background

I crimini cibernetici nell'ordinamento giuridico nazionale e internazionale

Aspetti generali ed evoluzione normativa

1. Introduzione

Dall’inizio della pandemia si è assistito a un rapido aumento degli crimini cibernetici. L’INTERPOL ha infatti riferito che negli ultimi mesi numerosi criminali hanno sfruttato la vulnerabilità dei sistemi e delle reti informatiche – sempre più utilizzati da aziende ed enti pubblici a seguito delle misure restrittive imposte dagli Stati per far fronte al diffondersi del Covid-19 – al fine di rubare dati, fare profitto o provocare danni. Secondo i dati riportati da Check Point Software (CPS), una società israeliana specializzata in sicurezza informatica, il numero di attacchi cibernetici segnalati ogni giorno a livello globale è infatti passato dai 200 del periodo pre-pandemia ad oltre 5.000. Tali attacchi hanno preso di mira pubbliche amministrazioni, aziende pubbliche e private, nonché singoli cittadini. L’aumento spropositato di questi crimini ha riportato l’attenzione dell'opinione pubblica sulle disposizioni adottate per contrastare tali illeciti. Cosa prevedono il diritto nazionale ed internazionale in merito? In questo contributo cercheremo innanzitutto di dare una definizione di crimine cibernetico, la cui nozione è ancora nebulosa. Dopodiché verranno analizzate le disposizioni rilevanti, adottate sia a livello nazionale che a livello internazionale. Particolare attenzione verrà prestata agli strumenti adottati dal Consiglio d’Europa e alla normativa nazionale.

2. Dalla rivoluzione tecnologica alla rivoluzione criminale

La rivoluzione tecnologica che negli anni Ottanta e Novanta ha portato alla diffusione dei personal computer e di Internet ha anche aperto una nuova frontiera per il crimine organizzato. Alla rivoluzione digitale si è accompagnata una ‘rivoluzione criminale’: per sua stessa natura lo spazio cibernetico si è presto rivelato terreno fertile per nuove espressioni del crimine organizzato. Oggi basta avere un computer con accesso ad internet per poter fare grandi guadagni a basso costo. Lo spazio cibernetico garantisce poi l’anonimato a chi ne fa uso: i criminali infatti non sono quasi mai identificabili né localizzabili con precisione. Queste caratteristiche hanno portato ad una prolificazione dei crimini nella rete, che si fa sempre più accentuata al crescere dell’interdipendenza tra uomo e strumenti informatici. [1]

3. La definizione di ‘crimini cibernetici’

Ad oggi non esiste una definizione globalmente condivisa di ‘crimini cibernetici’, dal momento che tale nozione include al proprio interno una serie di condotte illecite molto diverse tra loro ed il cui solo denominatore comune è l’utilizzo di dispositivi informatici. In termini generali, tuttavia, si può dire che i ‘crimini cibernetici’ siano atti ostili che sfruttano la dimensione cibernetica per compiere reati. [2] Tale definizione è da intendersi nel suo senso più ampio: essa comprende sia reati in cui la condotta o l’oggetto materiale dell’illecito è correlato ad un sistema informatico o telematico (il c.d. computer as a tool), sia reati perpetrati sfruttando o colpendo i sistemi informatici (il c.d. computer as a target). Anche lo spettro dei reati è particolarmente ampio: ci si riferisce infatti sia ai reati commessi interamente per via informatica, come ad esempio gli attacchi hacker, sia ai reati tradizionalmente non informatici, come il terrorismo, che possono essere attuati o facilitati per mezzo di tecnologie informatiche o telematiche. [3]

Tra i crimini informatici più diffusi vi sono il danneggiamento dei dati, dei programmi e dei sistemi informatici, la frode informatica, l’accesso abusivo, la detenzione e la diffusione dei codici d’accesso, la falsificazione di documenti informatici, l’interferenza illecita nelle comunicazioni e l’emissione di dispositivi o programmi informatici finalizzati ad interrompere o danneggiare un sistema informato o telematico.

4. Le disposizioni adottate dal Consiglio d’Europa in materia di crimini cibernetici

Nel 1989 il Consiglio d’Europa ha adottato la Raccomandazione No. R (89)-9 sulla repressione della criminalità informatica, il primo fondamentale riferimento normativo europeo in tema di crimini cibernetici. [4] In essa si fa riferimento ad una prima catalogazione dei crimini cibernetici, suddivisi in due liste: una indicante le condotte che gli Stati sono invitati a perseguire penalmente (la c.d. lista minima); l’altra indicante le condotte da incriminare solo in via eventuale (la c.d. lista facoltativa).

La Raccomandazione ha avuto un forte impatto sugli Stati membri del Consiglio d’Europa che non avevano ancora elaborato una propria legislazione penale riferita agli illeciti cibernetici. [5] Tuttavia, è solo con la Convenzione sul crimine cibernetico (o ‘Convenzione di Budapest’) che si ha un vero progresso nella promozione di una politica comune in campo penale per i crimini cibernetici.

La Convenzione, adottata dal Consiglio d’Europa il 23 novembre 2001 ed entrata in vigore il 1° luglio 2004, è il primo strumento multilaterale in riferimento alla criminalità cibernetica. [6] Ad oggi, essa è uno degli atti normativi più rilevanti in materia: è stato infatti il primo passo per istituzionalizzare a livello giuridico una classificazione universale dei reati cibernetici.
Gli illeciti vengono delineati in quattro macro-categorie:

  1.  I reati contro la riservatezza, l’integrità e la disponibilità dei dati e dei sistemi informatici (artt. 2-6);
  2. I reati informatici (artt. 7-8);
  3. I reati relativi ai contenuti (art. 9);
  4. I reati contro la proprietà intellettuale e i diritti collegati (art. 10).

Ogni Stato firmatario è tenuto a criminalizzare le infrazioni qui menzionate a livello nazionale, ad armonizzare i propri ordinamenti giuridici interni e a coordinarsi con gli altri Paesi al fine di prevenire e contrastare tali atti illeciti. Ad oggi sono 65 gli Stati che hanno aderito alla Convenzione, 21 dei quali non sono membri del Consiglio d’Europa. [7]

5. I crimini cibernetici nell’ordinamento italiano

Sebbene i primi progetti di legge aventi oggetto la regolamentazione penale degli atti illeciti legati all’informatica siano stati presentati al Parlamento già all’inizio degli anni Ottanta [8], la prima normativa italiana in materia di crimini informatici è stata la Legge No. 547 del 1993 ('Modificazioni ed integrazioni alle norme del Codice Penale e del Codice di Procedura Penale in tema di criminalità informatica'), adottata dal Parlamento italiano in attuazione della sopracitata Raccomandazione. [9] In particolare, la Legge No. 547/93 ha introdotto nell’ordinamento italiano alcune fattispecie ex novo [10] e ha modificato altre fattispecie preesistenti. [11] I reati disciplinati dal nostro ordinamento possono essere suddivisi in quattro macro-categorie:

  1. La frode informatica (art. 640 ter del codice penale);
  2. L’accesso abusivo ad un sistema informatico e telematico (art. 615 ter del codice penale);
  3. La detenzione e diffusione abusiva di codici di accesso a sistemi informatici e telematici (art. 615 quater del codice penale);
  4. La diffusione di apparecchiature, dispositivi o programmi informatici diretti a danneggiare o interrompere un sistema informatico o telematico (art. 615 quinquies del codice penale).

Nel 2008, la disciplina italiana dei reati informatici è stata nuovamente modificata con l’approvazione della Legge No. 48/2008, recante la ratifica della Convenzione di Budapest. [12] Sono stati così introdotti significativi cambiamenti al Codice Penale e al Codice di Procedura Penale, con sanzioni più severe per i reati informatici, nuove norme di contrasto alla pedopornografia in rete, sanzioni a carico delle società, possibilità per le forze dell’ordine di chiedere al provider il congelamento dei dati telematici per sei mesi e maggiori tutele per il trattamento dei dati personali.

6. I limiti della normativa vigente

Lo sviluppo tecnologico e l’evoluzione di Internet hanno apportato numerosi benefici alla società; allo stesso tempo, tuttavia, hanno anche rappresentato un terreno fertile per nuove condotte criminali. Per questa ragione, si è mostrato necessario adottare nuove misure di contrasto alla criminalità informatica. In tal senso, gli strumenti adottati dal Consiglio d’Europa (ed in particolare la Convenzione di Budapest) sono stati essenziali per la consolidazione di una politica comune in campo penale per i crimini cibernetici. Ciononostante, il continuo sviluppo delle tecnologie telematiche e informatiche rende difficile la stesura di una normativa giuridica che copra in modo estensivo ed immutabile nel tempo l’intera fenomenologia del reato informatico. Allo sviluppo tecnologico dovrebbe infatti corrispondere un costante aggiornamento degli strumenti normativi in materia, ma spesso non è così: sebbene la Convenzione di Budapest sia stata adottata 19 anni fa, resta ancora il testo normativo di riferimento per il contrasto alla criminalità informatica. L’attuale normativa in materia di crimini cibernetici è quindi molto rigida e difficile da modificare tempestivamente – soprattutto quando l’emanazione di nuove norme si realizza a fronte di un processo lungo e complesso, come nel caso italiano. Sarebbe auspicabile, invece, una maggiore attività a livello nazionale ed ancor più internazionale per aggiornare costantemente le normative adottate in materia di criminalità cibernetica, al fine di garantire una maggiore protezione dalle minacce informatiche. Ciò è ancora più evidente a fronte dell’attuale aumento repentino dei crimini cibernetici, causato dall’emergenza del Covid-19.

7. Fonti consultate per il presente articolo

[1] Piero Lorusso, L'insicurezza dell'era digitale. Tra cybercrimes e nuove frontiere dell'investigazione, Milano, Franco Angeli, 2011, pagina 15.

[2] Camera dei deputati (XVIII Legislatura), Dominio cibernetico, nuove tecnologie e politiche di sicurezza e difesa cyber, Documentazione e ricerche, No. 83, 24 settembre 2019, pagina 19.

[3] Tallinn Manual 2.0 on the International Law Applicable to Cyber Operations, Cambridge University Press, 2017, Regola 13, paragrafo 2.

[4] Consiglio d’Europa, Raccomandazione No. R (89) 9, 13 settembre 1989.

[5] L’Italia è stata tra gli ultimi Paesi membri del Consiglio d’Europa a recepire la Raccomandazione No. R (89) – 9 nel proprio ordinamento. Si veda, a tal proposito, il paragrafo 4 del presente contributo.

[6] Consiglio d’Europa, Convenzione sul crimine cibernetico, 23 novembre 2001.

[7] Per maggiori dettagli sulla ratifica della Convenzione sul crimine cibernetico, si veda il seguente link: https://www.coe.int/en/web/conventions/full-list/-/conventions/treaty/185/signatures?p_auth=RZIbror2.

[8] Si vedano, in merito, i seguenti disegni di legge: ddl n. 1210 del 27 gennaio 1984; ddl n. 1602 del 2 ottobre 1987; ddl n. 1602 del 2 ottobre 1987; ddl n. 4367 del 21 novembre 1989; ddl n. 5076 del 18 settembre 1990; ddl n.182 del 23 aprile 1992; e il ddl 1526 del 1 settembre 1992.

[9] Per consultare il testo della Legge No. 547 del 1993, si veda il seguente link: https://www.gazzettaufficiale.it/atto/serie_generale/caricaDettaglioAtto/originario?atto.dataPubblicazioneGazzetta=1993-12-30&atto.codiceRedazionale=093G0633.

[10] Si vedano, in particolare: art. 491-bis (Falso informatico); art. 615-ter (Accesso abusivo ad un sistema informatico o telematico); art. 615-quater (Detenzione e diffusione abusiva di codici d’accesso ad un sistema informatico o telematico); art. 615-quinquies (Diffusione di programmi diretti a danneggiare o interrompere un sistema informatico); art. 617-quater (Intercettazione, impedimento o interruzione illecita di comunicazioni informatiche o telematiche); art. 617-quinquies (Installazione di apparecchiature atte a intercettare, impedire o interrompere comunicazioni informatiche o telematiche); art. 617-sexies (falsificazione, alterazione o soppressione del contenuto di comunicazioni informatiche o telematiche); art. 623-bis (Rivelazione di comunicazioni telematiche); art. 635-bis (Danneggiamento di sistemi informatici e telematici); e art. 640-ter (Frode informatica).

[11] Si vedano, in particolare: art. 392 (Esercizio arbitrario elle proprie ragioni mediante danneggiamento informatico); art. 420 (Attentato a sistemi elettronici di pubblica utilità); art. 616 (Violazione di corrispondenza telematica); e art. 621 (Rivelazione del contenuto di documenti segreti su supporti informatici).

[12] Per consultare il testo della Legge No.48/2008, si veda il seguente link: http://www.parlamento.it/parlam/leggi/08048l.htm.


Condividi il post

  • L'Autore

    Marta Stroppa

    Marta Stroppa si laurea in Scienze Internazionali e Istituzioni Europee presso l’Università degli Studi di Milano nel 2016, per poi proseguire i suoi studi con una laurea magistrale in Relazioni Internazionali presso la medesima università e un Master of Laws in International and European Law presso l’Università di Tilburg, nei Paesi Bassi. Si specializza in diritti umani, diritto umanitario e diritto internazionale penale.

    Durante i suoi studi, ha partecipato a diversi progetti di ricerca, alcuni co-finanziati dall’Unione Europea, collaborando con numerosi esperti nella tutela dei diritti umani. Nel dicembre 2017, si avvicina per la prima volta al mondo del no-profit, svolgendo un tirocinio presso la Redazione e l’Ufficio Stampa della Onlus Gariwo – La foresta dei Giusti. Nel gennaio 2019, parte per gli Stati Uniti, dove lavora nell’ufficio legale della Rappresentanza Permanente d’Italia alle Nazioni Unite a New York.

    All'interno di Mondo Internazionale, è Consulente Legale e Project Manager di Legalytics.

Categorie

Temi Organizzazioni Internazionali Sicurezza Internazionale Società


Tag

Legalytics cybercrimes crimini cibernetici Legge diritto penale Convenzione di Budapest

Potrebbero interessarti

Image

Uno sguardo sul sistema giudiziario italiano

Ana Maria Soare
Image

Lessico Ferragnez

Francesco Marchesetti
Image

Le democrazie liberali e il diritto penale

Rebecca Scaglia
Accedi al tuo account di Mondo Internazionale
Password dimenticata? Recuperala qui