agli scopi strategici
di difesa e controllo militare, quello di costituire un motore
indispensabile per il processo decisionale delle grandi
organizzazioni, basato sui flussi informatici e sulla velocità
nell'orientare le scelte direttive con una ristrutturazione dei
processi interni. Rischia quindi di apparire limitata una
concezione di internet quale mezzo capace solo di permettere la
comunicazione digitale.
In tale prospettiva, lo strumento informatico acquista un valore
altamente strategico che va ben oltre l'utilizzo che l'utente
privato può intravedere, da cui deriva conseguentemente un forte
interesse di tutte le organizzazioni alla tutela delle proprie
informazioni, per esempio nel settore aziendale, da parte delle
imprese e un contrapposto altrettanto forte interesse della
pirateria informatica all'impossessamento di tali
informazioni.
Ove si tenga presente che, in realtà, la strategia è l'arte di
conservare la libertà delle proprie decisioni, l'importanza
strategica di internet è straordinaria.
Nel settore aziendale, questa impostazione diviene particolarmente
ricca di riflessi operativi.
Un problema particolarmente avvertito dalle aziende moderne è
quello legato alla perdita economica, di competitività industriale
e di posizione di mercato causata dalla perdita di informazioni
aziendali.
I tre elementi fondamentali per la sicurezza e la protezione delle
informazioni sono costituiti da:
a) politiche aziendali;
b) soluzioni tecnologiche;
c) comportamenti individuali.
Il valore delle informazioni varia nel tempo e può mutare in
funzione del contesto in cui l'informazione viene ad esistenza;
questa può essere fortemente appetibile, e quindi a rischio di
impossessamento da parte di estranei, in un determinato momento
storico e poi diventare, anche in breve tempo, priva di qualsiasi
interesse nel momento in cui diviene di dominio pubblico (es.:
notizia di cronaca).
Chi lavora in un'azienda o in un ente si rende conto del valore
intrinseco e dell'importanza delle informazioni, condivise con
tempestività con le persone autorizzate a riceverle, nel momento in
cui gli accade di perdere il controllo sulla stessa; un po' come
quando si percepisce il valore della salute nel momento in cui si
contrae una patologia. In entrambi i casi c'è il rischio di
accostarsi al problema in maniera emotiva trascurando i possibili
comportamenti tesi a prevenire o curare il problema.
Si sente dire molto spesso che la gran parte delle aggressioni alle
informazioni aziendali provengono dall'interno delle stesse
aziende; in realtà questo è un dato difficilmente dimostrabile. Si
può invece senz'altro affermare che la validità delle misure di
sicurezza per la tutela delle informazioni aziendali può essere
fortemente condizionata dai comportamenti di coloro che le
utilizzano e che quindi comportamenti non corretti possono
trasformarsi in vantaggi per coloro che intendano volontariamente
mettere in atto attacchi ai sistemi informativi.
Emblematico in tal senso è il termine inglese need-to-know che
mette in evidenza la opportunità di comunicare informazioni
solamente a coloro i quali ne necessitano a fini lavorativi,
astenendosi dal diffondere informazioni a chi non possa trarne
vantaggio.
Tutto ciò ci porta a considerare l'esistenza di un intrinseco
legame esistente fra le politiche aziendali, le dotazioni
tecnologiche e i comportamenti individuali; questi tre elementi
debbono essere circondati da un ambiente coerente con le
aspettative che li muovono, come coerenti dovrebbero essere le
strategie aziendali finalizzate all'individuazione delle devianze e
alla correzione dei movimenti. E per questo è necessario che
all'interno dell'azienda sia prevista una figura di responsabile
per la individuazione di programmi capaci di tutelare le
informazioni, influenzando anche i comportamenti individuali.
Nel caso in cui i tre elementi suindicati siano perfettamente
applicati e che un soggetto esterno all'azienda intenda ottenere
fraudolentemente informazioni riservate e protette, si deve subito
rilevare come le caratteristiche dei soggetti aggressori
corrispondono alla tipologia del criminale tipico. Il loro profilo
trova analogia a quello del soggetto familiare con l'ambiente
aziendale; molto spesso si tratta di persone "importanti", con
spiccata attitudine ad impressionare le vittime individuate, con
tutti i connotati individuati da Sutherland per i White Collar
Crimes: si tratta spesso di illeciti posti in essere da persone
rispettabili, di levata condizione sociale, nell'ambito delle loro
attività professionali e con abuso di fiducia. Questo particolare
comportamento fraudolento può essere facilitato dall' "ambiente
globale" in cui l'utilizzo di lingue straniere, i differenti fusi
orari e/o giornate festive nazionali, la diffusione capillare delle
operazioni possono rendere più facile il compito dell'aggressore
che voglia proporsi come un elemento di spicco nel settore di
competenza dell'azienda, il quale può, a seconda dei casi,
distribuire lusinghe, promettere particolari benefici o minacciare
la promozione di provvedimenti disciplinari al fine di ottenere un
temporaneo ma determinante abbassamento della guardia della
malcapitata vittima.
Questo ci fa comprendere come sia particolarmente difficoltoso
perseguire giuridicamente reati commessi utilizzando tali tecniche;
ancor più difficile è, in alcuni casi, scoprire che ci siano state
delle iniziative finalizzate alla sottrazione di informazioni
aziendali in quanto non sempre si rinvengono le tracce della loro
alienazione. In tale ottica, si può dire che i reati informatici
condividono molti caratteristiche con quelli dei "colletti
bianchi".
Le soluzioni tecnologiche di sicurezza informatica costituiscono
indubbiamente un valido aiuto, specialmente per quanto riguarda la
registrazione degli accessi non autorizzati.
Un'ulteriore iniziativa che le aziende possono attuare per
difendersi in caso di inefficacia degli strumenti di protezione è
quella di attività di analisi a posteriori allo scopo di
individuare i responsabili (investigazione aziendale di counter
intelligence).
Tale attività si prefigge lo scopo di avviare azioni legali a
protezione dell'immagine e di tipo risarcitorio (qualora
possibili), rilevare i punti deboli del processo aziendale
utilizzato per la gestione delle informazioni e compiere un'opera
di dissuasione nei confronti dei dipendenti e dei collaboratori
esterni a reiterare aggressioni alle informazioni aziendali con
tecniche già sperimentate.
La competizione economica fra aziende ha da sempre determinato un
forte interesse alla acquisizione di idee e know-how di altri
operatori del settore, costituendo fra l'altro uno dei modi per
riuscire a contenere i costi di R&S in cui le imprese devono
investire per superare la concorrenza. La protezione del know-how
aziendale comporta inoltre rilevanti costi in termini di brevetti,
licenze e copyright.
Ma spesso tutto questo non basta. La complessità tecnologica
dell'era informatica può rappresentare, sotto l'aspetto della
protezione delle informazioni, un miglioramento per le aziende a
patto che queste siano disposte a trasformare i loro processi di
difesa. Altrimenti si corre il rischio di divenire oggetto di
attenzione di "professionisti" in grado di offrire preziosi servizi
a chi intenda utilizzarli, i c.d. information broker, la cui
abilità consiste nel saper mettere assieme piccoli tasselli di
informazione che quotidianamente riescono ad acquisire con mezzi
diversi (persuasione occulta, sottrazione fraudolenta, furti di
documenti e di PC).
L'avvento delle tecnologie informatiche ha pertanto generato un
fenomeno di computer-dipendenza che si è venuta a creare nella
società civile contemporanea praticamente in ogni settore della
vita economica, culturale e sociale, che ha reso l'offensività
degli illeciti informatici particolarmente perniciosa, rendendo
necessaria l'adozione di strumenti di protezione sicuri ed
efficienti(2).
La diffusione poi della cultura digitalica sta creando vere e
proprie nuove forme di devianza (per es. il Cyberbullismo), che
impongono ai criminologi grande attenzione, perché costruiscono
espressione della grande trasformazione culturale epocale, che
abbiamo definita digitalica.
2. Il problema definitorio
Un corretto approccio a tali problematiche postula tutta una
serie di precisazioni terminologiche e lessicali afferenti le
tematiche in esame, che pur apparendo per taluni quasi primitive,
consentono di creare un quadro di riferimenti elementari certo e
solido.
Con il termine computer si indica un complesso apparato che deve
presentare almeno quattro caratteristiche fisse:
- deve essere elettronico;
- deve utilizzare nel suo funzionamento un programma;
- i segnali oggetto di elaborazione devono essere digitali e non
analogici;
- l'elaborazione deve avvenire secondo gli schemi della logica di
Boole (and, or, not)(3).
Per informatica (espressione che risulta composta dalla fusione del
sostantivo informazione con l'aggettivo automatica(4)) si deve
intendere la "scienza e la tecnica dei fenomeni relativi al
trattamento e alla trasmissione dell'informazione, e degli
strumenti di cui si serve"(5); tuttavia, a questa definizione di
ampia portata, appare preferibile una nozione più specifica di
"scienza dell'uso del computer", non risultando giustificato far
rientrare nella stessa ogni problematica relativa alla gestione
dell'informazione ed anche perchè l'uso del computer consente non
solo la gestione di informazioni bensì anche l'elaborazione di
dati.
La telematica, invece, è sostanzialmente quel settore
dell'informatica che si riferisce alle tecniche di diffusione
dell'informazione, studia e definisce i supporti e gli strumenti
per la trasmissione di suoni, immagini, informazioni ecc.: si
tratta in sostanza dell'applicazione alla telecomunicazione
dell'uso del computer.
Unità di misura del computer è il bit, cioè l'impulso digitale in
cui si articola il dato, che da un lato è una forma di scrittura e
dall'altro può essere considerato, in ottica penalistica, un bene
materiale mobile distinto dal supporto che lo contiene, essendo per
sua natura trasferibile da un supporto ad un altro. Materialità,
seppure intesa in senso lato, e trasmissibilità sono
caratteristiche pregnanti del bit, che come vedremo consentiranno
di risolvere numerose problematiche penalistiche.
Tanto l'informatica che la telematica si articolano in sistemi: i
primi possono essere costituiti da semplici sistemi di scrittura,
gestione ed automazione a complessi sistemi di elaborazione dati,
aventi portata di calcolo di miliardi e miliardi di dati,
operatività estesa a milioni di utenti e ambiti territoriali non
solo internazionali ma talora anche planetari; i secondi invece si
sostanziano in reti di telecomunicazioni pubbliche e private,
locali, nazionali e internazionali.
Il computer nella sua materialità è composto da un hard-ware
(letteralmente "merce dura"), costituito dalla apparecchiatura,
necessariamente elettronica, e dai suoi componenti fondamentali,
microprocessori, memorie fisse e operative (rispettivamente
denominate hard-disk e r.a.m.), ecc.
Il soft-ware invece (letteralmente "merce morbida") è la parte
complementare e caratteristica del computer, costituita dal
programma utilizzato dalla macchina, che costituisce l'aspetto più
originale e significativo dell'apparato, essendo oltretutto
elemento distintivo del computer da qualsiasi altra macchina. Il
soft-ware si articola in tre diversi livelli:
- di base, comprendente i sistemi operativi fondamentali ed
elementari, necessari per qualsiasi minimo funzionamento del
computer nella sua fisicità e costituenti l'interfaccia tra
l'hard-ware e i livelli superiori di soft-ware;
- di utilità, comprendente programmi destinati allo svolgimento di
funzioni utili per ogni elaboratore, gestione, copia, cancellazione
ecc. dei files, stampa, impostazioni grafiche, caratteri,
ecc.;
- applicativo, di contenuto altamente specialistico, destinato a
svolgere le funzioni particolari e specifiche dell'utente, che
sovente lo perfeziona in base alle sue specifiche esigenze.
Il computer può inoltre essere usato per classificare ed offrire
informazioni (cd. uso informativo del computer, per esempio la
consultazione di una banca-dati), ovvero per fargli generare
effetti incidenti sul mondo reale senza alcun ulteriore intervento
umano (cd. uso cibernetico del computer, per esempio l'uso di una
carta di credito).
Lo sviluppo di sistemi complessi, basati sull'integrazione delle
scienze e tecnologie informatiche ai processi produttivi, ha
favorito lo sviluppo di un particolare tipo di criminalità che, per
taluni aspetti, può essere considerata, come abbiamo visto, una
sorta di sottospecie della criminalità dal colletto bianco, i cd.
white collar crimes delineati da Sutherland, coi quali condivide
numerose e significative peculiarità (ma dai quali ha anche qualche
significativa differenza).
Alcuni studiosi (Parker, Tiedemann), consci dell'eccezionale
difficoltà di offrire una definizione onnicomprensiva del reato
informatico anche per la fluidità della materia in costante e
frenetica evoluzione, ne hanno propugnato accezioni assai vaste,
qualificando lo stesso come "quel comportamento antigiuridico, o
comunque socialmente dannoso, che viene posto in essere utilizzando
un elaboratore elettronico di dati(6).
Nel 1983 un gruppo di esperti dell'OEDC (Organization for Economic
Cooperation and Development) ha definito quali computer crimes ogni
comportamento illegale, immorale o non autorizzato comportante
elaborazione automatica di dati e o trasmissione di dati(7),
comprendendo pertanto nell'ambito di tale nozione anche le
violazioni della privacy.
Tuttavia si è ben presto constatato (Lenckner) che una definizione
di reato informatico in senso proprio poteva aversi solo in
presenza di "interventi abusivi sul processo di elaborazione"(8),
venendosi così a creare la distinzione tra gli atti criminosi
perpetrati contro il computer e la gestione informatica dei dati,
ovvero quelli posti in essere con l'ausilio tecnologico dei
computers, fattispecie che tutte rientrano nella categoria dei
computer crimes, nel primo caso in senso stretto, giacché il
computer è un protagonista necessario dell'evento criminoso, nel
secondo caso in senso lato, essendo il computer solo una delle
molte potenziali modalità di perpetrazione del fatto. Appare in tal
senso opportuna la bipartizione fondamentale, tra i reati
cosiddetti commessi per mezzo del computer e i reati che sfruttano
l'uso di un computer(9).
I primi sono commessi immettendo un'istruzione o una serie di
istruzioni fraudolente nella memoria del computer o modificando i
dati in esso già presenti, ovvero aggiungendo dati alla memoria
dello stesso tramite una linea esterna di natura telematica. I
crimini che sfruttano l'uso di un computer, invece, inseriscono
transazioni telematiche non autorizzate, ed in questo caso il
computer in sé non realizza nulla di irregolare, agisce per contro
secondo i suoi fisiologici standard operativi, tuttavia per il suo
tramite vengono preparati illeciti di penale rilevanza.
Come si diceva in precedenza i computer crimes possono essere
considerati una sorta di white collar crimes, pur con peculiarità
assolutamente originali.
Più esattamente sono stati tradizionalmente fatti rientrare nella
categoria degli occupational crimes(10), in quanto solitamente
vengono perpetrati da impiegati o funzionari nell'espletamento di
mansioni d'ufficio. Per altri aspetti i computer crimes sono stati
considerati, ormai da molti decenni, degli special opportunity
crimes(11) per il fatto che il soggetto agente si avvale nella
perpetrazione dell'illecito delle particolari opportunità create da
un lato dalle proprie conoscenze tecnologiche e dall'altro lato
dalle potenzialità virtuali dell'elaboratore.
Di assoluto rilievo è anche la distinzione fondata sul ruolo che il
computer assume nella perpetrazione del reato, potendo esserne
oggetto, mezzo o simbolo.
Nel primo caso, il computer (hardware o software) viene manomesso
nella sua fisicità (si rammenti l'attentato posto in essere dalle
Brigate Rosse al C.E.D. della Motorizzazione Civile di Roma nel
1981, ovvero la manomissione dei computers di gestione della rete
ferroviaria di Tokio ed Osaka, realizzata da terroristi giapponesi
nel 1985); ovvero, la condotta criminosa può incidere nella
funzionalità del computer, ovverosia sulle operazioni logiche
immateriali, sulle memorie informative, etc.
Nel secondo caso, il computer può costituire strumento di un reato
ove consenta di organizzare ed elaborare dati relativi a traffici
illeciti, quali i traffici di stupefacenti, l'usura, le scommesse
clandestine.
Nel terzo caso, il computer può rivestire fraudolentemente il ruolo
di elemento di circonvenzione della vittima, in ragione
dell'immagine di straordinaria efficienza tecnologica che esprime
(come avviene nelle truffe realizzate a diverso titolo, utilizzando
l'impatto psicologico favorevole indotto dalle tecnologie
informatiche proprio su chi meno le conosce).
Notevole interesse ha rivestito in materia, per una corretta
individuazione degli interessi da proteggere con appropriati
strumenti legislativi, l'attività di ricerca e studio resa dal
Consiglio d'Europa, che con la Raccomandazione n. R(89)9, ha
elaborato, oltre a tutta una serie di fattispecie facoltative, una
lista "minima" di fattispecie inerenti la criminalità informatica,
da introdurre necessariamente negli ordinamenti nazionali per
fronteggiare il problema, articolata sulla seguente tipologia di
condotte:
- frode informatica: intesa quale ingresso, alterazione,
cancellazione o soppressione di dati o di programmi informatici, o
qualsiasi altra ingerenza in un trattamento informatico che ne
influenzi il risultato e che determini un pregiudizio economico o
materiale ad altra persona, effettuati con l'intento di ottenere un
vantaggio economico illegittimo per se stesso o per altri;
- falso informatico: ingresso, alterazione, cancellazione o
soppressione di dati o di programmi informatici, o qualsiasi altra
ingerenza nel trattamento informatico, effettuati con modalità o
condizioni tali da costituire, secondo il diritto nazionale, un
reato di falso qualora i fatti stessi fossero commessi nei riguardi
di uno degli oggetti tradizionali di questo tipo di
infrazione;
- danneggiamento riguardante dati o programmi informatici:
cancellazione, danneggiamento, deterioramento o soppressione senza
diritto di dati o programmi informatici;
- sabotaggio informatico: ingresso, alterazione cancellazione o
soppressione di dati o programmi informatici o vero ingerenza nei
sistemi informatici, con l'intenzione di ostacolare il
funzionamento di un sistema informatico o di un sistema di
telecomunicazioni;
- accesso non autorizzato: accesso senza diritto ad un sistema o
ad una rete informatica mediante violazione delle regole di
sicurezza;
- intercettazione non autorizzata: intercettazione, senza diritto
e mediante mezzi tecnici, di comunicazioni inviate, provenienti o
esistenti nell'interno di un sistema o di una rete
informatica;
- riproduzione non autorizzata di un programma informatico
protetto: riproduzione, diffusione o comunicazione al pubblico,
senza diritto, di un programma informatico protetto dalla
legge;
- riproduzione non autorizzata di una topografia: riproduzione,
senza diritto, della topografia, protetta dalla legge, di un
prodotto a semiconduttore o sfruttamento commerciale ovvero
importazione a questo scopo, senza diritto, di una topografia o di
un prodotto semiconduttore fabbricato con l'aiuto di tale
topografia.
Del pari meritevoli di interesse, ai fini della repressione della
criminalità informatica, appaiono le ipotesi elencate nella c.d.
lista facoltativa:
- alterazione dei dati o dei programmi informatici: alterazione
senza diritto di dati o programmi informatici;
- spionaggio informatico: ottenimento mediante mezzi illegittimi,
divulgazione non autorizzata, trasferimento o utilizzazione senza
diritto né altra giustificazione legale, di un segreto commerciale
o industriale, con l'intenzione di causare un pregiudizio economico
all'avvento diritto al segreto, o di ottenere per sè o per gli
altri un vantaggio economico illecito;
- utilizzazione non autorizzata di un elaboratore: utilizzazione
senza diritto di un sistema o di una rete informatica effettuata
accettando il rischio di causare un pregiudizio a colui che ha
diritto di utilizzare il sistema o di arrecare pregiudizio al
sistema o al suo funzionamento, ovvero, con l'intenzione di creare
un pregiudizio alla persona che ha diritto di utilizzare il
sistema, ovvero, causando in tal modo un pregiudizio alla persona
che ha diritto di utilizzare il sistema o arrecando un pregiudizio
al sistema o al suo funzionamento;
- utilizzazione non autorizzata di un programma informatico
protetto: utilizzazione, senza diritto, di un programma protetto
dalla legge e riprodotto senza diritto, con l'intenzione di
ottenere un vantaggio economico illecito per se stesso o per gli
altri, o di causare un pregiudizio al detentore di tale
diritto.
3. Modalità attuattive dei reati informatici e
sistemi di protezione
In tema di metodologie attuative dei computer crimes, occorre
innanzitutto distinguere fra aggressione "interna" ed aggressione
"esterna" ai sistemi informatici.
Con la prima espressione si indicano quegli illeciti commessi da
dipendenti ai danni del proprio datore di lavoro (persona fisica o
giuridica), generalmente con finalità di lucro. Si tratta di
situazioni in cui l'operatore abusa del proprio strumento
professionale: un caso classico è quello dell'impiegato o
funzionario di banca che manipola elettronicamente i movimenti di
denaro nei conti correnti. Le aggressioni "interne" rientrano nella
tipologia ormai "classica" di quella che potremmo definire la
"prima generazione" di computer crime.
In questi ultimi anni assistiamo invece all'intensificarsi di una
più insidiosa multiforme aggressione "esterna" al computer,
determinata fondamentalmente da due fattori. Il primo è costituito
dal diffondersi del massiccio dell'"alfabetizzazione informatica",
della conoscenza cioè di quelle nozioni che permettono di servirsi
in modo corretto e completo dei nuovi mezzi tecnologici. Il secondo
fattore è dato dalle sempre più frequenti inter-connessioni fra le
reti di computers, rese possibili dall'applicazione della
telematica, cioè dall'unione in un unico sistema della tecnologia
dei dati e di quella delle reti di comunicazione (telefoniche,
televisive, via satellite, via digitale). Gli scambi di
informazioni tra elaboratori avvengono generalmente con
collegamenti su linee telefoniche, pubbliche o private, ovvero
attraverso reti wireless, cioè senza cavi.
Ciò consente di inserirsi abusivamente in una di tali reti
collegandosi ad un altro calcolatore, per mezzo di apparecchiature
ormai di bassissimo costo: un personal computer ed un modem(12), e
poco altro.
Il "pirata elettronico" a conoscenza del numero identificativo di
una delle linee di trasmissione dati del centro interessato può,
con abilità, pazienza e un po' di fortuna, scoprire la parola
chiave (password) che dà accesso al circuito, e causare intrusioni
e danni anche gravissimi.
Venendo ad una descrizione più dettagliata, per quanto
necessariamente sommaria, delle metodologie criminose più comuni,
ricordiamo innanzitutto il c.d. data diddling, ossia l'immissione
di dati falsi nell'elaboratore. Tale tecnica di alterazione o
omissione di introduzione di dati destinati all'input è forse
insieme la più semplice, la più difficile da scoprire e la più
accessibile ai potenziali autori di reati ai danni di aziende,
potendo venir sfruttata da chiunque abbia a che fare con i dati
stessi.
Gli Worm e i Trojan sono creati per danneggiare gravemente i
sistemi, i network, o entrambi. Un worm è un programma che si
riproduce, ma non necessariamente infetta altri programmi. Esempi
"classici" di worm, apparsi tra il 1999 e il 2000, sono Melissa e
LoveLetter. Entrambi hanno creato danni assai estesi e si
riproducevano tramite e-mail, utilizzando la rubrica di Outlook, il
più diffuso programma di posta elettronica.
Analogamente al mito greco da cui prende il nome, un "cavallo di
Troia" (cd. trojan o trojan horse) contiene una sorpresa nascosta.
Esso si nasconde in un frammento di un altro programma
all'apparenza innocuo, finché qualche condizione particolare lo
risveglia. Si tratta di una tecnica sofisticata che richiede una
certa dimestichezza con i sistemi di programmazione e permette di
realizzare computer crimes particolarmente spettacolari. Essa
consiste nell'introduzione fraudolenta, nei programmi destinati
agli elaboratori, di un certo numero di dati clandestini: in tal
modo la macchina, pur continuando ad espletare le proprie funzioni
normali, compie una ulteriore attività non autorizzata. Il sistema
più rapido (talora l'unico) per individuare un "cavallo di Troia" è
la comparazione, operata con procedure informatiche, tra una copia
sicuramente genuina del programma e la copia sospetta.
Una "classica" applicazione di tale metodo in ambito bancario è la
c.d. "tecnica del salame" (salami technique), che consiste nella
distrazione di ridottissimi importi da un gran numero di conti
correnti, senza alterare sostanzialmente i singoli saldi. L'infima
incidenza delle perdite subite da ogni utente rende irrilevabile
l'irregolarità garantendo così il successo della frode.
Altra applicazione del "cavallo di Troia" è la logic bomb, eseguita
con l'inserimento clandestino nel computer di istruzioni atte a
rinviare i controlli oppure a sondare le condizioni di sicurezza
criminosa nel momento in cui le condizioni per commetterla saranno
più favorevoli.
Può essere inoltre considerata un'ulteriore evoluzione della logic
bomb il famoso programma virus o virus dei computer che tanto
allarme periodicamente suscita nelle recenti cronache.
I virus informatici sono un frammento di software realizzato per
penetrare di nascosto un sistema e "infettarne" gli archivi. Alcuni
virus sono "benigni" e non danneggiano in modo permanente il
computer, mentre altri hanno effetti devastanti e possono
distruggere completamente i dati, giungendo addirittura a
danneggiare irrimediabilmente l'hard-disk.
è tipico dei virus replicarsi e cercare di infettare quanti più
file e sistemi, utilizzando ogni sistema possibile e soprattutto
l'accesso a internet e la posta elettronica, ma anche i diversi
supporti informatici; si possono suddividere in quattro categorie a
seconda di quale parte del sistema vanno ad infettare.
Esistono virus che infettano il settore di avvio (boot sector),
altri che vanno a distruggere i files o programmi, i virus delle
macro e ancora virus multiripartiti:
- i virus del settore di avvio possono essere diffusi in
molteplici modi, poichè i moderni bios consentono l'avvio
(bootstrap del computer non solo dai floppy o dagli hard disk, ma
da numerosi altri supporti e adirittura via rete ethernet. Il boot
sector è una "regione di spazio" (in genere dll'ampiezza di 512
byte) di un supporto magnetico (floppy disk, hard disk), di un
supporto ottico (CD, DVD) di un dispositivo USB (pen drive) o di
una partizione dell'hard disk. Ogni partizione ha un proprio boot
sector, mentre l'hard disk (inteso nella sua totalità) ha un master
boot record. Il boot sector (che viene "caricato" durante il
processo bootstrap del PC) contiene nel suo interno un piccolo
programma che viene eseguito durante il bootstrap e che "carica in
memoria" il sistema operativo e traseferisce a quest'ultimo il
controllo del computer. Qualora nel boot sector sai presentre un
virus, il suo codice viene eseguito ad ogni avvio della macchina,
permettendo in tal modo che il programma maligno possa, oltre che
arrecare eventuali danni ai files e programmi, replicarsi e
diffondersi analogamente a quanto - nel modo biologico - virus,
batteri e altri parassiti compiono ad opera del codice genetico
posseduto;
- i virus di programma o di file sono frammenti di codice virale
che si attaccano a programmi eseguibili. Quando si avvia il
programma, il virus viene trasferito alla memoria di sistema e si
può a sua volta riprodurre;
- i virus delle macro sono, al momento attuale, quelli più comuni.
Infettano i file attivati da applicazioni che usano linguaggi
macro, come Microsoft Word o Excel. Il virus assomiglia a una macro
del file e quando questo viene aperto il virus è in grado di
eseguire comandi convenuti con il linguaggio macro delle
applicazioni;
- i virus Multiripartiti hanno caratteristiche comuni sia ai virus
del settore di avvio sia ai virus di file. Possono insidiarsi nei
settore di avvio e diffondersi in seguito alle applicazioni o
viceversa.
Il virus, nelle sue numerose varianti, è quindi sostanzialmente un
programma clandestino, in grado di autoriprodursi, che si attiva ad
una determinata operazione del sistema ovvero quando l'orologio
interno del computer indica una certa data: è stato il caso, ad
es., del celebre "venerdì 13" o Columbus Day(13). La finalità del
virus è di solito distruttiva, ed è per tale motivo funzionale ad
attacchi criminali assai gravi; opera perlopiù cancellando i dati o
molteplicandoli sino a saturare la memoria della macchina
attaccata, sino a collasso operativo; in tal modo può giungere a
sabotare il funzionamento di un sistema, anche molto complesso. A
tal fine sono stati da tempo prodotti e posti in commercio numerosi
programmi di sicurezza, detti antivirus, soprattutto per la difesa
contro le varie forme di virus e altri programmi dannosi.
Un fattore importante da considerare attentamente in relazione a
questi programmi è che sono validi nella misura in cui lo è il loro
database di virus conosciuti. Dal momento che nuovi virus vengono
creati quotidianamente, il database dell'anti-virus deve essere
aggiornato di frequente, quanto meno ogni settimana.
Spesso gli anti-virus si estendono anche a contrastare l'odiosa
invasività dei numerosissimi messaggi indesiderati che pervengono
ad ogni indirizzo mail, fenomeno denominato spamming (cd. programmi
anti-spam); l'intasamento che consegue allo spam può essere non
solo e innocuamente fastidioso, ma provocare la perdita di messaggi
importanti per incapienza della casella mail intasata, e finanche
la perdita di operatività per conseguente blocco del sistema
e-mailing intasato.
Un altro metodo illecito sofisticato, che richiede una certa
competenza e preparazione, è il c.d. "attacco asincrono". Per la
lettura o l'alterazione di dati altrimenti non facilmente
accessibili esso sfrutta le pause tra i vari tempi di elaborazione
dei dati, presenti in tutti i programmi.
Tra le strategie di attacco utilizzate dai soggetti che operano
dall'esterno del sistema informatico vi possono essere
l'utilizzazione abusiva di una linea di comunicazione appartenente
ad un utente autorizzato, nei momenti in cui egli è inattivo, o
anche la intercettazione dei messaggi fra il computer principale ed
un terminale ad esso collegato (c.d. piggy back entry) allo scopo
di alterarli con aggiunte e/o cancellazioni. Con l'uso di
tecnologie molto sofisticate si giunge persino ad intercettare le
emissioni radio generate da un elaboratore elettronico.
Infatti, poiché tutti gli apparecchi elettronici emettono segnali
radio che si propagano in ogni direzione, è possibile, con lo
stesso procedimento mediante il quale dalle onde radio si
ricostruiscono le immagini fotografiche, captare tali impulsi e
decodificarli, anche a distanza di centinaia di metri, avvalendosi
di attrezzature direzionali "a fucile".
Queste sottrazioni di dati vengono spesso perpetrate ai fini di
spionaggio politico od industriale; per questo motivo i computers
delle generazioni più recenti vengono schermati con speciali lastre
di metallo, atte ad impedire quanto più possibile la propagazione
delle onde elettromagnetiche, e altrettanto vale per i cavi di
trasmissione dei dati, mentre gravi problemi di sicurezza
persistono per le reti wireless, maggiormente esposte ad intrusioni
e attacchi di vario genere.
Per difendere le strutture informatiche dai diversi tipi di attacco
esistono sistemi di controllo tecnico atti a creare barriere
elettroniche per bloccare o segnalare eventuali tentativi di
accesso abusivo alle memorie dei programmi o ai dati. All'operatore
viene comunemente richiesta la conoscenza di un codice pin o di una
"password d'ordine" alfanumerica segreta, per accedere al sistema
elaborativo.
Tuttavia l'efficacia delle password è piuttosto limitata, al punto
che la stessa neppure viene considerata un vero e proprio sistema
di sicurezza. Le parole d'ordine infatti vengono individuate con
relativa facilità, perché appaiono sovente banali, sono cambiate
assai di rado (se ne consiglierebbe la sostituzione al massimo ogni
sei mesi) e vengono spesso trascritte su agendine o addirittura sul
terminale stesso dell'elaboratore.
Sono stati creati altresì programmi assai complessi per la
codificazione dei dati, materializzati in piccoli dispositivi, tali
da rendere i dati stessi inaccessibili a chi non sia provvisto
dell'apposita "chiavetta elettronica". Ma questo genere di sistemi,
inespugnabile coi mezzi normali, può astrattamente essere violato
se l'aggressore dispone a sua volta di un computer in grado di
trattare un'elevata massa di dati, motivo per cui sono stati
associati dispositivi di blocco dopo un certo numero di tentativi
infruttuosi di intrusione. In realtà l'allarme crescente e il
sentimento di impotenza determinati dalla diffusione del computer
crime e le ondate di panico quali quella suscitata dai "virus
informatici" hanno alimentato un vero e proprio "mercato della
paura" di cui si avvantaggiano coloro che, non sempre onestamente,
offrono alle aziende e ai singoli operatori programmi e/o sistemi
difensivi estremamente costosi, talvolta di scarsa praticità e
talora poco affidabili. è possibile, come da più parti è stato
ipotizzato, che certi allarmismi, come quello che nell'ottobre '89
coinvolse il mondo intero per la temuta minaccia del c.d. "virus
venerdi 13", siano dolosamente alimentati al fine di imporre sul
mercato nuovi tipi di programmi "difensivi".
La realistica consapevolezza che nessun sistema di difesa potrà mai
garantire una sicurezza assoluta agli apparati di elaborazione,
trattandosi di una continua rincorsa tra chi crea i virus e chi
crea gli anti-virus, ha spinto gli addetti ai lavori a garantirsi
una protezione efficace mediante una adeguata copertura
assicurativa. Già nel 1983 i Lloyd's di Londra diedero vita alla
prima polizza per la copertura dei crimini perpetrati per mezzo del
computer, la LECCP (Lloyd's Electronic and Computer Crime
Policy).
Polizze analoghe sono state introdotte nel nostro paese su
iniziativa di diverse compagnie assicurative ed, in particolare,
nella Polizza Globale Banche, la R.A.S. per prima aveva inserito
una garanzia specifica definita "Frode attraverso sistemi di
elaborazione" che si articolava in 6 punti, coprendo una vasta
gamma di ipotesi di danni causati agli istituti di credito dai
crimini informatici; e altri istituti hanno ampliato tale offerta
assicurativa.
Per il futuro è dunque prevedibile un intervento sempre più
massiccio delle società assicuratrici nella tutela delle aziende
contro i "rischi informatici", ma si tratta di rischi assai
pericolosi, che dovranno essere resi oggetto di attente valutazioni
sotto il profilo risarcitorio.
Nonostante i casi di criminalità da computer ricorrano ormai con
notevole frequenza nelle cronache, non esistono ancora statistiche
ufficiali complete relative alla reale portata del fenomeno, in
quanto il "numero oscuro" assume certamente una grande rilevanza
nell'ambito del computer crime: secondo alcune stime, probabilmente
i casi non accertati o non denunciati costituiscono circa l'85% del
totale.
Tale situazione dipende sia dalla notevole difficoltà (rispetto, ad
esempio, ai vecchi libri contabili cartacei) di controllare
accuratamente le procedure molto complesse delle operazioni svolte,
sia dal comportamento delle stesse vittime del computer crime.
Infatti i dirigenti delle aziende colpite (soprattutto nel caso
degli istituti bancari) spesso evitano di denunciare l'illecito sia
perché la pubblicità negativa potrebbe incidere sul prestigio e
sulla affidabilità (e quindi sul giro d'affari) dell'azienda, sia
perché temono le conseguenze incidentali di indagini di polizia
condotte all'interno degli istituti. In tal senso, può rilevarsi,
per inciso, che si tratta di comportamenti che rientrano nelle
caratteristiche generali delle vittime dei reati "del colletto
bianco".
4. Profili psicologici del computer
criminal: il fenomeno degli hackers
Le peculiarità dei reati informatici hanno reso possibile
l'individuazione di una sorta di identikit del computer criminal,
definito quale individuo sveglio impaziente, molto motivato, audace
ed avventuroso, disposto ad accettare la sfida tecnologica
(Parker).
Tuttavia attualmente pare opportuno introdurre (con tutte le
generalizzazioni del caso) una distinzione di massima fra due
diversi tipi di computer criminals. Nel primo di essi, riferibile
alle forme ormai "classiche" di computer crime, possono venir fatti
rientrare tutti coloro i quali, come dipendenti, agiscono
nell'ambito e ai danni della impresa o ente di appartenenza: si
tratta di soggetti con caratteristiche proprie nell'ambito dei
tradizionali autori di white collar crimes e il cui comportamento è
assimilabile piuttosto alla categoria degli occupational crimes. Le
indagini condotte li descrivono prevalentemente come individui
giovani (fra i 24 e i 36 anni), prevalentemente maschi, esperti di
informatica, audaci ed ambiziosi, con scarsa tolleranza alle
frustrazioni lavorative. Alla base dei loro comportamenti criminosi
vi sono in genere intenti di arricchimento personale, talora di
rivalsa o vendetta contro il datore di lavoro.
Sono invece decisamente diverse le caratteristiche dei c.d. hackers
(intaccatori), di solito adolescenti, di cui tanto spesso si
occupano le cronache più recenti.
Col termine hacker, vengono generalmente indicati quei soggetti
(quasi sempre studenti), che - valendosi di modeste apparecchiature
informatiche e della grande esperienza acquisita - riescono a
violare i sistemi di altri computer, inserendo in memoria frasi
ironiche, oscene o ingiuriose, sottraendo, alterando o distruggendo
dati (in AA.VV., Dizionario di informatica, 171, il termine,
introducibile, designa un hobbista appassionato, esperto
conoscitore dell'apparecchiatura che usa al punto da poterla
modificare e usare in modo proprio). La loro aggressione avviene
"dall'esterno", mediante l'inserimento abusivo in altri sistemi
informatici. La personalità dell'hacker appare del tutto peculiare:
le sue azioni non hanno di solito di un fine di lucro o di
vendetta, ma un insieme di motivazioni più sfumate e complesse,
basate fondamentalmente su un'esigenza di autoaffermazione.
Il fatto di penetrare in un sistema informatico, di alterare o
distruggere una banca dati, è vissuto dall'hacker come una sfida
tecnologica, una dimostrazione di abilità e intelligenza di fronte
a se stessi ed anche rispetto agli altri pirati informatici. La
personalità dell'hacker appare del tutto peculiare: le sue azioni
non hanno di solito un fine di lucro o di vendetta, ma un insieme
di motivazioni più sfumate e complesse, basate fondamentalmente su
un'esigenza di autoaffermazione, spesso non priva di complesse
implicazioni psicologiche.
Il fatto di penetrare in un sistema informatico, di alterare o
distruggere una banca dati, è vissuto dall'hacker come un sfida
tecnologica, una dimostrazione di abilità e intelligenza di fronte
a se stessi ad anche rispetto agli altri pirati informatici. Appare
infatti ormai evidente come quella degli hackers sia una vera e
propria sottocultura, dai confini ancora evanescenti (shadowy
subculture), caratterizzata da un proprio gergo, da un vivace
scambio di informazioni e da un forte spirito emulativo fra i suoi
componenti. Le informazioni circolano soprattutto tramite
l'onnipotente rete che viene vissuta come un fondamentale strumento
di democrazia partecipativa ma piuttosto, per la sua assenza di
regole e norme, è uno smisurato monumento all'anarchia, e
attraverso i c.d. bulletin board, una sorta di "notiziari
elettronici" preparati dagli hackers più esperti e diramati,
tramite le linee telefoniche di collegamento, ai personal computer
di migliaia di altri hackers.
Il mondo chiuso e maniacale dei "virtuosi del computer" è stato
descritto con efficacia da uno dei più importanti esperti mondiali
di programmazione, J. Weizenbaum, il quale, riferendosi a certe
situazioni ricorrenti nei centri di calcolo di tutto il mondo,
parla di una "sindrome di tipo nuovo: la coazione a
programmare".
Coloro che ne sono affetti "lavorano fin quasi a crollare,
venti-trenta ore per volta. Il cibo, qualora se ne ricordino, se lo
fanno portare (..) innanzi al terminale. Se possibile, dormono in
brande vicino al computer. Ma soltanto poche ore, poi di nuovo al
terminale o alle stampanti (…). Esistono, almeno nei periodi in cui
lavorano così, soltanto attraverso e per il computer. Questi sono i
pazzi del computer, i programmatori coatti. Sono un fenomeno
internazionale".
Esistono dei meccanismi psicologici comuni che portano a compiere
con facilità operazioni illecite, sovente senza neppure averne
consapevolezza, oppure perché la loro ingegnosità li fa sentire
meritevoli di poter trasgredire le regole; ovvero infine perché è
comportamento comune a tutti gli hackers ed è come tale fortemente
caratterizzante, dà loro la sicurezza che scaturisce
dall'appartenenza ad un gruppo. Talvolta questi soggetti
distinguono fra il danno arrecato alle persone, percepito e
giudicato immorale ed inaccettabile, e quello causato ad un'azienda
o ad un ente, che, in certe situazioni, non giudicano affatto
riprovevole. è un atteggiamento psicologo brillantemente descritto
da Parker come "sindrome di Robin Hood".
Questi comportamenti rientrano nei processi generali c.d. di
razionalizzazione, autolegittimazione e desensibilizzazione, ben
noti ai criminologici che ne hanno studiato l'importanza in
relazione al problema del passaggio all'atto (acting out) nei
diversi tipi di reato.
Con il termine razionalizzazione s'intende "… un processo di
ricerca di qualche scusa logica riguardo alle tendenze di un
comportamento discutibile, sia per i pensieri che per gli atti, e
per le decisioni ad eseguire un atto".
Grazie alla nazionalizzazione il delinquente riesce a legittimare
il suo atto al punto di non considerarlo più come una violazione
dei valori etico-sociali. Questa autolegittimazione rende il
soggetto attivo inconsapevole del carattere antisociale dell'atto,
aiutandolo a superare l'auto critica ed a allontanare i rimorsi e i
sensi di colpa.
Sempre in una prospettiva di autolegittimazione, il criminale
potenziale può svilire o denigrare la vittima, oppure negarne la
stessa esistenza, riducendola ad un'astrazione o ad un oggetto.
Quest'ultimo è senz'altro il caso dei computer criminals, quando la
vittima è impersonale o indeterminata. In molti casi infatti la
vittima è una astrazione o una finzione legale, come nei delitti
generici contro "l'ordine pubblico", "la salute pubblica", "il buon
costume", ecc.
Se non vi è una persona reale e determinata a soffrire le
conseguenze del reato, le inibizioni e la resistenza morale
all'atto saranno fondamentalmente più deboli. Rispetto, ad es., al
furto commesso ai danni di una persona fisica, quello compiuto ai
danni dello Stato o di una grande impresa commerciale appare
addirittura scusabile, in considerazione delle dimensioni, dei
mezzi finanziari e dell'impersonalità di queste "vittime", che,
oltretutto, sono spesso alquanto impopolari.
è evidente che, nell'ambito dei crimini informatici, la
depersonalizzazione della vittima raggiunge un livello pressoché
assoluto. Le stesse caratteristiche dello strumento elettronico
portano infatti a moltiplicare, in senso simbolico ma anche reale,
le distanze fra il soggetto attivo e la sua vittima, sino ad un
grado di astrazione che può essere massimo, ad es., nel caso di
colui il quale, dalla propria abitazione, tramite un personal
computer, riesce a collegarsi alla rete informatica di un'impresa
commerciale o di un ente pubblico, e a superarne le difese, per
sottrarne denaro o informazioni.
Infine, oltre ai meccanismi psicologici appena descritti, esiste un
ulteriore fatto criminologico assolutamente peculiare al mondo dei
computer: il sentimento di onnipotenza che nasce dal rapporto con
lo strumento elettronico. Riportiamo ancora le incisive e
fondamentali osservazioni di Weizenbaum: "Il programmatore di
computer è creatore di universi di cui egli solo è il legislatore.
Lo stesso, naturalmente, vale per il progettista di qualunque
gioco. Ma universi di complessità virtualmente illimitata possono
venir creati sotto forma di programmi per il computer. Inoltre, e
questo è un punto cruciale, sistemi formulati ed elaborati in quel
modo recitano apertamente i loro copioni programmati. (…) Nessuno
sceneggiatore, nessun regista, nessun imperatore per quanto potente
ha mai esercitato un'autorità così assoluta da organizzare un
palcoscenico o un campo di battaglia e da comandare attori o truppe
tanto fedelmente dediti al loro dovere". "Ci sarebbe di che
stupirsi se l'osservazione di Lord Acton secondo cui il potere
corrompe non si applicasse in un ambiente in cui è così facile
raggiungere l'onnipotenza. E in effetti si applica"(14).
5. Cenni sulla legislazione italiana in
tema di reati informatici
Non può dubitarsi, in effetti, che la diffusione del computer
possa costituire addirittura il terzo momento fondamentale nella
storia culturale dell'umanità, dopo la scoperta della scrittura e
l'invenzione della stampa.
La creazione dei personal computers, risalente alla fine degli anni
'60, ha provocato una diffusione capillare di questo strumento ad
ogni livello della società civile, con le finalità più disparate
(dai videogames a scopo ludico, alle gestioni contabili, alla
gestione di banche dati e alla elaborazione di complicati processi
logici e matematici).
In tutti questi ambiti si è potuto riscontrare che l'avvento
dell'utilizzo del computer ha imposto, con riferimento ad illeciti
e abusi ad essi riconducibili, una ridelineazione di tutte le
fattispecie tradizionali contenute nei codici penali e nelle leggi
speciali penali.
In effetti i computer crimes per le loro metodologie operative, per
gli interessi offesi, per le loro particolarità degli attentati ai
beni protetti, per i particolari connotati delle azioni e delle
omissioni delittuose, si rivelano come ben difficilmente
sussumibili nelle tradizionali fattispecie indicate dal diritto
penale ed imponevano al contrario la elaborazione di tutta una
serie di nuove ipotesi criminose.
L'inadeguatezza della legislazione penale italiana degli anni '80
per comprendere e sanzionare illeciti penali inerenti l'informatica
e la telematica hanno reso necessario elaborare un cosiddetto
diritto penale dell'informatica, predisponendo e coordinando
diritto penale dell'informatica, predisponendo e coordinando figure
autonome di reato che potessero trovare, come puntualmente è
avvenuto, corretta applicazione nei casi di specie.
La normativa italiana ha incominciato a tener conto in maniera
significativa dell'avvento dell'informatica a partire dalla legge
20 maggio 1970, n. 300, cosiddetto Statuto dei Lavoratori,
nell'ambito del quale, all'art. 8, è posto il divieto a carico del
datore di lavoro, ai fini dell'assunzione come nel corso del
rapporto di lavoro, di effettuare indagini anche a mezzo dei terzi
sulle opinioni politiche, religiose e sindacali del lavoratore,
nonché su fatti non rilevanti ai fini della valutazione
dell'attitudine professionale del lavoratore.
Tale norma, diretta in maniera assolutamente apprezzabile a
tutelare la privacy del singolo con riferimento all'ambito di
esplicazione della sua attività professionale, è stata interpretata
dalla giurisprudenza anche con particolare riferimento alle
problematiche informatiche.
Infatti è celebre la sentenza del Pretore di Milano 5 dicembre
1984, nella causa tra i rappresentanti della F.L.M. - Federazione
Lavoratori Metalmeccanici - e la dirigenza della I.B.M. Italia
S.p.A., nell'ambito della quale i primi sostenevano che attraverso
l'utilizzo di strumenti personalizzati di accesso al sistema e
connessi all'applicazione delle mansioni del lavoratore, i
cosiddetti codici individuali, inseriti in un complesso sistema
hardware e software, cosiddetto S.L.R. (Service Level Reporter) -,
era possibile per il datore di lavoro controllare in termini di
quantità e qualità l'attività svolta dal lavoratore,
significativamente verificarne l'orario di inizio e fine
prestazione, pause, tempi morti, etc., operando una possibile
distorsione in ordine a valutazioni di persone e gruppi mediante
dati raccolti e memorizzati sul programma stesso.
Ciò implicava che il programma S.I.R. costituiva, o quantomeno
poteva costituire, un controllo sui lavoratori di tipo storico,
basato su dati memorizzati dal computer utilizzandoli a posteriori,
senz'altro più vessatorio di quello effettuato in tempo reale,
poiché in quest'ultimo il lavoratore sa di essere controllato, cosa
praticamente impossibile nel primo.
La legge 18 maggio 1978 n. 191 ha reintrodotto nel codice penale
l'art. 420 c.p. (fattispecie che era stata abrogata dall'art. 6, L.
2 ottobre 67 n. 895), al fine di punire gli attentati ad impianti
di pubblica utilità, di ricerca e di elaborazione dati.
La giurisprudenza formatasi su tale fattispecie ne ha dilatato i
confini, facendovi rientrare da un lato le aggressioni magnetiche
agli archivi di un centro di calcolo universitario, dall'altro le
manomissioni realizzate mediante programmi abusivi, incidenti
pertanto sulla funzionalità, e non sulla sola materialità del
sistema.
La legge 23 dicembre 1978, n. 833, inerente l'Istituzione del
servizio sanitario nazionale, ha introdotto la creazione di un
libretto sanitario personale fornito gratuitamente a tutti i
cittadini dalle UU.SS.LL., libretto che riporta i dati
caratteristici sulle qualità biologiche e sulla salute
dell'assistito, che comprende anche indicazioni inerenti
l'eventuale esposizione a rischi determinati dalle condizioni di
vita e di lavoro. L'art. 27 di questa legge prevede
l'utilizzazione, a scopo epidemiologico dei dati derivati da queste
acquisizioni informative, da parte dell'Istituto Superiore di
Sanità facendo comunque salvo il segreto professionale, e il
successivo art. 58 affida alle regioni la gestione dei servizi di
informatica in tema.
Estremamente importante ai fini che interessano, è stata la legge 1
aprile 1981, n. 121, Nuovo ordinamento dell'amministrazione della
Pubblica Sicurezza, nella quale l'art. 6 lettera a) attribuisce al
Dipartimento di Pubblica Sicurezza la competenza per la
classificazione e l'analisi, la valutazione e la diramazione agli
organi operativi delle informazioni dei dati che devono essere
forniti anche dalle forze di polizia in materia di tutela della
pubblica sicurezza e di prevenzione e repressione della
criminalità.
Il successivo art. 7 individua tassativamente le fonti di tali
informazioni e dati, che devono inerire documenti conservati dalla
Pubblica Amministrazione, sentenze e provvedimenti dell'Autorità
Giudiziaria, atti istruttori penali o indagini di polizia, con
assoluto divieto di raccogliere dati concernenti unicamente la
razza, la religione, le opinioni, l'attività politica e sindacale,
etc. dei cittadini.
L'art. 8 istituisce poi un centro di elaborazione dati presso il
ministero degli interni relativo ai dati e alle informazioni di cui
agli artt. precedenti, il cui accesso è consentito esclusivamente
agli organi di polizia nonché all'autorità giudiziaria. Di
particolare rilevanza l'art. 10 che prevede una procedura di
correzione di dati che possono essere ritenuti erronei, incompleti
o illegittimamente raccolti, procedura di competenza del Tribunale
e che può essere attivata anche dal cittadino che si ritenga
pregiudicato nei suoi diritti fondamentali di privacy
informatica.
L'art. 12 della legge in esame ha poi introdotto una specifica
previsione di reato informatico per l'ipotesi in cui il pubblico
ufficiale comunichi o faccia uso dei dati ed informazioni in
violazione delle disposizioni della legge 121 o al di fuori dei
fini previsti dalla stessa, illecito sanzionato con la reclusione
da uno a tre anni, ovvero, se il fatto è colposo, con la reclusione
sino a sei mesi.
La legge 31 dicembre 1996 n. 675 (denominata "tutela della persona
e di altri soggetti rispetto al trattamento di dati personali") ha
infatti significativamente modificato, in parte abrogandola, la
legge 121/81 ed ha soprattutto introdotto un sistema normativo
organico in questa delicatissima materia.
La normativa in materia di privacy e protezione dei dati è stata
novellata e riordinata organicamente con il D.Lgs. 30 giugno 2003,
n. 196, il Codice per la protezione dei dati personali, un
imponente testo normativo di oltre 180 articoli, e numerose altre
parti allegate.
Fin dagli anni '80, tuttavia, era emersa in tutta evidenza
l'assoluta inadeguatezza delle fattispecie penali tradizionali di
ricomprendere e sanzionare i reati informatici in senso stretto,
così diversi dalle fattispecie classiche quanto a modalità di
perpetrazione e ai tempi e luoghi degli eventi delittuosi;
correttamente, nel corso della Conferenza Europea sulla lotta alla
criminalità informatica, tenutasi a Roma nel novembre 1990, si
affermò che "fino a questo momento in Italia si è tentato di
applicare ai nuovi fenomeni norme antiche, stirandole, con
operazioni ingegnose di chirurgia
plastico-giuridica"(Sarzana).
La prima legge che operativamente ha cercato di reprimere la
fattispecie dei computer crimes nell'ambito dell'ordinamento
giuridico italiano, può essere considerato il decreto legislativo
29 dicembre 1992 n. 518, che ha ratificato nell'ambito del nostro
ordinamento giuridico la Direttiva CEE 91/250, afferente alla
tutela giuridica del software, cioè di programmi per
computer.
Tale nuova normativa ha introdotto nell'ambito del nostro
ordinamento giuridico, con l'art. 10, l'art. 171 bis della legge
633/1941, legge che tutela nell'ambito del nostro ordinamento il
diritto d'autore. Si è ritenuto cioè di riconnettere in maniera
diretta la tutela giuridica del software alla tutela del diritto
d'autore prevedendo, per l'appunto con l'art. 171 bis, anche una
sanzione di tipo penale che si applica allorquando viene
abusivamente duplicato ai fini di lucro un programma
dell'elaboratore o ai medesimi fini, tale programma viene
importato, distribuito, venduto, detenuto a scopo commerciale o
concesso in locazione(15).
La scelta di proteggere il software con le norme del diritto
d'autore, ispirata alla disciplina statunitense e alle prime
normative U.E. in materia(16), non appare del tutto logica sotto il
profilo concettuale, giacché l'opera d'autore è naturalmente
rivolta verso i terzi, mentre il programma è per sua natura segreto
o quantomeno riservato, essendo invece i suoi frutti (outputs)
rivolti verso i terzi. Sarebbe stato forse più logico proteggere il
software con la normativa di tutela del brevetto, che è protetto di
per sé, pur essendone liberi i frutti. Tuttavia si rendeva
necessaria l'adozione, nell'ambito del nostro ordinamento
giuridico, di un sistema normativo che costituisse uno strumento
generale di prevenzione e repressione della criminalità perpetrata
con l'uso del computer, sotto ogni sua possibile potenziale
accezione, segnatamente sotto il profilo delle falsità, sotto il
profilo delle violazioni delle riservatezze e della privacy, sotto
il profilo delle possibili frodi.
Tale esigenza era rafforzata da una teorica possibilità di abusi ad
altissimo potenziale criminogeno, per mezzo del computer, essendo
connaturata, nella criminalità informatica, la possibilità di
operare con alti livelli di incognito, una sorta di "invisibilità"
della condotta criminosa rispetto all'evento, per quanto si tratti
di un'invisibilità più apparente che reale, sussistendo precisi
strumenti tecnici che possono ricavare le tracce dell'uso di un
computer o di un accesso alla rete anche a dispetto di operazioni
di mascheramento e/o di cancellazione di dati (l'hard-disk conserva
cioè, fino alla sua distruzione fisica, tracce remote di ogni
operazione logica posta in essere dal pc). D'altro canto, il
concetto di territorialità dell'azione criminosa entrò in grave
crisi con l'avvento delle tecnologie telematiche: con ciò s'intende
dire che anche nella buia cantina di un oscuro villaggio di un
qualsiasi paese del terzo mondo, purché vi sia la possibilità di
fruire della energia elettrica o di una linea telefonica, si
possono - con l'uso del computer - realizzare truffe, falsi e
accessi abusivi, da cui possono scaturire eventi devastanti
dall'altra parte del globo o che possono interessare addirittura
interi continenti sotto il profilo degli effetti dell'attentato
criminale; inoltre la gestione del dato attraverso strumenti
informatici garantisce velocità di trasferimento dei dati altissime
e assenze di controlli altrettanto pericolose, giacché di fatto ci
si trova di fronte a potenziali pericoli criminali di portata quasi
incontrollabile.
Il che viene anche a mettere in crisi i concetti di giurisdizione e
competenza a conoscere i fatti criminali, ed è noto come la
giurisdizione sia tema tradizionalmente molto delicato nella
materia penale, che ogni singolo Stato conserva gelosamente tra le
proprie attribuzioni. Si aggiunga infine l'efficacia gravissima dei
potenziali attentati a mezzo di illeciti informatici, connaturata
al fatto che praticamente tutte le grandi organizzazioni pubbliche
e private mondiali hanno basato la propria organizzazione
strutturale e burocratica su strumenti informatici e possono essere
quindi facilmente aggredibili e violabili attraverso quel tipo di
metodologie operative, a dispetto degli sforzi per tutelare la
sicurezza informatica. In questo modo vi è la possibilità con abusi
informatici di accedere a un patrimonio informativo,
amministrativo, contabile e finanziario, di proporzioni
impressionanti.
Per rimediare a tutti questi rischi elevatissimi propri della
società contemporanea, il legislatore italiano ha ritenuto di
elaborare un apposita legge, nei primi anni '90, che introducesse
la nozione di crimini informatici e disciplinasse la legislazione
in materia di computer crimes.
All'estero ciò si era fatto in tempi anche più remoti. Negli Stati
Uniti fin dai primi anni '80 nei singoli stati, e poi con la legge
federale del 1984 (Counterfeit Access Device and Computer Fraud and
Abuse) era stato introdotta una disciplina organica in materia,
perfezionata con la Computer Fraud and Abuse Act, del 6 ottobre
1986 (Public Law 99-474).
In Gran Bretagna il 29 giugno del 1990 era stata promulgata la
Computer Misuse act, una legge specifica in materia, mentre in
Germania, il 5/05/1986, la "seconda legge anti criminalità
economica" (2 WIRK) ha previsto tutta una serie di fattispecie di
repressione degli abusi sui dati informatici, modificando vari
articoli del codice penale (artt. 202, 263, 303, ecc.). In Francia,
addirittura, con la legge 5 gennaio 1988, n. 18-19, si è ritenuto
di porre rimedio al dilagare dei crimini informatici, intervenendo
direttamente sul corpus del codice penale, con l'inserimento di un
nuovo titolo, il terzo del terzo libro, comprensivo di otto
articoli rubricati quali certains infractions en matière
informatique (artt. 462-2/462-9).
La commissione nominata il 4 gennaio 1989 dall'allora Guardasigilli
Vassalli, presieduta da Piero Callà, ha optato per una disciplina
di tipo evolutivo, mediante modifiche ed integrazioni di norme
penali esistenti. Il relativo disegno di legge, presentato al
Senato il 26 marzo 1993 divenne la legge 23 dicembre 1993, n. 547,
denominata "Modificazioni ed integrazioni alle norme del codice
penale e del codice di procedura penale in tema di criminalità
informatica", con la quale si è inteso arginare una vera e propria
falla nell'ordinamento giuridico, giacché la giurisprudenza aveva
constatato da tempo di non poter reprimere reati informatici con
gli strumento propri delle tradizionali fattispecie penali.
Il legislatore, nel disciplinare questa materia, ha utilizzato come
abbiamo visto il modello evolutivo, optando per due criteri
metodologici fondamentali.
Sotto un primo profilo ha ritenuto di operare adattando alle
problematiche informatiche fattispecie già esistenti con mere e
semplici integrazioni. Un esempio significativo di questo modus
operandi del legislatore era costituito dal reato previsto
dall'art. 420 c.p., "Attentato a impianti di pubblica utilità",
sostituito ex novo dall'art. 2 della legge 547/93, con l'aggiunta
altresì di due ulteriori comma che recitano: "La pena di cui al
primo comma si applica anche a chi commette un fatto diretto a
danneggiare o distruggere sistemi informatici o telematici di
pubblica utilità ovvero dati, informazioni o programmi in essi
contenuti o ad essi pertinenti. Se dal fatto deriva la distruzione
o il danneggiamento dell'impianto o del sistema dei dati e delle
informazioni e dei programmi ovvero l'interruzione anche parziale
del funzionamento dell'impianto o del sistema la pena è della
reclusione da tre a otto anni". Tale fattispecie, come vedremo, è
stata peraltro resa oggetto di un nuovo intervento normativo con la
legge 48/2008. Analogamente, nell'ambito della fattispecie di cui
all'art. 392 c.p. (esercizio arbitrario delle proprie ragioni), era
stato aggiunto un secondo capoverso in base al quale "si ha
violenza sulle cose allorquando un programma informatico viene
alterato, modificato o cancellato in tutto o in parte ovvero viene
impedito o turbato il funzionamento di un sistema informatico o
telematico".
Da un secondo punto di vista, forse più interessante dal punto di
vista criminologico, il legislatore ha ritenuto di creare, in
materia di criminalità informatica, tutta una serie di fattispecie
nuove, pur ridelineate su fattispecie giuridiche già esistenti
nell'ambito del Codice Penale Italiano. Sotto questo secondo
profilo, sono individuati 5 livelli fondamentali di tutela,
corrispondenti a 5 tipi principali di interessi lesi dagli
attentati perpetrati medianti illeciti informatici.
Nell'ordine che poi svilupperemo:
- si è ritenuto di individuare il reato di falsità in atti
inerenti documenti informatici con la conseguente elaborazione
della nozione di documento informatico, che è stata di recente
modificata dalla legge 48/2008;
- sono individuate tutte le ipotesi di accessi abusivi a sistemi
informatici con la introduzione degli articoli 615 ter, quater e
quinquies, configurando con felice intuizione la nozione di
domicilio informatico;
- sotto un terzo profilo si è ritenuto di introdurre i reati
contro l'inviolabilità dei segreti sotto il profilo informatico con
la introduzione degli articoli 617 quater, quinquies e
sexies;
- sotto un quarto profilo si è introdotta la nozione di
danneggiamento a sistemi informatici o telematici con la
introduzione dell'art. 635 bis del c.p. e più di recente, con la
novella del 2008, degli artt. 635 ter, quater e quinquies;
- sotto il quinto ed ultimo profilo si è introdotta la nozione di
frode informatica prevista dall'articolo 640 ter del c.p.,
successivamente dall'art. 640 quater, e con la recente novella
dell'art. 640 quinquies.
Tale impostazione concettuale quindi è stata novellata in termini
ampi, rimanendo peraltro confermata la struttura generale, dalla
legge 18 marzo 2008, n. 48 con la quale è stata ratificata la
Convenzione di Budapest del 2001 sulla criminalità informatica, che
ha esteso la responsabilità degli enti per illeciti amministrativi
dipendenti da reato, prevista dalla legge n. 231/2001, anche alla
materia dei reati informatici e ha modificato (ovvero introdotto)
numerosi articoli del codice penale, nei termini che seguono:
- "art. 420 (Attentato a impianti di pubblica utilità). Chiunque
commette un fatto diretto a danneggiare o distruggere impianti di
pubblica utilità (433), è punito, salvo che il fatto costituisca
più grave reato, con la reclusione da uno a quattro anni;
- art. 491 bis (Documenti informatici). Se alcuna delle falsità
previste dal presente capo riguarda un documento informatico
pubblico o privato avente efficacia probatoria, si applicano le
disposizioni del capo stesso concernenti rispettivamente gli atti
pubblici e le scritture private;
- art. 495-bis (Falsa dichiarazione o attestazione al
certificatore di firma elettronica sull'identità o su qualità
personali proprie o di altri). Chiunque dichiara o attesta
falsamente al soggetto che presta servizi di certificazione delle
firme elettroniche l'identità o lo stato o altre qualità della
propria o dell'altrui persona è punito con la reclusione fino ad un
anno;
- art. 615-quinquies (Diffusione di apparecchiature, dispositivi o
programmi informatici diretti a danneggiare o interrompere un
sistema informatico o telematico). Chiunque, allo scopo di
danneggiare illecitamente un sistema informatico o telematico, le
informazioni, i dati o i programmi in esso contenuti o ad esso
pertinenti ovvero di favorire l'interruzione, totale o parziale, o
l'alterazione del suo funzionamento, si procura, produce,
riproduce, importa, diffonde, comunica, consegna o, comunque, mette
a disposizione di altri apparecchiature, dispositivi o programmi
informatici, è punito con la reclusione fino a due anni e con la
multa sino a euro 10.329;
- art. 635-bis (Danneggiamento di informazioni, dati e programmi
informatici). Salvo che il fatto costituisca più grave reato,
chiunque distrugge, deteriora, cancella, altera o sopprime
informazioni, dati o programmi informatici altrui è punito, a
querela della persona offesa, con la reclusione da sei mesi a tre
anni. Se ricorre la circostanza di cui al numero 1) del secondo
comma dell'articolo 635 ovvero se il fatto è commesso con abuso
della qualità di operatore del sistema, la pena è della reclusione
da uno a quattro anni e si procede d'ufficio;
- art. 635-ter (Danneggiamento di informazioni, dati e programmi
informatici utilizzati dallo Stato o da altro ente pubblico o
comunque di pubblica utilità). Salvo che il fatto costituisca più
grave reato, chiunque commette un fatto diretto a distruggere,
deteriorare, cancellare, alterare o sopprimere informazioni, dati o
programmi informatici utilizzati dallo Stato o da altro ente
pubblico o ad essi pertinenti, o comunque di pubblica utilità, è
punito con la reclusione da uno a quattro anni. Se dal fatto deriva
la distruzione, il deterioramento, la cancellazione, l'alterazione
o la soppressione delle informazioni, dei dati o dei programmi
informatici, la pena è della reclusione da tre a otto anni. Se
ricorre la circostanza di cui al numero 1) del secondo comma
dell'articolo 635 ovvero se il fatto è commesso con abuso della
qualità di operatore del sistema, la pena è aumentata;
- art. 635-quater (Danneggiamento di sistemi informatici o
telematici). Salvo che il fatto costituisca più grave reato,
chiunque, mediante le condotte di cui all'articolo 635-bis, ovvero
attraverso l'introduzione o la trasmissione di dati, informazioni o
programmi, distrugge, danneggia, rende, in tutto o in parte,
inservibili sistemi informatici o telematici altrui o ne ostacola
gravemente il funzionamento è punito con la reclusione da uno a
cinque anni. Se ricorre la circostanza di cui al numero 1) del
secondo comma dell'articolo 635 ovvero se il fatto è commesso con
abuso della qualità di operatore del sistema, la pena è
aumentata;
- art. 635-quinquies (Danneggiamento di sistemi informatici o
telematici di pubblica utilità). Se il fatto di cui all'articolo
635-quater è diretto a distruggere, danneggiare, rendere, in tutto
o in parte, inservibili sistemi informatici o telematici di
pubblica utilità o ad ostacolarne gravemente il funzionamento, la
pena è della reclusione da uno a quattro anni. Se dal fatto deriva
la distruzione o il danneggiamento del sistema informatico o
telematico di pubblica utilità ovvero se questo è reso, in tutto o
in parte, inservibile, la pena è della reclusione da tre a otto
anni. Se ricorre la circostanza di cui al numero 1) del secondo
comma dell'articolo 635 ovvero se il fatto è commesso con abuso
della qualità di operatore del sistema, la pena è aumentata;
- art. 640-quinquies (Frode informatica del soggetto che presta
servizi di certificazione di firma elettronica). Il soggetto che
presta servizi di certificazione di firma elettronica, il quale, al
fine di procurare a sé o ad altri un ingiusto profitto ovvero di
arrecare ad altri danno, viola gli obblighi previsti dalla legge
per il rilascio di un certificato qualificato, è punito con la
reclusione fino a tre anni e con la multa da 51 a 1.032 euro.
a. Reati di falsità in atti inerenti documenti
informatici, art. 491 bis del c.p.
Il problema che aveva indotto il legislatore del '93 a creare
questa nuova fattispecie delittuosa è legato alla inutilizzabilità
della tradizionale definizione in materia penalistica di documento
(consistente nella scrittura, incorporazione in carta e
sottoscrizione), all'ipotesi di alterazione di dati informatici,
pur idonei a ingannare la fede pubblica(17).
Conseguentemente il legislatore ha dovuto introdurre, nell'art. 491
bis, la nozione di documento informatico, originariamente
qualificato come qualunque supporto informatico contenente dati o
informazioni aventi efficacia probatoria o programmi
specificatamente destinati ad elaborarli. La legge 48/2008 ha
modificato tale impostazione, sopprimendo ogni riferimento a
supporti o programmi destinati ad elaborarli: in tal modo, oltre ad
esaltarsi il contenuto di virtualità della nozione di documento
informatico, sganciandolo da qualsiasi riferimento di materialità
legato al supporto su cui il dato viene trasferito, ha consentito
di armonizzare la nozione con quella già contenuta negli art. 1 e
20 del d.l.vo n. 82/2005 (Codice dell'Amministrazione Digitale),
con esclusione quindi di pericolosi equivoci interpretativi.
Quindi i due requisiti del documento informatico sono da un lato
l'efficienza probatoria e dall'altro lato che il documento
informatico per contenuto e/o fini riproduca o si riconduca ad un
atto tutelato in sede penale (atti pubblici, certificazioni,
attestazioni, copie). Le pene previste per questo tipo di reato di
falso informatico sono assolutamente corrispondenti ai reati di
falso cartaceo, giacché l'art. 491 c.p., prima parte, dispone che
se alcuna delle falsità del presente capo riguardano il documento
informatico pubblico o privato, si applicano le disposizioni del
capo stesso concernenti rispettivamente gli atti pubblici e le
scritture private.
Il legislatore del 2008 ha introdotto con l'art. 495 bis c.p., una
fattispecie ex novo, che punisce con la reclusione fino ad un anno
chi dichiara o attesta falsamente l'identità, lo stato o altre
qualità della propria e dell'altrui persona al soggetto che presta
servizi per la certificazione della firma elettronica.
b. Reati di accesso abusivo
Di straordinario interesse sotto il profilo "culturale" e delle
problematiche criminologiche connesse alla criminalità informatica,
sono i cosiddetti reati di accessi abusivi a sistemi informatici o
telematici, che nell'ambito del nostro ordinamento sono ricollegati
strettamente e conformati alla legislazione in materia di
violazione di domicilio.
La stessa collocazione topologica di questa fattispecie, dagli
articoli 615 ter in poi, si riconnette al reato di violazione di
domicilio che immediatamente precede. Attraverso la rielaborazione
di questa fattispecie, viene a enunciarsi la nozione di cosiddetto
"domicilio informatico", la cui violazione per l'appunto
costituisce l'accesso abusivo, intesa proprio come violazione di
domicilio "informatico".
Il problema del domicilio informatico è un problema tuttora aperto
nella dottrina penalistica e criminologica, giacché luogo o
domicilio può essere considerata sia l'ubicazione materiale
dell'hardware, sia anche il luogo ove l'hardware o il sistema
esplica in termini operativi e progettuali la sua realtà ed
effettività quale entità immateriale, individuata da un complesso
di informazioni che possono operare in tempi e luoghi talvolta
anche molto lontani da quella che è la collocazione materiale dello
strumento.
La tutela del domicilio informatico si ricollega alla privacy di
questo domicilio, che spetta a qualsiasi cittadino e alla libertà
informatica, cioè alla libertà di operare lecitamente all'interno
del domicilio informatico e di escluderla a terzi soggetti non
graditi.
La prima fattispecie che viene delineata nell'ambito di questa
categoria è quella, prevista dell'art. 615 ter, che disciplina
l'accesso abusivo al sistema informatico o telematico e che è
fattispecie tesa a prevenire il fenomeno grave degli hackers, cioè,
come abbiamo visto, di quei personaggi che, con motivazioni
assolutamente diverse, si introducono abusivamente in sistemi
informatici e telematici, talvolta anche di straordinaria
importanza. Citiamo per esempio e per tutti il caso del celebre
film War games, che, visto molti anni fa come una situazione
assolutamente estrema e quasi paradossale, in realtà descriveva
situazioni che si possono verificare spesso nella concretezza
attuale degli eventi.
Questa fattispecie nell'ambito del nostro ordinamento giuridico può
consistere sia nella introduzione abusiva all'interno del sistema
sia nel mantenimento contro la volontà espressa o tacita del
titolare e comunque questo criterio di tutela è limitato ai
cosiddetti "sistemi protetti", concetto assolutamente fluido, anche
nella giurisprudenza che si è formata su questa normativa, giacché
non si è dato a capire esattamente se, sotto tale profilo, la
protezione al sistema possa consistere soltanto in una mera parola
d'accesso (cd. key o password) oppure se sia necessario un vero e
proprio programma di protezione, come ad esempio esiste sulla rete
informatica Internet con i sistemi firewall (cioè muro di fuoco).
Va precisato che la giurisprudenza più recente ritiene l'idoneità
di una semplice parola d'accesso, di una parola chiave, a fornire
una vera e propria protezione al sistema e cioè affinché vi sia
tutela penale, non è necessario che esista un vero e proprio
sistema di sicurezza del bene informatico protetto, come si
riteneva nella giurisprudenza più datata, ponendosi in tal caso, a
carico della vittima, notevoli oneri sotto il profilo
dell'autotutela difensiva.
Comunque è assolutamente irrilevante il danno che si venga
effettivamente a provocare a seguito dell'accesso abusivo, dal
momento che si tratta di un vero e proprio, tipico reato di mero
pericolo: quindi se anche all'accesso abusivo non conseguisse alcun
tipo di danno a carico della vittima, il reato si integrerebbe
ugualmente. Il successivo art. 615 quater prevede la detenzione e
diffusione abusiva di codici di accesso a sistemi informatici e
telematici, quindi ancora una volta con diretto riferimento e
limitazione della tutela penale ai soli sistemi protetti. Infine
l'art. 615 quinquies prevedeva la diffusione abusiva di programmi
diretti a danneggiare o a interrompere un sistema
informatico.
La fattispecie è stata rimodellata dalla legge 48/2008, con una
formulazione molto più ampia della condotta punibile, ed estesa non
solo alla diffusione di programmi bensì anche di apparecchiature e
dispositivi diretti a danneggiare o interrompere un sistema
informatico e telematico. Si tratta di una previsione normativa
decisamente più efficace per il contrasto al fenomeno diffusissimo
dei cosiddetti virus che consistono, come abbiamo visto, in
programmi che, con diverse metodologie operative e diversi livelli
di diffusione, sono tesi a danneggiare, interrompere o comunque
paralizzare l'operatività di un sistema informatico protetto.
Anche in questo caso, ci troviamo di fronte a un reato di pericolo
in cui è assolutamente irrilevante il danno che effettivamente
venga a conseguire al sistema protetto e, con riferimento a questa
specifica fattispecie, va evidenziata non soltanto la natura di
reato di pericolo, ma anche la punibilità anticipata rispetto al
danno provocato al programma, giacché la sanzione legata alla
diffusione, alla comunicazione o alla consegna del programma
informatico infetto, effettuata naturalmente dolosamente, e quindi
di fatto anticipata rispetto al danno che effettivamente venga a
conseguire al programma infetto.
c. Reati connessi all'inviolabilità dei segreti e alla
tutela della privacy inerente le comunicazioni informatiche o
telematiche
Sotto questo profilo, la legge 547 del '93 ha introdotto gli
artt. 617 quater, quinquies e sexies, che prevedono rispettivamente
intercettazioni, impedimenti o interruzioni illecite di
comunicazioni informatiche o telematiche; le istallazioni di
apparecchiature atte ad intercettare, impedire o interrompere
comunicazioni informatiche o telematiche; ed infine la
falsificazione, la alterazione o soppressione del contenuto di
comunicazioni informatiche o telematiche. Ancora una volta abbiamo
una tipologia di reati che sono legati anche topograficamente
(essendo collocati immediatamente dopo) ai reati connessi alle
illecite interferenze nella vita privata dei cittadini, e non sono
stati resi oggetto di modifiche ad opera della recente
novella.
d. Reati di danneggiamenti a sistemi informatici o
telematici
Si tratta della materia in cui più significativamente ha inciso
la novella di cui alla legge 48/2008. Subito dopo alla fattispecie
di cui all'art. 635 c.p., reato di danneggiamento, la legge 547
aveva introdotto la fattispecie di danneggiamento informatico,
consistente nella distruzione oppure nella deteriorazione o
comunque nel render inservibile un sistema informatico o telematico
altrui ovvero di programmi, informazioni o dati altrui. Si trattava
di una classica ipotesi in cui il legislatore riuscendo
difficilmente a ricollegare il reato di danneggiamento alla
distruzione o al danneggiamento di dati informatici che, in sé e
per sé, concepiti come mero dato (a maggior ragione oggi, dopo il
venir meno del riferimento al supporto informatico nella nozione di
documento informatico), potrebbero essere quasi insuscettibili di
una valutazione di tipo patrimoniale (se non ricollegata alla
operatività del sistema nel suo complesso), ha ritenuto
correttamente di prevedere una ipotesi specifica che consentisse di
offrire una risposta precisa ad aggressioni a sistemi informatici
altrui, relative ai danneggiamenti.
In precedenza, ma con evidente forzatura ai limiti dell'analogia
legis, si era ritenuta configurabile in questi casi anche la
fattispecie di esercizio arbitrario delle proprie ragioni - Trib.
Torino, 12 dicembre 1983, in Foro M., 11, 352, oltre alla classica
ipotesi di danneggiamento, ove le alterazioni dei programmi
avessero reso inservibile l'intero sistema (Pret. Torino, 23
ottobre 1989, in Giur. Pen., 1990, 11, 463). Anche in questo caso
specifico, assai pregnante era il riferimento alla nozione di
sistema protetto, giacché il danneggiamento, per le sue metodologie
operative e per il modo in cui viene ad essere perpetrato, di fatto
impone la necessità di una protezione di qualsiasi sistema
informatico, indipendentemente dal livello di protezione dello
stesso.
La legge 48 del 2008 ha modificato significativamente questa
specifica normativa, introducendo quattro fattispecie nuove (una
nuova versione dell'art. 635 bis, ed inoltre gli artt. 635 ter,
quater e quinquies), e modificando anche l'art. 420 del c.p.,
espungendo dallo stesso ogni riferimento a fatti diretti a
danneggiare o distruggere sistemi informatici o telematici di
pubblica utilità ovvero dati, informazioni o programmi in essi
contenuti o ad essi pertinenti, essendo tali condotte previste oggi
dai nuovi artt. 635 ter e quinquies.
Il legislatore ha voluto scindere due situazioni fondamentali: il
danneggiamento di informazioni, dati e programmi, da un lato e il
danneggiamento di sistemi dall'altro; nel primo caso, la condotta è
punita con l'art. 635 bis, e, se si riferisce a informazioni,
programmi o dati utilizzati dallo Stato o altri enti pubblici,
dall'art. 635 ter.
Il danneggiamento di sistemi informatici o telematici invece è
punito dall'art. 635 quater, ovvero, se i sistemi sono di pubblica
utilità, dall'art. 635 quinquies.
e. Reati di frode informatica
Assolutamente paradigmatica è la possibilità di sussumere nella
fattispecie classica di truffa le ipotesi di frode informatica. La
fattispecie di cui all'art. 640 c.p. è una delle fattispecie che
maggiormente è entrata in crisi con l'avvento della evoluta
criminalità economica, giacché la formulazione letterale dell'art.
640, dalla necessità di piena prova degli artifizi e dei raggiri
all'artificiosità dolosa del comportamento fraudolento, di fatto ha
reso questa fattispecie scarsamente efficace nell'ambito della
repressione dei fatti criminali economici. Questa scarsa
operatività era divenuta addirittura nulla e inesistente in materia
informatica, giacché, soprattutto in questa materia, vi era una
esigenza nuova e moderna di repressione di queste forme di
criminalità fraudolenta, determinata dalla irriducibilità al reato
di truffa di tutti gli illeciti non connotati da inganno alla
persona fisica o giuridica e comunque non connotati da tradizionali
forme di artifizi o raggiri. Il reato di cui all'art. 640 ter ha
posto rimedio a questo vuoto legislativo e stabilito, per quanto
riguarda la frode informatica, precise modalità commissive che
possono consistere:
- nella alterazione, in qualsiasi modo, del sistema di
funzionamento di un sistema informatico o telematico, o comunque,
oppure,
- nell'intervento abusivo, anche in questo caso perpetrato in
qualsiasi modo e con qualsiasi modalità, comunque senza diritto, su
dati, informazioni o programmi contenuti in un sistema telematico o
informatico o ad esso pertinente.
A queste due modalità commissive deve associarsi invariabilmente
l'ingiusto profitto e l'altrui danno, giacché in questa sorta di
reato il contenuto patrimoniale deve essere considerato come
elemento peculiare ed essenziale.
è prevista la procedibilità a querela, salve le ipotesi aggravate
in cui si procede d'ufficio. Con l'introduzione di questa
fattispecie si è chiarito definitivamente anche il rapporto tra
comportamenti fraudolenti informatici e altre fattispecie presenti
nell'ambito del sistema penalistico italiano; si è per esempio
stabilito in maniera definitiva che tra l'art. 640 ter c.p. e il
delitto previsto dall'art. 12 L. 197/91 (cosiddetta frode
informatica con carte di credito o analoghi), sussiste un rapporto
di specialità nel senso che l'art. 12 della legge 197/91
evidentemente è speciale rispetto all'art. 640 ter del c.p. e
pertanto, qualora si integrino comportamenti delittuosi fraudolenti
con carte di credito, è questa specifica fattispecie che deve
essere applicata.
Inoltre attraverso l'introduzione dell'art. 640 ter del c.p. si è
chiarita definitivamente la disputa dottrinale che vedeva in questi
comportamenti l'applicabilità non tanto originaria del reato di
truffa, quanto piuttosto del reato di furto con mezzi fraudolenti:
si trattava di una questione che in dottrina era estremamente
aperta, al punto che si riteneva che il reato di furto con mezzi
fraudolenti, di fatto, riflettesse in maniera più propria, rispetto
alla genericità dell'ipotesi di truffa, l'ipotesi di frode
informatica, ma con l'avvento di questa nuova normativa si può
senz'altro affermare che il problema può considerarsi
superato.
La recente novella del 2008 ha introdotto un'ulteriore fattispecie,
ancora una volta legata (come l'art. 495 bis) alla figura del
certificatore della firma elettronica, il quale violi, al fine di
trarre profitto o arrecare altrui danno, gli obblighi previsti
dalla legge per il rilascio di certificato qualificato: in tali
casi, lo stesso è punibile con la reclusione sino a tre anni (e la
multa da euro 51 a euro 1.032).
La legge n. 48/2008 ha infine novellato norme procedimentali e
processuali di notevole importanza, specie in tema di ispezioni
(art. 244 c.p.p.), perquisizioni (artt. 247-248, 353-354 c.p.p.) e
sequestri (artt. 254, 254 bis, 256, 2579, 260 c.p.p.), al fine di
consentire un appropriato sistema di ricerca e acquisizioni
probatorie, affidando le indagini alla competenza dell'ufficio del
Pubblico Ministero presso il Tribunale sito nel capoluogo del
distretto ove ha sede il giudice competente (art. 51 c. 3 quinquies
c.p.p.).
Conclusivamente, nel commentare le modifiche alla legge 547/93
introdotte dalla legge 48/2008, verrebbe da dire che i problemi di
ieri sono risolti, ma le soluzioni di oggi sono già superate: può
infatti essere considerata una legge di buona qualità, ma non si
deve dimenticare che costituisce la ratifica di una Convenzione
risalente a circa 7 anni fa, un tempo enorme nella dimensione e
nell'evoluzione digitalica; come pure si deve peraltro constatare
un limitato contrasto giudiziario a fenomeni illeciti di enorme
diffusione, forse anche per la particolare tecnicità e ingegnosità
criminale nell'uso delle tecnologie informatiche, nonostante
l'impegno operativo della Polizia Postale, che ha incentrato su di
sé specifiche professionalità e operatività in questa delicata
materia, nonchè dell'Arma dei Carabinieri e della Guardia di
Finanza. Quindi è assolutamente necessario che negli organi di
Polizia Giudiziaria e negli organi di Magistratura, specie in prima
battuta in quelli requirenti, vengano diffuse in maniera
estremamente più accurata e peculiare le conoscenze specifiche atte
a prevenire una forma così insidiosa di criminalità, che sono
conoscenze analitiche di tipo scientifico-informatico, sotto un
profilo sia tecnico sia sociologico-culturale.
Nella società civile post moderna del terzo millennio è dato ovvio
e ineludibile un generale ricorso alle tecnologie informatiche e
telematiche, essendo veramente anacronistico l'utilizzo esclusivo
di supporti cartacei; e, nel mentre si rende assolutamente
indispensabile il ricorso all'adozione di tecnologie di tipo
informatico/telematico, diviene decisiva la problematica non solo
della conoscenza accurata nell'uso di tali tecnologie, ma anche e
soprattutto la protezione complessiva dei sistemi e dei dati, al
fine di poter ipotizzare ed accertare eventuali comportamenti
abusivi e illeciti posti in essere, con forme vieppiù evolute e
raffinate, mediante questo tipo di metodologie criminali.
La conoscenza e l'applicazione dell'informatica e della telematica
può consentire altresì all'amministrazione della giustizia, in
enormi difficoltà pratiche ed organizzative, di ritrovare un minimo
di efficienza con costi tutto sommato contenuti e può consentire
un'importante azione di prevenzione e contrasto di potenziali
attentati alla convivenza civile, specie perpetrati con questo tipo
di strumenti: costituirebbe errore gravissimo sottovalutare la
cultura del computer e le sue potenzialità ampissime, così come
costituisce errore madornale sopravvalutare esageratamente,
trasformandolo in un "idolo", questo importante strumento creato
dall'intelligenza dell'Uomo, perché il suo stesso abnorme utilizzo
può determinare deviazioni e pericoli "culturali" rilevanti, che
dovranno essere oggetto di attente riflessioni di antropologi e
giuristi.
Approfondimenti
(*) - Ringrazio l'Avv. Alessandro Faldon per le preziose
considerazioni in tema d'internet e gestione d'impresa.
(1) - Vengono chiamate smart drugs alcune sostanze, di larghissima
diffusione nelle giovani generazioni,non vietate dalla legislazione
penale, che presentano effetti eccitanti, euforizzanti e
asseritamenteafrodisiaci, sovente caratterizzati dal fatto di avere
un'origine naturale (consistono generalmentein semi, foglie, funghi
secchi, spore, capsule, liquidi da inalare, ecc.). Oggetto di una
squallidaattività di marketing, in cui si confonde volutamente il
concetto di naturale (e tradizionale)con quello di innocuo, sono il
frutto di una vera e propria speculazione sulle classi giovanili,
chesi diffonde soprattutto tramite l'e-commerce su internet, i cd.
smart shop, e canali individuali.L'Istituto Superiore di Sanità,
nel 2007, ne ha coniata una lista minima, composta da 25
sostanze,tutte pericolose, specie se mescolate tra loro, ovvero ad
alcool o a droghe penalmente illecite.
(2) - Sulla vulnerabilità della moderna società informatizzata e
sull'individuazione dei settori cd. critici,cfr.: SARZANA di S.
IPPOLITO C., Informatica e diritto penale, Giuffrè, Milano,
1994.
(3) - BORRUSO R. e altri, Profili Penali dell'Informatica, Giuffrè,
Milano, 1994, pag. 4.
(4) - Cfr.: TRAVERSI A., Il diritto dell'informatica, Ipsoa,
1990.
(5) - Cfr.: DEVOTO G., OLI G.C., Vocabolario della lingua italiana,
Le Monnier, Firenze, 1979.
(6) - Cfr.: PARKER D.B., Crime by computer, New York, 1976;
TIEDEMANN K., Criminalità da computer,in POLITICA DEL DIRITTO,
1984, 4, 616.
(7) - Cfr.: SIEBER U., The International Handbook on computer
crime, WILEY AND SONS, 1986.
(8) - LENCKNER T., ComputerKriminalitat und Vermogensdelikt,
Heidelberg, 1981.
(9) - Cfr.: CORRERA M.M. e MARTUCCI P., I reati commessi con l'uso
del computer, Cedam, Padova, 1986.
(10) - QUINNEY E. R., The study of White Collar Crime: Toward a
Reorientation in Theory andResearch, in JOURN OF CRIMINAL LAW,
CRIMINOLOGY AND POLICE SCIENCE, 1964, 55, 208.
(11) - HOROSZWKI P., White Collar Crime: A Special Opportunity
Crime, Compte-rendu des travauxde journees d'etudes
"Criminalisation et infractions financieres, economiques et
sociales",INSTITUTE DE CRIMINOLOGIE DE LILLE, 1976.
(12) - Il modem (modulatore-demodulatore) consiste in uno
strumento, oggi incorporato nel pc,che consente a più computer di
comunicare tra loro mediante una linea telefonica.
(13) - Tra il 12 e il 13 ottobre 1989, in effetti, avrebbe dovuto
diffondersi repentinamente un virusidoneo a paralizzare i sistemi
informatici di tutto il mondo. In realtà, a fronte di un
allarmeenorme, si verificarono solo modesti inconvenienti in
Svizzera e in Gran Bretagna.
(14) - WEIZENBAUM J., Il potere del computer e la ragione umana,
Ed. Gruppo Abele, Torino, 1987.
(15) - Cfr.: amplius TRIBERTI C., CUOMO N., La tutela giuridica del
software, in Corr. Giur., 1993, 4, 408 ss.
(16) - Trattasi della Direttiva n. 91/250 del 31 maggio 1991 sulla
protezione dei programmi perelaboratore.
(17) - Cfr.: EDIFORUM, Schema di legge per il riconoscimento del
documento informatico, in DIR. DELL'INFORMAZIONEE DELL'INFORMATICA,
1993, 11, 331. |
