DOTT. ROBERTO FLOR Diritto Penale e Diritto Penale dell'informatica

Transcript

1 Soluzioni, strumenti e metodologie per una nuova strategia di protezione Roma, 26 e 27 maggio 2008 DOTT. ROBERTO FLOR Diritto Penale e Diritto Penale dell'informatica Università degli Studi di Verona Facoltà di Giurisprudenza

2 IDENTITY FRAUD e DIRITTO PENALE IL SISTEMA DEL DIRITTO PENALE DELL INFORMATICA DOPO LA L. N. 48/2008 Aggiornamento sul quadro normativo italiano in materia di frodi

3 Sommario 1. Definizioni 2. Fenomenologia 3. ID Fraud e diritto penale: : la L. n. 48/2008 reati previsti dal codice penale e ID Fraud reati previsti da leggi speciali e ID Fraud 4. Diritto penale e Fraud management

4 IDENTITY THEFT COS E? Il furto di identità IN SINTESI impossessamento, senza autorizzazione o in modo fraudolento, oppure furto o acquisizione abusiva, di dati riservati altrui, riferiti ad una persona fisica, viva o morta, o giuridica IN RETE impossessarsi delle credenziali di autenticazione di un soggetto, che lo identificano in rete

5 IDENTITY ABUSE COS E? L abuso di identità virtuale IN SINTESI Utilizzare abusivamente un identità virtuale altrui. Per i sistemi informatici e telematici le credenziali di autenticazione corrispondono ad un identità virtuale, legittimata ad eseguire determinate operazioni o ad accedere a spazi informatici riservati.

6 IDENTITY FRAUD COS E? La c.d. frode identitaria IN SINTESI l uso dell identità acquisita, senza il consenso del legittimo titolare, per ottenere beni o servizi con l inganno o comunque per porre in essere attività fraudolente volte a cagionare un profitto ingiusto o/e un danno ad altri

7 Una tecnica di social engineering PHISHING PHISHING = password & haversting & fishing = phreaking & fishing = password & fishing /=/ pharming /=/ vishing /=/ boxing /=/ trashing /=/ hacking IN SINTESI Portare l'utente a rivelare dati personali, compresi il numero di conto corrente, il nome utente, passwords e parole chiave, il numero di carta di credito ecc. una delle modalità con cui può realizzarsi un furto, un abuso o una frode identitaria

8 IDENTITY FRAUD: non esiste in Europa una definizione legale UK Home Office Identity Fraud Steering Committee CIFAS (UK's Fraud Prevention Service) L Identity Theft Resource Center (U.S.A.) Project on Cybercrime del Consiglio d Europa: Identity fraud and theft the logistic of organised crime International cooperation in the prevention, investigation, prosecution and punishment of fraud, the criminal misuse and falsification of identity and related crimes: results of the study on fraud and the criminal misuse and falsification of identity (O.N.U.)

9 FENOMENOLOGIA crime has moved yet another step forward in its unyielding progression through society: now is identity theft (HAYWARD C.L., Identity theft, New York, 2004, foreword, VII) Hacking for fun Hacking for profit/money

10 FONTE: Winmark Research per conto di RSA Security ( ) In media, un utente crea oltre 20 diverse identità digitali, fornendo informazioni personali a siti Web Il 64% utilizza la stessa password per accedere a tipi diversi di siti, dall' al conto bancario Il 33% ha ammesso di condividere le password con amici e famigliari

11 Consumer fraud and identity theft complaint data Federal Trade Commission 2007 Segnalazioni ricevute

12 Fonte: FTC

13 Fonte: FTC

14 Fonte: CSI/FBI SURVEY

15 Fonte: CSI/FBI SURVEY

16 IC3 INTERNET CRIME REPORT National white collar crime center / F.B.I. Fraud perpetrator

17 Diritto penale e Fraud management: Global economic crime survey 2007 In Italia 1 azienda su 4 è stata vittima di una frode negli ultimi 2 anni. Perdita media subita da un'azienda italiana: 3,1 milioni di Euro (7% più di 10 mil.) Fonte: GECS Marthin Luther University Economy&Crime Research Center

18 In Italia Anti Phishing Italia Polizia postale (fonte Corriere della Sera, gennaio 2008) utilizzi fraudolenti di carte di credito: transazioni di denaro non riconosciute: accessi abusivi a sistemi informatici, utilizzazioni illecite di dati personali: segnalazioni, di cui con risvolto investigativo truffe on line: denunce di cui con indagini attivate.

19 ID FRAUD E DIRITTO PENALE Non esiste, in Italia, il reato di frode identitaria Scomposizione del fenomeno in più fasi, per individuare quali sono le norme applicabili

20 REATI INFORMATICI IN SENSO PROPRIO (v. i reati definiti dalla Convenzione Cybercrime) Rivoluzione/evoluzione informatica e telematica Ruolo degli strumenti informatici e telematici Caratteristiche: * mezzo tipico per la commissione del reato sono le tecnologie informatiche * o oggetto passivo (dati/programmi/sistemi/reti ) REATI INFORMATICI IN SENSO IMPROPRIO Reati commessi mediante le tecnologie informatiche, comprensivi di qualsiasi fattispecie penale, anche non realizzata nel cyberspace

21 Vediamo qualche esempio: Reati informatici in senso proprio Reati informatici in senso improprio ad esempio Accesso abusivo Frode informatica ad esempio Abuso di carte di credito Truffa comune

22 MODELLI E FONTI ISPIRATRICI 1) Raccomandazioni del Consiglio d Europa [R (89) 9] 2) Singoli casi nazionali o esperienze legislative di altri ordinamenti stranieri 3) Norme in materia di riservatezza nella vita privata 4) Disposizioni penali aventi carattere meramente sanzionatorio di precetti extrapenali 5) Convezione Cybercrime (Budapest, 23 novembre 2001) 6) Le decisioni quadro (v. 2004/68/ GAI pedopornografia; 2005/222/GAI attacchi contro i sistemi di informazione) e le direttive europee (es. in materia di tutela della proprietà intellettuale). 7) Legge di ratifica della Convenzione Cybercrime (L. 48/2008)

23 COMPUTER-CRIME CRIME CYBER-CRIME CRIME INTERNET (DOJ 1979) per la cui scoperta è essenziale la conoscenza delle tecnologie Informatiche (DOJ 1989) per la cui scoperta, indagine e condanna è necessaria la conoscenza delle tecnologie informatiche Relationship to computer networks (COUNCIL OF EUROPE) Convenzione di Budapest sulla criminalità informatica, 2001 Relationship to computer systems (COUNCIL OF EUROPE) cybercrime è un fenomeno gloable che necessita di una risposta globale

24 IDENTITY FRAUD E DIRITTO PENALE Il dato positivo: più fattispecie penali applicabili Due punti chiave: 1. La commissione di una frode tramite l uso dello strumento informatico o telematico non integra sempre una frode informatica 2. Chi è il soggetto passivo / vittima del reato? E necessaria la distinzione fra persona offesa del reato (titolare del diritto di querela) e danneggiato

25 IDENTITY FRAUD E DIRITTO PENALE Creazione ed invio di messaggi falsi, apparentemente provenienti da enti o istituzioni reali e tali da indurre gli utenti in errore Art. 494 c.p. (?) Sostituzione di persona (Cass. pen., n ) Art. 617 sexies c.p. (?) Falsificaizone del contenuto di comunicazioni informatiche o telematiche (Trib. di Milano, 2008) Art. 640 c.p. Truffa comune (artificio o raggiro) Art. 167 (?) Codice Privacy Trattamento illecito di dati

26 IDENTITY FRAUD E DIRITTO PENALE Acquisizione, impossessamento o raccolta di dati, informazioni (numeri di conti correnti, numeri di carte di credito, estremi della carta di identità ), credenziali di autenticazione (nomi utente e passwors) dei correntisti, anche tramite mezzi fraudolenti ( , link a siti non autentici, form on line, sms, hosting abusivi ) Art. 494 c.p. (?) Sostituzione di persona (G.I.P. Milano, 2007) Art. 640 c.p. Truffa comune Art. 615 quater c.p. Detenzione e diffusione Abusiva di codici di accesso Art. 640 ter c.p. (?) Frode informatica Art. 167 (?) Codice Privacy Trattamento illecito di dati

27 IDENTITY FRAUD E DIRITTO PENALE Utilizzo indebito dei dati e delle informazioni, nonchè delle credenziali di autenticazione per accedere ad aree e spazi informatici riservati, o per usare indebitamente carte di credito o di pagamento, al fine di conseguire un vantaggio ingiusto (home banking, abuso di carte di credito o di pagamento anche on line ) o per provvedere a trasferimenti di fondi illecitamente acquisiti Art. 615 ter c.p. Accesso abusivo a sistemi informatici Art. 640 c.p. Truffa comune Art. 12 L. 197/91 Uso indebito di carte di credito o di pagamento Art. 648 bis c.p. Riciclaggio

28 L utilizzo di keylogger, troyan, worms può comportare, nei casi concreti, l applicazione dei reati previsti dall : Dopo la L. 48/2008 Art. 617 quater c.p. Intercettazione, impedimento o interruzione illecita di comunicazioni informatiche Art. 640 ter c.p. Frode informatica di ratifica della Convenzione Cybercrime Art. 615 quinquies c.p. Art. 635 bis c.p. Art. 635 ter c.p. Art. 635 quater c.p. Art. 635 quinquies (danneggiamento di dati e di sistemi)

29

30

31

32

33

34 L. 48/2008 ha previsto, inoltre:

35

36

37

38 Inoltre:

39

40 Modifiche al Codice Privacy

41

42

43

44

45 PROFILI DI RESPONSABILITA DEL SERVICE PROVIDER L. 155/2005 ( Decreto Pisanu ) e L. 31/2008 (art. 34, Decreto mille proroghe ), in attesa dell attuazione della Direttiva 2006/24/CE conservazione dati traffico telematico sino al Art. 132 Codice Privacy, come modificato dalla L. n. 48/2008: - obbligo di conservazione per 90 gg. prorogabile a 6 mesi (per fini preventivi e su richiesta ) - art. 326 c.p. - procedura di convalida da parte PM

46 PROFILI DI RESPONSABILITA DEL SERVICE PROVIDER Garante per la protezione dei dati personali, 18 gennaio 2008 Fermo restando il predetto regime (transitorio), che prevede temporaneamente la conservazione (sospesa temporaneamente l'applicazione di qualunque disposizione che prescriva la cancellazione dei dati di traffico, anche se non soggetti a fatturazione - termine originariamente stabilito al 31 dicembre 2007, successivamente prorogato al 31 dicembre 2008 con l'art. 34 del recente d.l. 31 dicembre 2007, n. 248), la vigente normativa di riferimento prescrive ai fornitori di servizi di comunicazione elettronica di conservare comunque, per finalità di accertamento e repressione di reati, i dati relativi al traffico telefonico (inclusi quelli concernenti le chiamate senza risposta) e quelli inerenti al traffico telematico (esclusi i contenuti delle comunicazioni), rispettivamente per ventiquattro e sei mesi (art. 132)

47 Garante per la protezione dei dati personali, 18 gennaio 2008 Il "fornitore" sul quale incombe l'obbligo di conservare i dati di traffico ai sensi del citato art. 132 del Codice è quello che mette a disposizione del pubblico servizi di comunicazione elettronica su reti pubbliche di comunicazione; devono conservare, per esclusive finalità di accertamento e repressione di reati, solo i dati di traffico che risultino nella loro disponibilità in quanto derivanti da attività tecniche strumentali alla resa dei servizi offerti dai medesimi, nonché alla loro fatturazione. Servizi di comunicazione elttronica: chiamate telefoniche, incluse le chiamate vocali, di messaggeria vocale, in conferenza e di trasmissione dati tramite telefax; i servizi supplementari, inclusi l'inoltro e il trasferimento di chiamata; la messaggeria e i servizi multimediali, inclusi i servizi di messaggeria breve-sms, l'accesso alla rete Internet; via Internet; la telefonia via Internet (cd. Voice over Internet Protocol VoIP), la posta elettronica; i fax (nonché i messaggi sms e mms) via

48 PROFILI DI RESPONSABILITA DEL SERVICE PROVIDER a) dubbi sull esistenza di un obbligo giuridico di impedire l evento ex art. 40 cpv c.p. (salvo in materia di pedopornografia, ex legge 38/06) b) una sua eventuale responsabilità penale per i reati commessi attraverso la rete è prospettabile nei termini di una partecipazione commissiva alla stregua delle regole comuni in materia di concorso di persone ex art. 110 c.p., se sussistono i requisiti oggettivi e soggettivi ivi richiesti c) Art. 21 Dlgs. 70/2003 (Sanzioni) Salvo che il fatto costituisca reato, le violazioni di cui agli articoli 7, 8, 9, 10 e 12 sono punite con il pagamento di una sanzione amministrativa pecuniaria da 103 euro a euro. Nei casi di particolare gravita' o di recidiva i limiti minimo e massimo della sanzione indicata al comma 1 sono raddoppiati. all'accertamento delle violazioni provvedono, d'ufficio o su denunzia, gli organi di polizia amministrativa. d) ex nuovo art. 132 Codice Privacy, art. 326 c.p. in caso di violazione del segreto sull ordine ricevuto

49 PROFILI DI RESPONSABILITA DEL SERVICE PROVIDER What s happen in Europe? First step for a global answer Consiglio d Europa, sessione plenaria, 2 aprile 2008 ha approvato le Guide lines for law enforcement cooperation between law enforcement and Internet service provider against cybercrime punti 41 e ss.: segnalazione di attività illecite o incidenti cooperazione con le autorità competenti criminal compliance programmes

50 Diritto penale e Fraud management? 1. Concorso nel reato (agevolazione consapevole e volontaria nella commissione dell illecito) 2. Omessa adozione delle misure di sicurezza Art. 169 Codice Privacy art c.c. Trattamento di dati (es. Gestione delle credenziali di autenticazione per l esercizio di operazioni finanziarie on line) 3. Responsabilità amministrativa da reato degli enti

51 Diritto penale e Fraud management Prevenzione Monitoring Controllo 24/7 Network Introduzione di: * nuovi reati di frode * Responsabilità da reato degli enti anche per i reati informatici Modelli di organizzazione, gestione e controllo (valenza preventiva ante factum e ruolo post factum) art. 24 bis Dlgs. N. 231/2001 introdotto dalla L. n. 48/2008

52 In sintesi, dopo la L. n. 48/2008, le modifiche al sistema del diritto penale dell informatica, anche con riferimento alle frodi, possono essere evidenziate come segue:

53

54

55 GRAZIE PER LA VOSTRA PAZIENTE ATTENZIONE Dott. Roberto Flor DIRITTO PENALE E DIRITTO PENALE DELL INFORMATICA FACOLTA GIURISPRUDENZA UNIVERSITA DI VERONA flor_roberto@yahoo.it flor_roberto@hotmail.com

56 Per i riferimenti bibliografici e giurisprudenziali si veda Questo/a opera è pubblicato sotto una Licenza Creative Commons. E' possibile il suo utilizzo per fini leciti, nel rispetto di quanto previsto dalla licenza, a condizione che venga sempre citata la fonte ed il suo autore