Accesso abusivo e danneggiamento dei sistemi informatici: aspetti criminologici e giuridici

Transcript

1 Master Interfacoltà di II Livello in SCIENZE FORENSI Criminologia-Investigazione-Security-Intelligence) Facoltà di Farmacia e Medicina Facoltà di Medicina e Odontoiatria Direttore: Prof. Mario Fioravanti - Coordinatore Scientifico: Prof. Francesco Bruno Coordinatore Didattico Scientifico: Avv. Prof. Natale Fusaro TESI DI MASTER Accesso abusivo e danneggiamento dei sistemi informatici: aspetti criminologici e giuridici Relatore: Chiar.mo Prof. GERARDO COSTABILE Candidato: Dr.ssa FRANCESCA MILAN ETTI Anno Accademico

2 ACCESSO ABUSIVO E DANNEGGIAMENTO DEI SISTEMI INFORMATICI:ASPETTI CRIMINOLOGICI E LEGISLATIVI Indice generale Introduzione...1 Capitolo Primo...3 I REATI INFORMATICI: FENOMENOLOGIA E QUESTIONI PENALISTICHE Metodi di intrusione nei sistemi e nelle reti Programmi dannosi e sabotaggi informatici Alcuni reati informatici impropri Principali problemi di diritto penale sostanziale e processuale Osservazioni sul piano sostanziale: i beni informatici Altre discrasie tra gli istituti di parte generale e i cybercrime Difficoltà e tecniche specifiche nelle indagini sui reati informatici...30 Capitolo Secondo...41 LA NORMATIVA ITALIANA SUI REATI INFORMATICI Il primo cybercrime in senso stretto: l'accesso abusivo a un sistema informatico o telematico (art. 615 ter c.p.) Il secondo cybercrime "vero e proprio": il danneggiamento informatico nella disciplina degli artt. 635 bis, ter, quater e quinquies c.p Altre norme penali relative ai cybercrime in senso stretto: Il reato "satellite" dell'accesso abusivo: la diffusione di codici d accesso art. 615 quater c.p Due fattispecie connesse al danneggiamento di sistemi informatici e telematici: l'art. 392 c.p. e l'art. 615 quinquies c.p Nuovi spazi per il diritto penale: il furto d'identità digitale e il phishing La qualificazione penalistica dell'identity thef Origine ed evoluzione del concetto di Privacy in Italia La Privacy in Europa.103

3 Capitolo Terzo IL CONTRASTO INTERNAZIONALE ALLA CRIMINALITA INFORMATICA: VERSO UNA POLITICA DI CYBER SECURITY Le innovazioni sulla cooperazione contro i reati informatici transnazionali L'azione dell'unione Europea: la Decisione Quadro sugli attacchi informatici 2005/222/GA Le iniziative UE successive alla Decisione Quadro del Verso una politica di Cybersecurity Italian Report on Cyber Security: Critical Infrastructure and Other Sensitive Sectors Readiness I principi strategici della politica di Cibersecurity La situazione in Italia 133 Conclusioni finali BIBLIOGRAFIA GIURISPRUDENZA

4 INTRODUZIONE Lo sviluppo delle tecnologie informatiche e telematiche ha originato fenomeni quali l ecommerce, l e-government, l home-banking, il trading online e tante altre attività che rappresentano il mutamento della società e dei rapporti sociali. Oggi la maggior parte delle attività sociali, lavorative e di svago passano attraverso le reti telematiche ed i sistemi informatici. Se quanto detto vale per ogni attività umana, ha altrettanta valenza anche per le attività illecite. Così, nella cultura giuridica italiana si è cominciato ad affrontare il problema della tutela del diritto dell individuo dalla indebita utilizzazione delle tecnologie di cui sopra e, di conseguenza, dalle illegittime interferenze nella sfera privata attraverso l uso degli strumenti informatici. Scrivendo questa tesi, ho ritenuto doveroso infilare le mani nella melma dell underground informatico, per comprendere le motivazioni che spingono alcuni individui a dedicare la propria vita all ideale informatico della libertà dell informazione, a quei pirati dei nostri giorni che si chiamano hacker. In questo studio ho scoperto la presenza di un variegato mondo in cui si alternano personaggi più o meno temibili, nati dalla degenerazione del primigenio ideale hacker. Si tratta dei malicius hacker e di tutte quelle figure malevole che dispongono di una forte carica criminale e distruttiva. Il fascino emanato da queste oscure figure mi ha portato a dedicargli un paragrafo di questa trattazione, dopo aver trattato del fenomeno in generale e delle categorie e modalità di commissione dei reati informatici. Immediatamente dopo ho ritenuto opportuno trattate le più importante legge italiana contro i computer crime, la legge 547 del 23 dicembre 1993, poi modificata con la Legge n.48 del 2008 soffermandomi in modo dettagliato sui reati di l accesso abusivo ad un sistema informatico o telematico, la detenzione e diffusione abusiva di codici di accesso a sistemi informatici e telematici e la diffusione di programmi diretti a danneggiare o interrompere un sistema informatico. 1

5 L accesso abusivo ad un sistema informativo automatizzato è l argomento che ha maggiormente affascinato ed interessato il mondo degli hacker e, di conseguenza, la giurisprudenza e la dottrina. Ho analizzato quindi le varie teorie elaborate intorno a questo crimine, dal domicilio informatico alla tutela della integrità dei dati e sistemi informatici, della riservatezza dei dati e della riservatezza informatica, fino alla tutela della Privacy. A quest ultimo argomento mi soffermo analizzando per intero il Codice della Privacy con il Dlgs.196. del L ultimo capitolo viene dedicato al contrasto internazionale alla criminalità informatica analizzando per prima le iniziative europee con l analisi della Decisione Quadro sugli attacchi informatici 2005/222/GAI per poi allargare il problema della criminalità informatica su un ambito internazionale alla luce di una politica di cyber security e di principi strategici che gli Stati attuano per contrastare appunto il cyber crime. 2

6 CAPITOLO PRIMO I REATI INFORMATICI: FENOMENOLOGIA E ASPETTI GIURIDICI SOMMARIO: 1 Metodi di intrusione nei sistemi e nelle reti; 2 Programmi dannosi e sabotaggi informatici;.3 Alcuni reati informatici impropri ;.4 Principali problemi di diritto penale sostanziale e processuale;4.1 Osservazioni sul piano sostanziale: i beni informatici ;4.2 Altre discrasie tra gli istituti di parte generale e i cyber crime;5 Difficoltà e tecniche specifiche nelle indagini sui reati informatici. Quando si parla di diritto penale dell'informatica, la prima impressione che si avverte è un certo spiazzamento, come se si trattasse di una materia appena introdotta nell'ordinamento italiano; eppure, il testo normativo di riferimento, vale a dire la legge n. 547 del 1993, ha già compiuto diciotto anni. Il vero problema di questa legge è comprendere di cosa essa si occupi di preciso. In altre parole, occorre avere almeno una minima conoscenza pratica dei comportamenti che il Legislatore intende reprimere. La legge del 1993 ha infatti introdotto nel c.p. le prime disposizioni volte a incriminare i reati informatici 1 ; alcune di queste previsioni sono state parzialmente modificate dalla legge 48/2008, che ratifica la Convenzione Cybercrime, conclusa a Budapest il 23 novembre 2001 in seno al Consiglio d'europa. É ormai constatazione ovvia che le tecnologie informatiche siano diventate insostituibili in ogni ambito dell'economia, dell'amministrazione e della vita quotidiana; la consapevolezza dei rischi ad esse collegati, invece, è scarsamente diffusa tra gli utenti, i quali spesso dimenticano di approntare anche gli accorgimenti minimi per la sicurezza dei dispositivi. 2 1 La legge 547 del 1993 ha in parte inserito nuove disposizioni nel c.p., in parte ha aggiunto commi ad articoli preesistenti. Per quanto riguarda le fattispecie create ex novo abbiamo: art. 491 bis (falso informatico), art. 615 ter (accesso abusivo a un sistema informatico o telematico), art. 615 quater (detenzione e difusione abusiva di codici d'accesso a un sistema informatico o telematico), art. 615 quinquies (difusione di programmi diretti a danneggiare o interrompere un sistema informatico), art. 617 quater (intercettazione, impedimento o interruzione illecita di omunicazioni informatiche o telematiche), art. 617 quinquies (installazione di apparecchiature atte a intercettare, impedire o interrompere comunicazioni informatiche o telematiche), art. 617 sexies (falsificazione, alterazione o soppressione del contenuto di comunicazioni informatiche o telematiche), art. 623 bis (rivelazione di comunicazioni telematiche), art. 635 bis (danneggiamento di sistemi informatici e telematici), art. 640 ter (frode informatica). Le norme previgenti, aggiornate all'avvento delle tecnologie informatiche, sono invece: art. 392 (esercizio arbitrario delle proprie ragioni mediante danneggiamento informatico), art. 420 (attentato a sistemi elettronici di pubblica utilità), art. 616 (violazione di corrispondenza telematica), art. 621 (rivelazione del contenuto di documenti segreti su supporti informatici). 2 Internet Security Threat Report 2011, redatto dalla società di sicurezza informatica Symantec e reso pubblico sul sito ufficiale: 3

7 Ai fini del diritto penale occorre non solo tenere in considerazione i rischi connessi alla tecnologia informatica, ma anche acquisire alcune nozioni di base sul suo funzionamento, in modo da saper distinguerne l'uso dall'abuso, ossia, in termini penalistici, apprezzare il grado di offensività delle condotte realizzabili con tali mezzi. Innanzitutto, la parola "informatica" significa trattamento automatico delle informazioni: questa definizione, in apparenza superflua, fa sì che siano compresi nell'alveo dei reati informatici sia i comportamenti diretti a computer o reti di computer (Internet in primis), sia quelli rivolti ad altri apparecchi elettronici, come gli sportelli Bancomat, i telefoni cellulari di ultima generazione (cd. smartphone), le nuove carte di credito e debito (contenenti tutte un microchip) e così via. Per questo motivo è da rigettare la denominazione di "computer crimes", talvolta utilizzata come sinonimo di reati informatici, poiché essa suggerisce un'idea riduttiva e non rispondente alla realtà normativa, cioè che la tutela penale abbia ad oggetto soltanto i computer; per il motivo opposto, cioè per l'eccessiva dilatazione dell'oggetto, non è condivisibile nemmeno la categoria di "high-tech crime"proposta, al pari di quella dei "computer crimes", dalla dottrina di common law. Con la graduale massificazione dell'uso delle tecnologie informatiche, grazie soprattutto all'introduzione del personal computer negli anni Ottanta, i problemi legati all'abuso dei nuovi strumenti aumentarono in modo esponenziale. In primo luogo, è andata affermandosi una sorta di "sottocultura" (non necessariamente criminale) nel mondo giovanile: l'hacking, che in estrema sintesi può riassumersi nell'idea per cui tutti abbiano diritto a condividere ogni informazione contenuta nei computer, anche a costo di accedere nei dispositivi altrui senza il consenso del titolare. In secondo luogo, attività un tempo "cartacee" cominciano ad essere svolte tramite mezzi elettronici: il trasferimento di denaro, l'acquisto di beni e servizi, la tenuta della contabilità e degli archivi ne sono gli esempi più significativi. Ciò comporta un radicale cambiamento negli usi leciti ed illeciti dei dispositivi informatici: come mutano le modalità di stipulazione di un contratto, così si evolvono i metodi di riciclaggio, truffa, frode fiscale, falsificazione dei bilanci, etc., diventando virtuali e quindi più difficili da accertare per le autorità inquirenti. 4

8 Infine, il grande salto di qualità nella società occidentale e, di pari passo, nella fenomenologia criminale, è stato negli anni Novanta l'avvento di Internet, il primo mezzo di comunicazione globale ed istantaneo, che funziona connettendo più computer o dispositivi a un'unica rete mondiale (il Web); adesso, vent'anni dopo la sua affermazione, Internet è una tecnologia imprescindibile per qualsiasi soggetto individuale o collettivo, pubblico o privato. Le attività illecite, parallelamente, si sono notevolmente modernizzate grazie al Web, il quale offre nuove opportunità e nuovi strumenti per la commissione di reati. In particolare, molte organizzazioni criminali sfruttano Internet per aumentare la propria efficienza, ad esempio impiegando le aste online per riciclare denaro sporco oppure comunicando via e- mail alle singole cellule sparse in luoghi distanti. In questi casi Internet rappresenta soltanto un nuovo strumento per la commissione di reati "tradizionali"; in altri casi, invece, Internet è il contesto virtuale necessario alla realizzazione di aggressioni anomale, che non trovano un corrispondente nel mondo fisico. Si pensi ai numerosi episodi di furto di identità digitale sul Web, i quali consistono nella copia ed utilizzo di dati riguardanti un individuo, attinti da database online oppure da cartelle condivise tra un ristretto numero di computer: i furti d'identità non sono né sussumibili sotto il furto tradizionale di cui all'art. 624 c.p., non essendo l'identità digitale una cosa mobile, né paiono corrispondere al trattamento abusivo di dati personali incriminato dall'art. 167 del Codice della Privacy. In assenza di disposizioni ad hoc, vedremo in quale modo dottrina e giurisprudenza cercano di colmare le lacune nella legislazione italiana. Riassumendo, l'espressione "reato informatico" racchiude in sé una molteplicità di condotte illecite, che variano continuamente insieme al progresso tecnologico: particolarmente pressante è, perciò, il problema della rapida obsolescenza delle definizioni giuridiche e delle disposizioni incriminatrici. Molte fattispecie non riescono difatti a tipizzare le più frequenti aggressioni alla sicurezza ed all'affidabilità dei sistemi informatici, in parte a causa di una terminologia ab origine imprecisa o addirittura inadeguata, in parte a causa dell'inevitabile ritardo con cui il legislatore giunge a reprimere tali fenomeni criminosi. In questo capitolo, pertanto, intendiamo tratteggiare un quadro generale dei principali abusi delle tecnologie informatiche, non tanto attraverso l'analisi normativa, alla quale dedicheremo il prossimo capitolo, quanto facendo riferimento alle ricerche, condotte 5

9 soprattutto negli Stati Uniti, in Canada e nel Regno Unito 3 sulla sicurezza dei dispositivi elettronici e delle reti telematiche. Sui reati informatici, detti nel mondo anglosassone cybercrimes, esiste una vera e propria congerie di termini tecnici, quasi esclusivamente in lingua inglese, tale da disorientare chiunque non sia un programmatore o un ingegnere. Tuttavia, senza una minima conoscenza -sia pur approssimativa ed atecnica- delle maggiori minacce per le tecnologie informatiche, si rischia di perdere di vista il significato concreto delle disposizioni penali previste nel nostro ordinamento e negli atti internazionali. 1 Metodi di intrusione nei sistemi e nelle reti A prima vista, i comportamenti illeciti aventi ad oggetto un dispositivo informatico sembrano essere caratterizzati da un alto grado di abilità tecnica da parte dell'autore; questa impressione iniziale, però, deve essere assolutamente smentita. Dobbiamo premettere che anche le violazioni più complesse possono essere compiute da soggetti privi di competenze specifiche, grazie a particolari programmi scaricati da Internet e poi semplicemente avviati dal proprio computer (si pensi alla diffusione di virus oppure all'intercettazione di comunicazioni online, oggi consentite da applicazioni pronte all'uso e condivise gratuitamente sul Web). Partiamo dunque con il definire l'hacking stesso: esso è un comportamento volto a violare la sicurezza dei sistemi informatici e delle reti telematiche. In linea di principio l'accesso abusivo a un dispositivo elettronico non è animato da un fine di lucro, bensì da un mero scopo ludico. Non è infrequente, tuttavia, che il soggetto, una volta superate le barriere di 3 Solo per citare i testi di riferimento in una letteratura già amplissima: CASEY E., Digital evidence and computer crime. Forensic science, computer and the internet, Elsevier Academic Press, Second Edition, 2004; CLOUGH J., Principles of cybercrime, cit.; CLIFFORD R. D. (editing), Cybercrime: the investigation, prosecution and defense of a computer-related crime, cit.; LEMAN-LANGLOIS S. (editing), Technocrime, cit.; MOORE R., Cybercrime: investigating high-technology computer crime, cit.; SMITH R. G., GRABOSKY P., URBAS G., Cyber criminals on trial, Cambridge, Come si può notare dalla semplice lettura dei titoli, questi lavori hanno in comune un taglio poco dottrinale e molto pratico, essendo focalizzati sulle modalità di investigazione e sulle regole processuali riguardanti i reati informatici. Per una prospettiva più dogmatica e normativa occorre rifarsi al primo manuale di diritto penale dell'informatica, ormai divenuto un classico della materia, scritto da un illustre Autore tedesco: SIEBER U., The international handbook for computer crime. Computer-Related Economic Crime and the Infringements of Privacy, New York,

10 protezione, decida di copiare le informazioni contenute nel sistema violato, oppure di inserirvi un programma dannoso 4. Negli Stati Uniti questa nuova forma di estorsione è documentata soprattutto presso le grandi aziende, le quali, pur di non diffondere nel pubblico la notizia negativa di una falla nella sicurezza informatica, sono disposte a pagare immediatamente gli hacker che le minacciano. In Italia non si conoscono ancora casi del genere, dato che nei resoconti sulla sicurezza informatica delle imprese vengono riportate in generale le violazioni delle misure di protezione senza specificare se contestualmente vi siano stati o meno comportamenti di minaccia o estorsione. I metodi con cui sono attuate le intrusioni nei sistemi informatici sono molto vari, da quelli rudimentali ai più sofisticati; sebbene gli accessi abusivi più insidiosi a sistemi informatici siano compiuti a distanza, per esempio da hackers entrati illegalmente nella medesima connessione Internet del computer bersaglio, sono decisamente più frequenti le violazioni commesse in loco sulle macchine aziendali, da parte di dipendenti insoddisfatti o da poco licenziati. Occorre precisare che il fenomeno del phishing si distacca totalmente da quello dell'hacking, per il motivo che l'hacker mira semplicemente ad accedere nel sistema informatico della vittima, mente il phisher intende sfruttarne il profilo finanziario, per cui anche le disposizioni penali applicabili sono assai diverse: da un lato, l'hacking è sanzionato dall'art. 615 ter c.p., dall'altro, il phishing, qualora sia seguito dall'effettivo conseguimento in capo al phisher di un'utilità patrimoniale, è in genere ricondotto dalla giurisprudenza alla fattispecie di truffa (art. 640 c.p.) 5. Resta comunque il fatto che per la commissione di entrambi i reati è possibile servirsi dei medesimi comportamenti di social engineering. Passando ora alle tecniche di intrusione più sofisticate, poiché richiedono buone competenze informatiche, dobbiamo considerare prima di tutto l'installazione di programmi di key- 4 Il termine hacker verrà utilizzato nella presente esposizione in senso lato, poiché in realtà sotto questo nome si cela una galassia di diversi tipi di creativi dell'informatica, contraddistinti dalle finalità delle loro azioni. Esistono infatti gli hacker dal cappello bianco (white hat hacker), grigio (gray hat) e nero (black hat hacker), a seconda della liceità o meno delle loro operazioni. I bianchi sono noti come gli hacker buoni, cioè intenti a scovare e segnalare falle nella sicurezza, mentre i neri sono conosciuti meglio con l'appellativo di cracker, ossia i distruttori, che usano il computer solo per cagionare danni. I grigi si collocano in una zona intermedia, compiendo alcune volte attività illegali e altre volte buone azioni. La distinzione interna tra le categorie di hacker è comunque assai labile, perché basata solo sulle intenzioni e non sui risultati concreti delle condotte, che sono gli unici a interessare il diritto penale. Adotteremo dunque il termine hacker in senso ampio, includendovi coloro che nel gergo informatico sarebbero definiti cracker. 5 Tratteremo la questione della qualificazione giuridica del phishing nel Capitolo Secondo. 7

11 logging 6 che registrano ogni tasto premuto sulla tastiera del dispositivo e trasmettono in tempo reale queste informazioni alla cd. casa madre, ossia il computer dell'hacker. Basta che l'utente abbia digitato una sola volta sulla tastiera sorvegliata il codice di accesso, perché l'hacker entri in possesso immediato della password. Questo particolare tipo di programma entra nel sistema informatico in vari modi: innanzitutto, può essere installato inavvertitamente dall'utente durante il download di diversi software o visitando siti Internet poco sicuri; inoltre, non mancano casi in cui sono i supporti esterni, quali cd-rom, penne usb e periferiche auto-installanti (plug and play), a contenere il key-logger. Oltre ai programmi di key-logging, gli hacker possono attaccare il sistema bersaglio tramite software di decifrazione delle password, noti come decryptor. In realtà questo metodo è estremamente costoso in termini di tempo e di denaro, poiché in caso di diversi livelli di protezione si ottiene l'accesso anche dopo settimane o mesi. Ciò comporta che il metodo di decifrare le password sia adottato solo per notevoli interessi economici o strategici, come è accaduto in alcuni casi di spionaggio industriale o militare. Difficilmente, quindi, l'archivio elettronico di un personal computer verrà violato con metodi di decifrazione delle password; assai più frequente, invece, è l'abuso del meccanismo di cifratura, soprattutto a seguito dell'accesso abusivo a un dispositivo informatico. Per coprire le proprie azioni illegali, infatti, gli intrusi nelle reti telematiche nascondono l'origine dell'attacco criptandone ogni passaggio e rendendo così quasi impossibili le indagini penali. In aggiunta, i codici d'accesso sono acquisiti facendo uso della tecnica nota come XXS - cross site scripting 7 grazie alla quale in un sito internet lecito vengono inseriti dei comandi dannosi, capaci di leggere negli archivi dei singoli computer che si connettono alla pagina web modificata. I siti oggetto di simili violazioni sono soprattutto quelli di istituzioni bancarie, previdenziali e commerciali, le quali offrono servizi online dietro registrazione e inserimento di dati sensibili come il numero di carta d'identità, di conto corrente bancario o di carta di credito. In questo modo assistiamo ad attacchi combinati: da un lato, l'hacker può leggere direttamente le informazioni registrate sul sito violato; dall'altro, il software di 6 Su key-loggers, decryptors e sull'utilizzo investigativo da parte delle forze di polizia statunitensi. 7 Sui dettagli tecnici del metodo XXS e dei vari tipi di spoofing si soferma SIEBER U., Organised crime in Europe: the threat of cybercrime. Situation Report 2004, Council of Europe Publishing, 2005, p ; 8

12 scripting risale alla fonte di queste informazioni, ossia prende visione dei file memorizzati nei computer connessi al sito. Altre modalità di intrusione nei sistemi informatici sono caratterizzate dall'induzione in errore del titolare del codice d'accesso, grazie al dirottamento vero e proprio dei comandi impartiti dall'utente legittimo. Queste condotte sono piuttosto difficili da qualificare sotto un'unica fattispecie incriminatrice, constando al contempo in un accesso abusivo e in un'intercettazione telematica illecita. Per quanto riguarda il dirottamento dei comandi (cd. spoofing), esso altera i meccanismi che associano le istruzioni digitate sulla tastiera alle operazioni compiute dal computer: ad esempio, un determinato indirizzo Web conduce, invece che al sito Internet desiderato, a uno falso, creato per richiedere informazioni personali alla vittima (web spoofing).ancora più sofisticati sono i metodi di IP spoofing, DNS spoofing e HTTP spoofing, i quali si basano sulla clonazione delle credenziali d'accesso di un computer a una rete aperta (come Internet) o chiusa, qualora metta in condivisione un numero determinato di dispositivi. Volendo schematizzare il funzionamento di questi accessi abusivi assai complessi sotto il profilo tecnico, l'hacker si intromette nella connessione tra il singolo computer e il computer server, che, una volta riconosciuto l'utente, lo collegherà alla rete: grazie a questa intrusione il soggetto estraneo riesce a farsi autorizzare dal server e ad accedere a tutti gli archivi condivisi in via telematica, senza nemmeno dover violare le misure di protezione del computer dirottato, bensì sostituendosi ad esso nella navigazione. 2 Programmi dannosi e sabotaggi informatici Gli accessi non autorizzati nelle memorie elettroniche sono senza dubbio molto frequenti, ma non rappresentano la minaccia più grave alla sicurezza dei sistemi informatici; la maggior preoccupazione degli utenti di computer, invero, è di evitare i virus e gli altri programmi dannosi 8 La diffusione di software pericolosi assume rilevanza penale autonoma, a prescindere dal verificarsi di un danno al sistema informatico, in forza dell'art Dati Symantec, reperibili nell'internet Security Threat Report 2010 (Relazione sui rischi per la sicurezza in Internet) all'indirizzo: 9

13 quinquies c.p., introdotto dalla legge n. 547 del 1993; pertanto, non si può comprendere l'oggetto materiale delle condotte incriminate senza prima fare chiarezza sui concetti di programma dannoso e di virus. I programmi dannosi sono meglio noti sotto il nome di malware, una contrazione di malicious software, che possiamo tradurre alla lettera come software maligni. I malware rappresentano una categoria ampia, che racchiude una molteplicità di programmi aventi effetti negativi sul normale funzionamento di un sistema informatico 9. Il tipo di malware più noto è senza dubbio il virus, al punto che impropriamente per virus si indicano tutti i programmi dannosi in generale. La caratteristica specifica dei virus è quella di essere ospitati da un altro programma, all'interno del quale si annidano e si diffondono. In altre parole, un virus non è un programma a sé stante, bensì consiste in una serie di comandi aggiunta a un'applicazione preesistente. Il meccanismo con cui opera un virus è abbastanza semplice: quando il software contenitore si attiva, immediatamente entra in funzione anche il virus, oppure attende il verificarsi di una condizione prefissata dal suo programmatore (in quest'ultimo caso il virus funziona come una bomba a orologeria e perciò è chiamato logic bomb bomba logica). I primi virus erano ospitati soltanto da alcuni programmi particolari, detti eseguibili, i quali compiono operazioni indipendenti dall'intervento umano. Oggi, invece, pressoché tutti i file e le applicazioni possono avere al loro interno un virus, in quanto anche una semplice pagina scritta con Word consente lo svolgimento di azioni automatiche (in gergo macro). Nella comunità degli hacker chi crea virus in questo modo riceve il soprannome alquanto spregiativo di script kid, ossia di ragazzino nella programmazione. Gli script kiddies rappresentano una seria minaccia alla sicurezza dei sistemi informatici, soprattutto per il fatto che, essendo degli hacker alle prime armi, spesso ignorano gli effetti reali delle proprie azioni e possono dare luogo a danneggiamenti molto più devastanti del previsto. Un caso eclatante avvenne nel 2000, dove uno script kid quindicenne (sotto il nome di MafiaBoy) causò seri danni economici (quasi 2 miliardi di dollari) ai più importanti siti di 9 9 SALVADORI I., Hacking, cracking e nuove forme di attacco ai sistemi d informazione. Profili di diritto penale e prospettive de jure condendo, in Ciber. Dir., 2008, n. 9, p. 348; 10

14 commercio elettronico negli Stati Uniti e nel Canada, semplicemente utilizzando programmi malware scaricati da Internet. 10 Tornando ai diversi tipi di malware, bisogna precisare che i virus sono comunque del tutto inoffensivi una volta isolati dal software contenitore. Questo permette di distinguere i virus dai cd. worm (vermi in inglese), che al contrario sono dei programmi autosufficienti, in grado di replicarsi e di danneggiare il computer da soli. I worm sono meno famosi dei virus, tuttavia dopo l'avvento di Internet sono divenuti il tipo di malware più diffuso e più insidioso in assoluto 11. A differenza dei virus, che possono essere bloccati evitando di aprire il file infetto, i worm entrano nei dispositivi informatici in modo invisibile, sfruttando le falle (cd. bugs) nei sistemi operativi o nei programmi antivirus, e si riproducono spontaneamente negli archivi elettronici del sistema attaccato. Dopo l'auto-replicazione, le nuove copie di worm andranno ad attaccare tutti i computer connessi al dispositivo infetto, secondo due modalità alternative: o inviando loro messaggi automatici di posta elettronica con allegato il worm, oppure sfruttando falle simili a quelle nel sistema informatico infetto. Gli effetti di un programma worm differiscono in parte da quelli di un virus: se quest'ultimo ha come scopo necessario la cancellazione della memoria elettronica o il malfunzionamento delle applicazioni, per un worm questo effetto è soltanto eventuale. Il primo obiettivo dei worm è infatti bucare le barriere di sicurezza di un dispositivo, per consentire in un secondo momento l'installazione di altri programmi dannosi. Questo non deve portare a ritenere che i worm di per sé siano software innocui o, al massimo, fastidiosi: il loro processo di auto-riproduzione impiega le risorse del computer attaccato, fino a impedire il normale funzionamento dei programmi di prevenzione e diagnostica contro il malware. Peraltro, la fase successiva di diffusione produce sovente una mole gigantesca di indesiderate, in grado di saturare le caselle di posta elettronica dei destinatari o, nei casi più gravi, di sovraccaricare il computer server. Non mancano, infine, worm a scopo esclusivamente distruttivo, che causano danni irreversibili all'archivio elettronico o al sistema operativo, analogamente ai virus informatici. 10 Caso citato da MOORE R., Cybercrime, cit., p. 43 s.; in Italia le vicende di MafiaBoy sono state seguite sul sito 11 Fonte: bollettini di sicurezza rilasciati fino a Marzo 2011 dal Microsof Security Center, sul sito 11

15 Devono essere tenuti distinti dai worm altri due tipi di programmi dannosi, i trojan e le backdoor, che non di rado aggrediscono congiuntamente il dispositivo bersaglio, tramite un meccanismo a scatole cinesi: il programma worm interviene per primo, poiché è in grado di superare le misure di protezione e di installarsi autonomamente nella memoria elettronica del computer; all'interno del worm può trovarsi un trojan, che a sua volta include delle backdoor. Andando per ordine, i trojan prendono il loro nome dal Cavallo di Troia, in quanto essi sono sempre contenuti in un programma apparentemente inoffensivo. Mentre i worm si diffondono automaticamente, i trojan hanno bisogno di un'azione diretta da parte della vittima e per questo motivo sono spesso nascosti all'interno di programmi condivisi tra gli utenti, primi fra tutti i videogiochi su Internet. In alternativa, i trojan vengono trasmessi inconsapevolmente, essendo veicolati da un worm. Gli effetti dannosi di un trojan sono diversi da quelli distruttivi o impeditivi propri di un virus informatico: di solito, il trojan sottrae in tutto o in parte il dominio della macchina al legittimo utilizzatore, per consentire all'hacker di intervenire sul sistema e sottrarre le informazioni in esso contenute senza che il titolare se ne accorga. Negli ultimi dieci anni, inoltre, si è affermato un nuovo uso criminoso dei trojan: essi non sono più finalizzati al furto di dati digitali, bensì al controllo remoto dei dispositivi infetti, che in tal modo diventano strumenti per la commissione di attacchi informatici. Il trojan viene immesso in una molteplicità di computer e lasciato inattivo per un certo periodo di tempo; quando scade il termine fissato dall'hacker il programma dannoso si risveglia e comincia a impartire comandi a tutti i sistemi violati, formando così una vera e propria rete di automi (detti zombie). É questo il fenomeno conosciuto sotto il nome di botnet, del quale ci occuperemo tra poco parlando degli attacchi DDoS. Ai fini del presente paragrafo evidenziamo solo la tecnica informatica impiegata, che consiste per l'appunto nella diffusione massiccia di programmi trojan. Per quanto concerne le backdoor, abbiamo detto che esse sono quasi sempre contenute in un cavallo di Troia informatico; il significato in italiano di backdoor è porta sul retro, per indicare un programma che crea delle aperture nascoste nelle misure di sicurezza di un dispositivo informatico. Una volta aperta questa porta di servizio, qualunque hacker che ne conosca l'esistenza può entrare nella memoria e nel sistema operativo del computer, in modo da utilizzarlo in qualità di amministratore e a totale insaputa del legittimo titolare. 12

16 Di conseguenza, la backdoor semplifica sensibilmente l'azione degli hacker, poiché attraverso questa porta lasciata aperta chiunque può prendere il controllo di un sistema quando vuole, fino al momento in cui viene scoperto e risolto il difetto di protezione. Gli effetti negativi delle backdoor sono molto preoccupanti; invero, esse espongono il computer a un numero illimitato di attacchi remoti, dal furto di dati sensibili fino alla commissione di sabotaggi informatici. In sintesi, i programmi a scopo esclusivamente dannoso, denominati malware dalle discipline informatiche, si distinguono in quattro categorie principali: i virus, i worm, i trojan horse e le backdoor. I loro effetti potenziali sono la distruzione della memoria elettronica, l'alterazione del funzionamento del sistema oppure la perdita del controllo su di esso da parte del titolare. Adesso, invece, intendiamo concludere questa rapida introduzione alle varie tecniche di danneggiamento informatico con alcuni cenni ai sabotaggi virtuali realizzati su Internet. Queste forme di abuso delle reti telematiche sono note con l'acronimo di DoS, che sta per Denial of Service, in italiano blocco del servizio. Gli attacchi DoS prendono di mira siti web popolari (come quelli di commercio elettronico), di pubblica utilità o di enti istituzionali, sovraccaricandoli di richieste di informazioni fino alla completa paralisi (crash) dei sistemi colpiti. Talvolta gli attacchi sono giustificati dagli autori sulla base di ideologie estremiste o di mobilitazioni contro determinati governi o imprese multinazionali: l'episodio più noto negli ultimi mesi è stato il sabotaggio di alcuni siti ritenuti collaborazionisti con le forze di polizia, ad opera dei sostenitori di Julien Assange, portavoce di Wikileaks 12. Una variante più recente è il cosiddetto attacco DDoS, sigla di Distributed Denial of Service, ossia blocco diffuso del servizio. A differenza del primo tipo di sabotaggio telematico, commesso da uno o più hackers in modo simultaneo, l'attacco DDoS si serve dei computer altrui, precedentemente infettati da un trojan e coordinati così in una botnet (rete di robot). Quando si verificano le condizioni prestabilite nel programma malware, i computer si trasformano in robot e rispondono ai comandi impartiti da un soggetto esterno, il quale 12 La notizia è stata riportata su tutti i quotidiani nazionali; per leggere in proposito un articolo liberamente consultabile su Internet indichiamo il seguente indirizzo: di-julian-assange-e-gli-attacchi-a-paypal-e-ai-sitianti-wikileaks html; 13

17 perciò può eseguire un attacco Denial of Service avendo a disposizione un numero elevatissimo di macchine. È intuibile quanto siano dannosi sabotaggi telematici a così ampio raggio, senza considerare il problema dell'individuazione degli autori effettivi, dato che la maggior parte dei dispositivi viene sfruttata all'insaputa del titolare. Emblematici in tal senso sono i due episodi principali di attacchi DDoS, il primo avvenuto ai danni dei siti della pubblica amministrazione estone nel 2007, il secondo tramite la diffusione a livello globale del worm di nome Stuxnet nel : in entrambi i casi sono state causate gravissime perdite economiche in tutto il mondo, ma gli ideatori e gli esecutori dei danneggiamenti sono rimasti ignoti. Esistono tuttavia forme di sabotaggio virtuale meno distruttive, primo fra tutti il defacing, una pratica impiegata soprattutto in segno di protesta, la quale consiste nell'alterazione dell'aspetto di una pagina web, inserendovi messaggi offensivi, dure contestazioni politiche o addirittura una schermata nera. 3 Alcuni reati informatici impropri Nei due paragrafi che precedono abbiamo descritto la fenomenologia dei reati informatici in senso proprio; le fattispecie di accesso abusivo a un sistema e di danneggiamento informatico, difatti, sono nate insieme alla diffusione dei dispositivi elettronici e della rete Internet e sono perciò difficilmente assimilabili a reati tradizionali come la violazione di domicilio, il furto o il danneggiamento comune, mancandone l'oggetto materiale. Si può quindi sostenere che i cybercrime si caratterizzino per la peculiarità dell'oggetto dell'azione criminosa, il quale consiste, chiaramente, nel software di un sistema informatico o di una rete di computer 14. Facendo l'esempio del sabotaggio virtuale sopra descritto, esso non può ritenersi integrato qualora un soggetto distrugga fisicamente un computer, poiché in tal caso egli commette il reato di danneggiamento comune; risponde al contrario di un reato La notizia dell'attacco all'estonia causò un vero e proprio shock all'unione Europea e agli esperti di sicurezza, poiché l'estonia è un Paese modello sul piano delle tecnologie informatiche (per darne un'idea, l'intera gestione della Pubblica Amministrazione è digitale). Un reportage molto completo è stato pubblicato sul sito Sul caso Stuxnet sono state fatte molte ipotesi, la più difusa delle quali sostiene che dietro questo potentissimo worm vi sia una guerra cibernetica in atto tra Stati Uniti e Israele, da un lato, e l'iran, dall'altro. Tra i vari computer danneggiati figurano, infatti, anche quelli delle centrali nucleari iraniane. Si può leggere iduktre68n3pt La classificazione è illustrata da CLOUGH J., Principles of cybercrime, Cambridge, 2010, p ; 14

18 informatico il soggetto che renda inservibile tale dispositivo sovraccaricandolo di operazioni o inserendovi un malware, in quanto l'azione è diretta contro la componente logica e immateriale del computer e non sulla sua struttura fisica 15. Altri reati sono invece definiti comunemente cybercrime in maniera impropria, poiché è diverso il ruolo del dispositivo elettronico nella condotta illecita: se per i reati informatici in senso stretto il software è l'oggetto necessario dell'azione, per quelli in senso lato esso è soltanto uno strumento eventuale per la realizzazione del fatto. Ancora più chiaro: mentre le condotte di hacking sono illeciti assolutamente nuovi per il diritto penale, fenomeni criminosi quali le frodi informatiche oppure le intercettazioni online rappresentano solo modalità innovative di reati tradizionali come la truffa e l'intercettazione di comunicazioni. Il criterio della strumentalità non può fondare la definizione dei reati informatici, poiché, al limite, quasi tutti i reati potrebbero essere commessi con l'ausilio delle tecnologie elettroniche e quindi avremmo un'infinità di cybercrime, mere copie tecnologiche di fattispecie previgenti. L'unico criterio per individuare i cybercrime in modo selettivo e rigoroso è dunque esclusivamente quello dell'oggetto dell'aggressione. La distinzione tra reati informatici propri e impropri appare lineare e schematica a livello teorico, poiché basta semplicemente individuare il ruolo del computer nella dinamica criminosa (oggetto dell'azione o suo strumento) e, di conseguenza, etichettare la condotta come cybercrime oppure come reato tradizionale commesso tramite mezzi elettronici. Nella pratica, però, questa classificazione mostra segni di cedimento, perché spesso è controverso l'oggetto dell'azione (si pensi alla frode elettronica, dove parte della giurisprudenza individuava l'oggetto materiale nel computer manipolato e altra parte, maggioritaria, nel patrimonio dell'utente). I concetti di oggetto dell'azione e di strumentalità subiscono infatti una torsione e una sovrapposizione in ambito di reati informatici, nel senso che non è sempre agevole scindere i casi in cui l'abuso del computer è l'oggetto della condotta da quelli in cui esso sia solo un mezzo per la lesione di interessi ulteriori In senso conforme al testo PICA G., v. Reati informatici e telematici, in Dige. Disc. Pen. Eco., Aggiornam. I, 2000, p. 526; contra PECORELLA C., Diritto penale dell informatica, Padova, 2006, p. 115; 16 ALMA M. PERRONI C., Riflessioni sull attuazione delle norme a tutela dei sistemi informatici, in Dir. Pen. Proc., 1997, n. 4, p ; 15

19 Emblematico è il fenomeno del furto di identità digitale; circa il cd. identity thef si dibatte da tempo se sia qualificabile o meno come reato informatico: da un lato, infatti, oggetto dell'azione sono i dati informatici di un soggetto (cybercrime non previsto dalla nostra legislazione), dall'altro possiamo interpretare queste condotte non come accessi abusivi a un archivio elettronico, ma come violazioni della privacy per mezzo di dispositivi tecnologici (applicazione estensiva dei reati previsti dal Codice della Privacy). Come si vede dall'esempio appena riportato, decidere sul punto della natura informatica di un reato non ha pura rilevanza teorica, bensì incide sulla tipicità delle condotte e in particolare sulla loro assumibilità sotto fattispecie incriminatrici esistenti. In definitiva, è opportuno impiegare le nozioni di reato informatico proprio e improprio soltanto a livello orientativo, senza accettarle acriticamente e rigidamente. 4 Principali problemi di diritto penale sostanziale e processuale L'abuso delle tecnologie informatiche pone numerosi interrogativi per l'ordinamento giuridico in generale e per il diritto penale in particolare; la natura immateriale e spesso transnazionale delle condotte entra in corto circuito con le categorie tradizionali del soggetto attivo del reato, del bene giuridico tutelato, dell'elemento psicologico e così via.il punto di partenza è un dato fondamentale: i reati informatici non aggrediscono e non strumentalizzano cose mobili o tangibili, bensì dati e programmi elettronici, ossia la componente logica di un dispositivo. Questo è l'elemento comune a tutti i cybercrime, sia in senso stretto sia in senso lato; anche le violazioni commesse su reti telematiche, infatti, possono essere scomposte in una serie di alterazioni o di interruzioni del funzionamento di singoli software. Il contesto necessariamente virtuale entro il quale si inscrive questa categoria di illeciti non può che influenzare a monte le fattispecie incriminatrici e a valle le relative disposizioni processuali. È facile prevedere che non manchino i problemi, soprattutto a causa dell'insuperabile divario tra la rapida evoluzione tecnologica dei fenomeni criminosi e la rigidità propria della legislazione penale. Affronteremo in questa sede le questioni più scottanti per quanto riguarda i principi generali della materia penale-informatica, guardando prima ai profili sostanziali e poi a quelli processuali L'analisi verticale, nel dettaglio, dei singoli articoli del c.p. inseriti dalla l. 547/1993 e dalla l. 48/2008 sarà condotta nel capitolo successivo. 16

20 4.1 Osservazioni sul piano sostanziale: i beni informatici La descrizione della fenomenologia dei reati informatici dà un'idea della molteplicità dei comportamenti passibili di sanzione penale; il primo dubbio che sorge attiene all'identificazione dei beni giuridici da questi lesi. L'offensività dei cybercrime è infatti difficile da cogliere in alcuni casi: mentre un atto vandalico nei confronti di un sistema elettronico produce immediate conseguenze negative sul piano patrimoniale, la mera detenzione nel proprio computer di programmi dannosi o di codici di accesso altrui, senza diffonderli né comunicarli a terzi, sembrerebbe un comportamento innocuo. Per fondare qualsiasi tipo di incriminazione non si può prescindere dall'osservanza dei principi di extrema ratio, determinatezza e tassatività; ancora più importante in questo ambito del diritto penale è riuscire a mantenere una proporzione tra la severità della risposta punitiva e il grado di intensità dell'offesa a beni giuridici rilevanti. La correlazione tra gravità della violazione e gravità della sanzione non è sempre rispettata dai reati informatici previsti nel nostro c.p., dove anzi figurano esempi di fattispecie di pericolo presunto assai criticabili. In ogni caso, resta sullo sfondo la domanda centrale: quali beni giuridici sono lesi dai reati informatici?. La ricerca di un interesse unitario sotteso a tutti i reati informatici, tuttavia, fornisce risultati alquanto deludenti, poiché volendo adattare il bene giuridico informatico alle diverse fattispecie non si fa altro che dilatarne il significato fino all'indistinto. A ben vedere, la collocazione delle disposizioni sui delitti informatici in capi distinti del c.p. è una spia evidente dell'eterogeneità dei beni giuridici offesi dagli abusi dei dispositivi elettronici. Inoltre, la scelta del legislatore di inserire nel codice, e non in una legge complementare, le fattispecie penali informatiche dimostra che, almeno tendenzialmente, gli interessi tutelati dovrebbero essere gli stessi dei corrispondenti reati tradizionali. Questa osservazione è agevolmente dimostrabile con riferimento ai cd. reati informatici impropri, tra i quali figurano il falso informatico (art. 491 bis c.p.), la violazione di corrispondenza 17