Alessandro PANSA Criminalità informatica e polizia delle comunicazioni (*) (*) Conferenza tenuta dal Prefetto Alessandro Pansa ai funzionari dell Amministrazione civile dell Interno presso la Scuola Superiore dell Amministrazione dell Interno, Roma, 14 novembre 2001.
CONTRIBUTI E SAGGI PREMESSA La criminalità informatica è in espansione costante, aumentano gli incidenti di natura colposa e gli episodi dolosi, crescono gli attacchi dei cosiddetti hacker alle aziende. Negli ultimi mesi, l importanza del fenomeno è cresciuta ulteriormente in quanto la sua espansione si è andata a collocare in uno scenario reso più complesso dal terrorismo internazionale, che ha imboccato una via del terrore nuova, imprevista e ancora oggi scarsamente prevedibile. Per fornire una visione panoramica, affronteremo l argomento partendo da una introduzione breve sulla società dell informazione e la globalizzazione. Si passerà al sistema normativo previsto dal nostro ordinamento, con una descrizione sintetica delle fattispecie delittuose previste in tema di crimini informatici e di alcune problematiche di carattere giuridico connesse. Si proseguirà con il delineare quelle che sono le nuove minacce criminali oggi, con particolare riguardo al mondo di Internet, al riciclaggio e alla pedofilia on-line. Sarà presentata brevemente infine la struttura di contrasto prevista con l istituzione della polizia delle comunicazioni, nonché l impegno italiano in campo internazionale. LA SOCIETÀ DELL INFORMAZIONE Le nuove tecnologie informatiche e delle comunicazioni stanno rivoluzionando le economie e le società dei Paesi maggiormente industrializzati. Si tratta di una rivoluzione epocale, paragonabile alle altre grandi trasformazioni socio-economiche degli ultimi due secoli, che configura l inizio del nuovo millennio come la società dell informazione, in cui le tradizionali barriere spazio-temporali sono superate dai sistemi di sviluppo emergenti, basati su metodologie, tecnologie e modelli di rete, che ormai convivono e condizionano progressivamente, con ritmi evolutivi impressionanti, la struttura economica, finanziaria, sociale e culturale di interi Paesi in uno scenario di contaminazione e confronto esteso a tutto il mondo. Lo sviluppo della società dell informazione è comunque fondamentale per la crescita economica. Non bisogna però dimenticare mai che ha implicazioni profonde sotto il profilo sociale e giuridico. Se esaminiamo le convenzioni internazionali più importanti, a partire da 88
Alessandro PANSA quella di Strasburgo del 1981, ci accorgiamo che in esse è specificamente precisato che l impiego di tutti i sistemi informatici va considerato come un attività al servizio dell'uomo e che, indipendentemente dalla nazionalità e dalla residenza delle persone, deve rispettare i diritti fondamentali dell'uomo e la sua libertà. Questo cosa significa? Il tema dell'informatica, della telematica, delle comunicazioni nel loro complesso interessa essenzialmente il diritto della libertà dei cittadini sotto tutti i punti di vista: da quella economica a quelle fondamentali dell'uomo, come la tutela della sfera privata dell individuo. In questo momento, ci troviamo di fronte ad una crescita esponenziale delle attività nel settore della telematica: nascono ogni giorno servizi nuovi molto sofisticati e particolarmente rilevanti per il complesso della vita dei singoli individui. Nel contempo nascono reti sempre più ramificate e duttili che ormai hanno una dimensione planetaria. LA GLOBALIZZAZIONE Nell era digitale lo scenario attuale e futuro del mondo delle telecomunicazioni è caratterizzato in primo luogo dalle innovazioni tecnologiche e dal processo di convergenza delle telecomunicazioni nel settore dell informatica e dei media. Per i consumatori la convergenza si traduce essenzialmente in una sovrapposizione delle offerte, con notevoli vantaggi derivanti dalla concorrenza, ma anche in maggiori e nuove insidie che si possono nascondere dietro tecnologie abilmente manipolate. Nello stesso tempo, l esigenza prioritaria di sicurezza non si esaurisce nell adozione di dispositivi di protezione adeguati o nell affinamento dei programmi di gestione delle reti, ma si estende anche ai contenuti, alle informazioni messe a disposizione degli utenti della rete. Un utente della rete può inoltre indifferentemente trasmettere o ricevere informazioni; in qualsiasi momento un utente passivo può diventare utente attivo, fornendo informazioni di sua iniziativa o reindirizzando il materiale pervenutogli da un terzo. Il processo di digitalizzazione di molte delle attività dell uomo e la convergenza dei sistemi di comunicazione con quelli d informazione creano uno spazio di pote- 89
CONTRIBUTI E SAGGI re nuovo e di dimensioni non calcolabili. L era digitale coincide con la globalizzazione dei mercati, ma anche con quella delle richieste; se vendo prodotti e nello stesso tempo dispongo dei mezzi per influire sulla domanda creo un sistema chiuso, che può comportare un affievolimento dei diritti fondamentali di libertà dell uomo. A questo punto, però, chiariamo che cosa s intende per globalizzazione. Il metodo migliore per descriverla è analizzarne le tre componenti principali: globalizzazione dei gusti e della domanda; della produzione; dei mercati del lavoro. Il punto primo riguarda la convergenza dei gusti, a causa delle comunicazioni diffuse, dei prodotti globali, cioè di quelli che vanno bene in tutto il mondo (la Gillette ha immesso il suo nuovo rasoio contemporaneamente in 19 Paesi facendo una campagna pubblicitaria con lo stesso spot; gli hamburger di Mac Donald sono richiesti dai giovani di tutto il mondo). Per quando concerne il punto secondo esso riguarda, da un lato la produzione tradizionale, con impianti in diversi Paesi che realizzano lo stesso prodotto (Nestlè produce in 59 Paesi, Ford fa una stessa macchina, che con diversi nomi viene venduta in tutto il mondo); molti prodotti hanno uno standard del 95% circa, e un 5% viene adattato alle singole esigenze dei vari mercati. Oggi in effetti non ha più senso parlare di un prodotto di un singolo Paese; Crysler americana, che è di proprietà della Mercedes Benz tedesca, produce molte sue auto in Canada. Dall altro è sempre più ampio il commercio di parti di prodotto, il che significa che pochissimi sono i prodotti interamente nazionali; se compro un computer IBM, non ho comprato un prodotto americano, in quanto una parte delle componenti elettroniche è giapponese, un altra è di Taiwan, la scocca è sudamericana, il monitor degli Stati Uniti, l assemblaggio europeo. In ordine al punto terzo, che riguarda i mercati del lavoro, si deve rilevare oggi che quasi ogni bene o servizio può essere prodotto, a parità di qualità, ma a costi inferiori, nei mercati emergenti. La scarpa sportiva americana è prodotta in oriente a costi molto più bassi che in occidente. A ciò va aggiunto che la rivoluzione tecnologica delle telecomunicazioni consente di gestire aziende e investimenti da lontano senza stare nel luogo di produzione. La crescita della prepara- 90
Alessandro PANSA zione tecnica dei lavoratori dei Paesi emergenti è ormai acquisita, con standard che non hanno nulla da invidiare a quella statunitense o europea: un ingegnere coreano è preparato come un occidentale, ma guadagna molto meno. Se a tutto ciò aggiungiamo il miglioramento dei sistemi di trasporto e la caduta di molte barriere doganali, il processo di globalizzazione si va completando. Va aggiunto, però, che sebbene tutto il mondo abbia beneficiato dell economia globale, essa ha anche creato disuguaglianze non indifferenti, che impegnano i principi dell etica con la quale la stessa economia deve confrontarsi. Come è noto si è sviluppata anche una cultura dell antiglobalizzazione, che, da un lato, contesta il sistema imperialistico del mondo ricco a scapito di quello più povero e, dall altro, rifiuta l omologazione dei gusti, del pensiero e della cultura stessa. Noti sono ormai i segnali di contestazione, soprattutto da parte di una miriade di organizzazioni, che più che popolo di Seattle o no global ci sembra corretto definire dei post materialisti, come li ha chiamati il sociologo americano Ronald Inglehart. I loro valori e interessi di riferimento sono l attenzione per l ambiente e la qualità della vita, la voglia di avere città e paesaggi più belli; la tutela dei consumatori contro i rischi del liberismo selvaggio e la logica brutale del profitto; la partecipazione dei cittadini alle decisioni, il diritto ad essere informati correttamente e quindi l attenzione per la libertà e l indipendenza delle fonti d informazione; la possibilità di accesso delle masse alla cultura, al godimento dell arte. In assoluto si fa strada, soprattutto nelle giovani generazioni europee, un modello di società dove le idee contano più dei soldi, la creatività più dell attitudine a consumare, e la ricerca della felicità, una volta conquistato il benessere diffuso, s indirizza piuttosto verso il sapere, la cura del corpo e della mente, che non verso la scalata sociale. Gli scontri avvenuti a Genova, in occasione del G8, tra forze dell ordine e movimento antiglobalizzazione, infiltrati da gruppi violenti, hanno rischiato di togliere credibilità alla legittimità dell azione antiglobalizzazione. La cultura post materialista, però, non ne è stata intaccata, mentre è stato messo in discussione il ruolo del movimento no global italiano. 91
CONTRIBUTI E SAGGI LA NORMATIVA La diffusione della cultura informatica, però, se da un lato ha fatto registrare progressi concreti nel settore economico, sociale e culturale, dall altro ci ha fatto trovare di fronte all esigenza della prevenzione e della repressione degli impieghi illeciti possibili delle tecnologie avanzate. Questo è un problema di dimensioni enormi non soltanto per i danni economici e patrimoniali che possono essere causati, ma in primo luogo perché possono essere messe in pericolo le attività più importanti dell'uomo, che ormai sono legate per intero ai sistemi d informatizzazione e comunicazione digitalizzati. Tutelare tutti i profili possibili di legalità nel settore dell informatica e delle telecomunicazioni non è certo un impegno di poco conto, e ciò non solo per la dimensione planetaria dell intero sistema, ma soprattutto per il ruolo che deve svolgere una corretta normativa che sappia bilanciare i vari interessi in gioco. La complessità dell approccio normativo con il mondo delle telecomunicazioni deriva dal fatto che in esso e attraverso esso trovano espressione tutte le libertà tutelate giuridicamente: dalle diverse manifestazioni del pensiero alla libertà di associazione e di religione, nonché alla libertà d iniziativa economica e di impresa, insomma tutto ciò che avviene nella realtà dei fatti trova ancor più forza e sviluppo nella realtà virtuale delle reti di telecomunicazioni. Non è difficile immaginare quindi la dimensione dei problemi posti al legislatore dal crescente utilizzo delle tecnologie nuove: il contratto, la prova, la moneta elettronica, le frodi e gli accessi non autorizzati, la tutela del diritto d autore e della privacy sono alcuni esempi dei settori sui quali si è incentrata l attenzione del legislatore e dell opinione pubblica. Anche nel campo del diritto pubblico le implicazioni non sono minori: si pensi alla possibilità di ottenere certificati personali, di presentare dichiarazioni inerenti i redditi propri per via telematica o all ipotesi del voto elettronico esprimibile da qualsiasi parte del globo. Proprio in tale ottica si inserisce la previsione e l istituzione, del tutto innovativa per l Italia, degli organi garanti con compiti di regolamentazione e sorveglianza dei mercati, ma anche di vigilanza sull applicazione della normativa in difesa degli utenti anche attraverso l esercizio del potere sanzionatorio. L Italia ha da tempo adottato normative specifiche di contrasto e si è dotata 92
Alessandro PANSA contestualmente di strutture investigative per la lotta ai fenomeni criminali legati all utilizzo di tecnologie d avanguardia. Ricordiamo, in ordine di tempo, sul piano legislativo: la legge n. 547 del 23 dicembre 1993, recante Modificazioni e integrazioni alle norme del codice penale e di procedura penale in tema di criminalità informatica ; la legge n. 675 del 31 dicembre 1996, sulla Tutela delle persone e di altri soggetti rispetto al trattamento dei dati personali ; la legge n. 249 del 31 luglio 1997, che ha previsto la Istituzione dell Autorità per le garanzie sulle comunicazioni e norme sui sistemi di telecomunicazioni e radiotelevisivo ; la legge n. 269 del 3 agosto 1998, recante Norme contro lo sfruttamento della prostituzione, della pornografia, del turismo sessuale in danno di minori, quali nuove forme di riduzione in schiavitù. I CRIMINI INFORMATICI Nell ampio contesto della realtà informatica, si è sviluppato per vie parallele un insieme di comportamenti criminali nuovi ai danni sia di soggetti singoli che della collettività intera. Una forma nuova di criminalità, favorita dalla possibilità di realizzare guadagni cospicui lasciando solo tracce labili dell attività delittuosa, caratterizzata dalla transnazionalità che il fenomeno ha assunto, sta diventando una minaccia per i Paesi che fanno ricorso alle tecnologie. In punto di sintesi si può evidenziare come la criminalità informatica sia caratterizzata da alcuni attributi che la rendono un fenomeno autonomo rispetto ad altre forme di criminalità. Le condotte delittuose sono di norma delocalizzate, cioè sono frammentate nello spazio e nel tempo ed il loro raggio d azione è transnazionale, in quanto non incontra freni nei confini nazionali. Nel tempo stesso l attività delittuosa è espandibile, in quanto può ripetersi un numero indeterminato di volte, come nei casi di epidemia da virus, naturalmente digitali. Si tratta poi di delitti che pagano, per un duplice ordine di motivi: grandi guadagni con costi molto bassi; 93
CONTRIBUTI E SAGGI bassissimo rischio di essere scoperti e assoggettati a sanzioni penali severe. Le infrastrutture informatiche e delle telecomunicazioni sono così diventate un elemento critico delle nostre economie. Infatti, ognuna di queste infrastrutture presenta punti vulnerabili e offre lo spunto a comportamenti criminali, che possono assumere una varietà grande di forme. Purtroppo non vi è dubbio che i reati informatici possono costituire un pericolo per gli investimenti e per le attività degli operatori del settore, nonché per la sicurezza e per la fiducia dei cittadini nella società dell informazione. Non esiste una definizione normativa dei crimini informatici. La prassi investigativa comunque ne consiglia la distinzione seguente: crimini commessi ai danni della rete e dei sistemi di comunicazione (esempio: attacco ad una banca dati per carpirne le informazioni); crimini (per così dire ordinari) commessi attraverso la rete di comunicazione (invio di messaggi minacciosi o diffamatori con la posta elettronica). I reati informatici sono stati disciplinati dalla legge n. 547 del 23 dicembre 1993, che ha introdotto figure nuove di reato ed ampliato gli strumenti investigativi a disposizione delle forze di polizia, attraverso la modifica di alcuni articoli al codice penale e di procedura penale, nonché l introduzione di nuovi. La normativa, all epoca dell emanazione esaustiva, ha recepito positivamente segnali provenienti dal mondo della telematica e da quello delle investigazioni, individuando profili nuovi di responsabilità penale e disciplinando condotte di reato che già si erano evidenziate nella realtà criminale emergente. Tra le nuove figure di reato particolare importanza assume l accesso abusivo ad un sistema informatico o telematico (art. 615-ter C.P.), con cui il legislatore ha inteso fornire tutela ad un luogo virtuale, quale quello costituito dalla memoria di un elaboratore elettronico, adottando parametri analoghi a quelli della violazione di domicilio. In tal modo, sanzionando l intrusione non autorizzata, si tutela il diritto degli utenti di un computer, cittadini privati o amministrazione pubblica, a regolare l accesso al proprio domicilio informatico. Altrettanto importante la previsione dell art. 615-quater C.P., che ha inteso sanzionare la condotta di chi sottrae o utilizza codici, parole chiave o altri mezzi idonei all accesso ad un sistema informatico o telematico, protetto da 94
Alessandro PANSA misure di sicurezza. Il legislatore del 1993 ha anche fornito tutela contro la diffusione di programmi software finalizzati: al danneggiamento o alla distruzione di sistemi informatici (c.d. virus - art. 615-quinquies C.P.); alla tutela della riservatezza delle comunicazioni informatiche o telematiche, punendone l intercettazione illecita o l interruzione (art. 617-quater C.P.); alla salvaguardia dell integrità dei sistemi, sanzionandone il danneggiamento fisico e funzionale (art. 635-bis C.P.); alle garanzie economiche di strumenti elettronici nuovi, attraverso la previsione della frode informatica (art. 640-ter C.P.). Con la stessa legge sono stati introdotti articoli nuovi del codice di procedura penale che hanno fornito agli investigatori gli strumenti necessari al contrasto di questo tipo di criminalità, consistenti principalmente nella possibilità di effettuare intercettazioni informatiche o telematiche (art. 266-bis C.P.P.), anche se tali strumenti, alla luce dell evoluzione del settore, andrebbero aggiornati ed incrementati. PROBLEMATICHE GIURIDICHE Le problematiche di carattere tecnico-giuridico però restano ancora molte: la delocalizzazione delle attività in rete rende la individuazione dell Autorità giudiziaria competente difficoltosa, sia sul piano internazionale che nazionale; l armonizzazione della legislazione a livello internazionale; le difficoltà nella cooperazione investigativa tra vari Paesi; l acquisizione della prova; In ordine a quest ultimo punto, va rilevato che i computer crimes sono caratterizzati dal fatto che gli elementi probatori che ad essi si riferiscono hanno un tempo di vita breve, dovuto alla volatilità ed immaterialità della comunicazione ed alla cancellazione periodica, da parte degli amministratori di sistema, dei file di log, contenenti tracce delle sessioni avvenute e dell utente che le ha poste in essere. Per tal ragione acquista un valore determinante la collaborazione fra Forze di 95
CONTRIBUTI E SAGGI Polizia e aziende private, allo scopo di rendere accessibili in sede investigativa il numero più alto possibile di informazioni. La fonte principale di tali informazioni sono i fornitori di connettività ed i fornitori di servizi Internet (comunemente denominati Internet Service Provider). La legislazione attuale non prevede, però, obblighi, soprattutto per i fornitori di servizi legati ad Internet, di mantenere tutte quelle informazioni sensibili relative alla loro attività, né tanto meno di quei dati essenziali per le indagini. Solo di recente la delibera n. 467/00/CONS dell Autorità per le garanzie nelle comunicazioni ha introdotto un generico obbligo di collaborazione con le autorità giudiziarie competenti a fronte di richieste di documentazione e di intercettazioni legali, senza tuttavia prevedere un obbligo specifico di conservazione dei dati. È inoltre peggiorata la situazione con il successo che stanno riscuotendo i servizi free, ovvero gratuiti, in quanto non viene effettuato alcun controllo, da parte dei fornitori dei servizi Internet, sui dati personali che i singoli utenti dichiarano all atto di una richiesta di servizio. Ciò rende inefficaci gli interventi della polizia giudiziaria qualora siano commessi reati. Alcuni passi avanti, comunque, sono stati fatti grazie all opera efficace condotta, anche in termini di comunicazione, dalle Forze di Polizia, che hanno favorito un aumento della fiducia dei cittadini nelle istituzioni. Tutto ciò è testimoniato dall incremento percentuale vicino al 200% delle denunce di crimini informatici. LE NUOVE MINACCE CRIMINALI: INTERNET, RICICLAGGIO E PEDOFILIA ON-LINE Allo stato attuale delle conoscenze, la casistica più aggiornata ci porta all attenzione le seguenti tipologie di crimini informatici: attacchi a sistemi informatici furto di informazioni abuso dei servizi Internet truffe informatiche diffusione di programmi killer (virus, troiani) terrorismo informatico abusi dei nuovi servizi finanziari 96
Alessandro PANSA gioco d azzardo pedofilia on-line. Attacchi a sistemi informatici Lo scenario appena rappresentato delinea in maniera molto sommaria la realtà criminale in materia di informatica e telecomunicazioni. Entrando più nello specifico, le tipologie di attacco che possono essere portate ad un sistema informatico sono molte e cambiano secondo l'evolversi dei sistemi operativi. I più diffusi sono i seguenti: Denial of Service: diniego di servizio. Serve per mandare fuori servizio un computer tramite l'invio di migliaia di pacchetti che saturano completamente la macchina. Questi attacchi hanno naturalmente obiettivi ben precisi. Oltre che per fini di gioco o dimostrativi, di guerre tra hacker o vandalici, spesso vengono utilizzati per escludere un determinato server dalla rete e prenderne di conseguenza le sembianze; Brute Force: forza bruta. Questo tipo di attacco è piuttosto grossolano e tenta in maniera casuale di individuare la password necessaria per entrare su di un server. Con gli algoritmi di crittografia oggi disponibili, ed il buon senso degli amministratori, è quasi impossibile che vi si riesca; Sniffer: analizzatore di rete. Questi programmi vengono installati dagli hackers sui server ad insaputa di chi li gestisce ed analizzano tutto il traffico di dati che passa per quel server memorizzando (sniffando) tutte le password che vengono immesse dagli utenti che usano quel servizio determinato; Scanner: scansionatori. Sono programmi che esaminano porzioni di reti o interi domini Internet (.it,.com,.gov,.net etc.) alla ricerca di server vulnerabili da poter attaccare; Backdoor, porta sul retro, che, come dei passaggi segreti, consentono l'accesso incondizionato ad un sistema informatico a prescindere dalla conoscenza e dall'utilizzo dei regolari codici (username e password); possono essere create dall amministratore di sistema per accedere ad esso in caso di necessità o da un hacker per accedere illegittimamente ed assumerne il controllo; 97
CONTRIBUTI E SAGGI Bug and Exploit, bachi (debolezze) e sfruttamento di essi. La presenza e l'aumento nei sistemi informatici dei c.d. bug è direttamente proporzionale all'evolversi della rete stessa, lo scopo dell'hacker è quello di studiare il tipo di vulnerabilità e generare un programma (exploit) che ne sfrutti la debolezza al fine di introdursi nel sistema ed assumerne il controllo. Abuso dei servizi via Internet a) Sottoscrizione di abbonamenti Internet Certezza dell utente. I sottoscrittori di abbonamenti Internet a titolo oneroso sono generalizzati da parte degli operatori di telecomunicazioni, anche se solo per finalità legate alla fatturazione delle prestazioni. I sottoscrittori di abbonamenti free (gratuiti), invece, non vengono mai identificati ed utilizzano la rete in maniera anonima. Possono, infatti, sottoscrivere on-line (direttamente attraverso il computer collegato con la rete) degli abbonamenti utilizzando anche identità fittizie, attesa l assenza di controllo sulla veridicità dei dati forniti. È pertanto evidente la necessità di giungere ad una identificazione completa e sistematica degli abbonati che utilizzano i contratti di tipo free attraverso due possibilità: 1) consentire agli utilizzatori degli abbonamenti free la possibilità di connettersi alla rete da una sola utenza telefonica, in modo da rendere più agevole stabilire che la connessione è stata effettuata dal possessore reale dell account (accreditamento di un certo numero di connessioni); 2) permettere la registrazione dell account solo previa esibizione di un documento così come previsto per i contratti a titolo oneroso. Sarebbe comunque essenziale che al momento della sottoscrizione di un account, sia a titolo oneroso che gratuito, il richiedente fornisca le generalità esatte, pena una sanzione adeguata. In tal modo i più giovani potranno disporre di account registrati da adulti e gli investigatori, dal canto loro, riuscire ad identificare coloro che usano la rete per acquistare, copiare o diffondere materiale pedopornografico. Obbligo di rilevazione dell identificativo del chiamante. Tutte le connessioni ad 98
Alessandro PANSA Internet utilizzano, per il momento, le linee telefoniche. È quindi necessario prevedere la registrazione nel file di log (memoria del computer), del numero telefonico da cui viene effettuata la connessione telematica. Gli Internet Service Provider (aziende che forniscono il servizio di collegamento alla rete) non dovranno fornire la connessione a quegli utenti che non siano identificabili attraverso il numero chiamante. b) Navigazione Internet I file di log. Prevedere la custodia dei file di log da parte dei provider per un periodo congruo di tempo allo scopo di rendere possibile, nel corso di indagini preliminari, l individuazione dell autore di una connessione. La procedura potrebbe essere simile a quella che viene utilizzata per acquisire i dati di traffico telefonico (richiesta del P.M. al G.I.P.). Gli Internet point (computer collegati ad Internet e messi a disposizione del pubblico). Sono presidi istallati in ambienti pubblici (aeroporti, supermercati ecc.), che consentono la connessione e la navigazione Internet ai titolari di carte prepagate, che vengono vendute, allo stato, senza l identificazione dell acquirente. Gli Internet point consentono di fruire di tutti i servizi di rete, garantendo quindi l anonimato. Sarebbe necessario prevedere che attraverso gli Internet point si possa solo navigare escludendo altre attività potenzialmente a rischio, come scambio file, acquisti e altro. Previsione di dominio tematico. La registrazione dei domini (indicativi che individuano una pagina web determinata) può essere effettuata, per l Italia, presso la competente autorità di registrazione la quale assegna al richiedente il dominio contraddistinto dal suffisso.it (ad esempio www.nomedominio.it). Al riguardo si potrebbe prevedere che l autorità di registrazione, al momento della richiesta, raccolga una dichiarazione, da parte di colui che richiede la registrazione, sul contenuto del dominio. Nel caso di contenuti di natura sessuale al dominio richiesto ne potrebbe essere aggiunto un altro, c.d. di secondo livello, in grado di palesarne il contenuto (ad esempio www.nomedominio.sex.it). Dovrebbero essere previste sanzioni in caso di dichiarazioni false. Tale previsione realizzerebbe un filtro valido per l utilizzo consapevole della 99
CONTRIBUTI E SAGGI rete, soprattutto da parte di minori, consentendone un miglior controllo. L iniziativa potrebbe essere ancora più efficace se promossa a livello internazionale. Si realizzerebbe in tal modo un elemento tecnico efficace di discrimine dei contenuti delle pagine web. Motori di ricerca. Previsione per i motori di ricerca di modifiche software adeguate che escludano dalla ricerca parole chiave determinate, come quelle di accesso ai siti di contenuto pornografico. Ai minori dovrebbe essere consentito l uso di quei motori di ricerca soltanto. L iniziativa, però, dovrebbe essere condivisa in ambito internazionale, altrimenti sarebbe agevole eluderla mediante l uso di motori di ricerca di altri Paesi. Strumenti di contrasto. Alcune proposte, relative alle ipotesi d inserimento di virus nelle pagine web ovvero della formazione di black list di siti pedo-pornografici, formulate in maniera estemporanea e in contesti vari, fanno sorgere alcune perplessità: è difficile che possa essere legittimato l uso dei virus, se non come sanzione amministrativa; se ciò avvenisse resta comunque difficile comprendere la legittimità di una sanzione comminata in Italia ed eseguita all estero senza la cooperazione del Paese ove risiede il sito; le black list possono essere compilate solo dopo una attività specifica di monitoraggio, che andrebbe certificata da una qualche autorità; la lista sarebbe certamente lunghissima - probabilmente alcune decine di migliaia di siti nel mondo - e cambierebbe continuamente, con un irrisorio effetto sicurezza sia dal punto di vista preventivo, che da quello della tutela dei minori. L innalzamento del livello di sicurezza e un numero corretto di garanzie sull affidabilità di Internet non solo renderanno la rete fruibile con rischi minori, ma aumenteranno il numero degli utenti che ad essa accederanno. Diversamente da quanto ritengono la gran parte dei gestori dei sistemi informatici legati al mondo di Internet, le regole nell informatica non sono una limitazione, ma una garanzia che renderà l accesso alla rete più interessante e meno pericoloso. In termini prospettici non può non essere valutata la portata che l accesso ad Internet ha per il mondo giovanile, il quale - nonostante i costi siano bassi - ha bisogno di un centro di spesa per utilizzare la rete, che è individuabile negli adulti e anche nella pub- 100
Alessandro PANSA blica amministrazione. Ebbene, solo a fronte di garanzie certe, i genitori incentiveranno i loro bambini e la scuola i suoi alunni ad usare Internet. c) Il movimento no global. In occasione dei lavori del Vertice G8 che, come noto, hanno avuto luogo a Genova, nel luglio scorso, il Servizio Polizia Postale e delle Comunicazioni ha predisposto servizi di prevenzione e contrasto in relazione a eventuali interferenze e disturbi alle comunicazioni radio, televisive, telefoniche, nonché ad attacchi telematici possibili in danno di siti web istituzionali. Al fine di assicurare l intervento specialistico immediato sono stati presi in via preventiva diretti contatti, attraverso i Compartimenti della Polizia Postale competenti per territorio, con i gestori dei siti web istituzionali ed Internet Service Provider per sensibilizzarli sulle difese logiche da implementare, nonché sulla disponibilità ad una reperibilità pronta ed effettiva, anche notturna, per tutto il periodo in questione. L attività ha portato all individuazione ed all immediato contrasto di 130 attacchi telematici provenienti da Paesi stranieri e 70 dall Italia al sito ufficiale del G8. Sono state individuate, inoltre, grazie al continuo monitoraggio della rete, indicazioni riguardanti segnali di protesta (sit-in) in varie città. È stato individuato un virus denominato RED CODE, per cui il Servizio Polizia Postale e delle Comunicazioni ha provveduto a diffondere l informazione su di esso e alla possibilità di reperire la relativa patch. Abusi dei nuovi servizi finanziari 1 L informatica, la rete e le loro potenzialità hanno ampliato molto le possibilità di abusare dei servizi finanziari, soprattutto in tema di riciclaggio. Per averne una visione chiara bisogna: 1) valutare quale sia la minaccia concreta, quando si parla di utilizzo delle tecnologie avanzate da parte della delinquenza; 2) conoscere lo scenario di riferimento; 1 Masciandaro D., Pansa A., La farina del diavolo criminalità, imprese e banche in Italia, Baldini e Castoldi, 2000. 101
CONTRIBUTI E SAGGI 3) individuare quali siano gli strumenti adatti a contrastare tale genere di criminalità, sia sul piano della prevenzione che su quello della repressione. a) La minaccia. L esame del primo dei tre punti indicati può essere effettuato rispondendo ad una domanda specifica: è proprio vero che l'industria bancaria e finanziaria sia particolarmente vulnerabile alle intossicazioni da crimine? Purtroppo sì. La relazione esistente tra tipicità dell industria bancaria e finanziaria e vulnerabilità all illecito è piuttosto forte in quanto nasce dalla peculiarità delle mansioni svolte dalla intermediazione finanziaria, rispetto ad altre attività economiche. Vediamo il perché. In primo luogo va ricordato che il riciclaggio rappresenta il moltiplicatore del peso economico di qualunque organizzazione o soggetto criminale o illegale che sia; in secondo luogo la stima dei proventi dell economia criminale, che indica la potenziale dimensione aggregata dei flussi che domandano servizi di riciclaggio, viene calcolata in ordini di grandezza veramente notevoli - secondo alcuni addirittura tra il 7% e l 11% del PIL. Dinanzi a questo fenomeno si va a collocare la peculiarità delle funzioni che gli intermediari finanziari svolgono all'interno del sistema economico. Essi animano un industria in cui i servizi offerti e venduti sono intrinsecamente immateriali, con un contenuto informativo che è nel contempo alto e non distribuito in maniera uniforme tra tutti i partecipanti al mercato. La differenti caratteristiche degli operatori vengono così conosciute e coordinate dalle imprese finanziarie, attraverso l'offerta e la vendita dei servizi propri, e precisamente attraverso la gestione e l'accrescimento del loro patrimonio informativo, in un settore in cui l'informazione non è distribuita in modo omogeneo. Per questo motivo le imprese finanziarie finiscono per connotarsi per il loro patrimonio informativo che, rispetto a tutte le altre imprese, è maggiore, diverso e peculiare. Ciò le espone ad un rischio alto rispetto ai crimini informatici. Di riflesso l'industria finanziaria finisce per divenire strategica, rispetto alla finalità del riciclaggio che è proprio quella di trasformare potere d'acquisto potenziale in effettivo, per due caratteristiche cruciali: la trasparenza ridotta, o meglio un grado di opacità maggiore del normale, in 102
Alessandro PANSA quanto gli scambi ed i flussi di danaro vengono filtrati, coordinati e gestiti da terzi, cioè dagli operatori specializzati del settore; la posizione privilegiata di questi operatori: gli intermediari. All'interno del settore finanziario, poi, l azienda bancaria emerge come intermediario "speciale", in quanto sia i suoi contratti di debito che quelli di credito le consentono notevoli economie di scala e di diversificazione nella gestione delle informazioni, per cui essa diviene, in mercati "opachi" per definizione, una depositaria di informazioni riservate che riguardano sia i beneficiari dei prestiti che gli utilizzatori dei servizi di pagamento. Gli intermediari bancari e finanziari si pongono così al centro dell'attenzione sia delle organizzazioni criminali che delle autorità di polizia: per i soggetti criminali la presenza di operatori collusi o inefficienti nella tutela della propria integrità aumenta la possibilità di utilizzare il sistema dei pagamenti o del credito, o in generale dei servizi finanziari, per obiettivi specifici di riciclaggio o di inquinamento del sistema economico legale; per le autorità inquirenti ed investigative i patrimoni informativi in possesso di tali aziende possono avere un valore segnaletico fondamentale, rispetto alle possibilità di identificare o verificare la presenza di organizzazioni o soggetti criminali. In concreto, quindi, la minaccia che il sistema finanziario deve fronteggiare è quella di una criminalità che ha interesse a sfruttare il sistema informativo delle banche, sia per nascondere in esso le informazioni che la riguardano, sia perché può utilizzare strumenti tecnologici che rendono ancora meno trasparente la titolarità dei rapporti nelle transazioni. E qui veniamo al ruolo della rivoluzione rappresentata da Internet nei mercati monetari, creditizi e finanziari, che appare ancora non pienamente percepito neanche all'interno di tali mercati. L'applicazione dell'information technology ai servizi d intermediazione rappresenterà l'autentica rivoluzione del settore, ma tale rivoluzione sembra assente nel dibattito sulla sicurezza, ovvero appare confinata alle questioni meno innovative, legate a temporanee problematiche di carattere tecnico. Eppure dovrebbe essere sempre più evidente che l'applicazione delle tecnologie dell'informazione ai prodotti monetari, bancari e finanziari rappresenterà da 103
CONTRIBUTI E SAGGI un lato l'esaltazione della quintessenza della ragion d'essere dell'industria finanziaria nell'ambito di una economia di mercato, dall'altro segnerà un passaggio irreversibile, denso di opportunità, ma anche di grandi incognite. La pietra angolare su cui si fonda l'economia di mercato, a scelte decentrate, è l'essere in primo luogo un'economia monetaria, in cui cioè ciascun soggetto, caratterizzato, da un lato, da bisogni, presenti e futuri e, dall'altro, da redditi, presenti e futuri, in un contesto in cui domina per giunta l'incertezza, ha a disposizione degli strumenti particolari, cosiddetti fiduciari (monetari, bancari e poi finanziari), per soddisfare al meglio il problema economico di fondo della sua esistenza: appunto soddisfare bisogni con risorse scarse, in presenza d incertezza. Gli strumenti fiduciari non hanno fatto altro, in tutta la loro storia, che cercare di veicolare in modo il più possibile corretto ed efficiente informazioni sugli agenti: la moneta, i debiti ed i crediti, le attività e passività finanziarie, attribuibili a ciascuna famiglia o impresa, "raccontano" al resto del sistema quanto e come questo operatore sia in grado di soddisfare l'eterna equazione bisogni-risorse. Quanto più gli strumenti fiduciari hanno saputo veicolare in modo efficiente informazioni corrette tra agenti, tanto più il sistema è cresciuto, creando nuovo valore. Certo il veicolo degli strumenti fiduciari non è mai stato perfetto: per l'industria bancaria e finanziaria si è sempre parlato d informazione incompleta ed asimmetrica, con gli intermediari a ridurre i costi ed a trarre profitto da tali asimmetrie. Ora la tecnologia dell'informazione non può che cambiare radicalmente i modi di produrre e di distribuire, propri di un settore che ha nei suoi cromosomi, al di là delle diverse vesti storiche che moneta, banca e finanza hanno preso, null'altro che sfruttare al meglio le informazioni disponibili, creando valore. Non va, però, mai dimenticato che questo sviluppo previsto e giustificato presta anche il fianco all infiltrazione criminale. b) Lo scenario di riferimento. Non ci sembra che di questo specifico aspetto ci sia ancora piena consapevolezza soprattutto in ragione dell espansione delle reti di connessione, che coinvolgono sempre strati più larghi della popolazione. Il 104
Alessandro PANSA rapido sviluppo dell impiego degli strumenti telematici in ambito finanziariobancario fa nascere legittime preoccupazioni circa la possibilità di un utilizzo finalizzato al riciclaggio che potrebbe agevolare le organizzazioni criminali. Tuttavia - va detto - queste preoccupazioni diffuse sul riciclaggio on-line sono basate più che su fatti concreti, su ipotesi formulate dagli esperti del settore atteso che la particolare complessità del fenomeno e la difficoltà di individuarne lo svolgimento non consentono di delinearne chiaramente i contorni e di verificarne le esatte dimensioni. Uno studio econometrico dell Austrac (Australian Transaction Reports and Analysis Centre) nel 1999 - ad esempio - giunse alla conclusione che attraverso Internet venissero annualmente riciclati circa 50 milioni di dollari. È evidente come le potenzialità della rete Internet in relazione alle sue dimensioni e al suo sviluppo costante possano offrire alle organizzazioni criminali possibilità enormi di attuare forme di riciclaggio del tutto innovative rispetto a quelle tradizionali. Con Internet in particolare, viene ampliata quella distanza tra il riciclatore ed il capitale, frutto dell attività illecita, rendendo più difficoltosa l opera di indagine sui soggetti sospettati. La distanza è un fattore che permette al riciclatore di assicurarsi uno spazio relativamente tranquillo ove operare senza incorrere in controlli particolari. Emblematiche in tal senso potrebbero essere operazioni di riciclaggio effettuate estero su estero dall agente riciclatore attraverso Internet con più facilità che con i sistemi tradizionali. Certo è che cominciano ad essere molteplici i servizi che il sistema bancario oggi fornisce in maniera virtuale. Lo studio di scenari possibili di riciclaggio on-line individua due possibili ipotesi, ovvero: che gli strumenti telematici, e quindi la rete Internet, siano da considerarsi un mezzo ulteriore di comunicazione, che si aggiunge a quelli tradizionali, offrendo un canale nuovo per le operazioni di riciclaggio senza modificarne comunque i meccanismi di fondo; che l avvento di Internet abbia modificato i meccanismi di riciclaggio on-line offrendo delle opportunità irrealizzabili nel sistema di transazioni finanziarie tra- 105
CONTRIBUTI E SAGGI dizionali, dando vita così al c.d. Cyberlaundering. Nella prima delle ipotesi considerate, Internet è in grado di agevolare, per le sue peculiarità, i vari passaggi attraverso i quali si realizza l operazione di riciclaggio: la polverizzazione (placement), il camuffamento (layering) e l integrazione (integration). Nelle varie fasi la rete telematica si aggiunge agli strumenti di comunicazione esistenti, ma con enormi vantaggi rispetto alle comunicazioni telefoniche o a quelle via fax, ossia: garanzia maggiore dell anonimato; indifferenza rispetto alla distanza geografica; velocità considerevole di realizzazione delle transazioni. Così le comunicazioni relative a disposizioni per movimentazione di capitale possono essere eseguite al riparo da occhi indiscreti, compresi quelli di coloro che devono eseguire i controlli. Cyberlaundering 2. È l ipotesi suggestiva relativa ad un contesto nuovo in grado di superare gli schemi tradizionali e ridurre l attività di riciclaggio ad un operazione unica da effettuare nel mondo virtuale. In questo nuovo ambiente la rete telematica può divenire strumento per effettuare acquisti di beni e spostare capitali in un economia che si avvia alla dematerializzazione piena dei suoi prodotti. L attività umana si offre sotto la forma di siti web, di redazioni giornalistiche telematiche, di società di consulenza on-line, ma anche di istituti finanziari virtuali. Si tratta di un universo nuovo, dove le potenzialità imprenditoriali possono essere dispiegate in pieno, ma anche di un contesto dove vige la quasi assenza totale di regolamentazione e pertanto potenzialmente non immune da forme virulente di penetrazione ad opera delle organizzazioni criminali. In tale ambiente il fenomeno del riciclaggio di capitali illeciti può trovare le condizioni idonee per svilupparsi, poiché l opera di verifica e controllo è resa sempre più ardua dalla trasformazione continua dell attività umana nel corrispondente formato digitale. È praticamente impossibile verificare se, a fronte di una somma sborsata per 2 Servizio Polizia Postale e delle Comunicazioni, Riciclaggio attraverso i nuovi canali telematici, maggio 2001. 106