Premessa metodologica La scelta del tema del presente lavoro è stata fortemente infuenzata dall'internship che ho
avuto modo di svolgere nell'autunno 2010 presso EUROJUST , l'agenzia dell'Unione Europea
che si occupa della cooperazione giudiziaria in materia penale, con sede a L'Aja. Durante
questa esperienza di stage all'estero, infatti, mi sono imbattuta spesso in casi riguardanti
nuove forme di criminalità transnazionale, caratterizzate dall'uso -anzi, dall'abuso- delle
tecnologie informatiche e telematiche.
In particolare, ho seguito l'evolversi di indagini coordinate a livello europeo su diversi tipi di
reati informatici, quali l'oscuramento di siti Internet a scopo intimidatorio/ricattatorio, la
contraffazione di carte di pagamento (detta skimming), le frodi elettroniche, il phishing, il
cyber-riciclaggio, la pedopornografia online. Tali indagini sollevano immancabilmente
problemi di grande momento, primo fra tutti l'insufficiente grado di armonizzazione
legislativa fra gli Stati membri su aspetti fondamentali della materia, come la penalizzazione
stessa dei fatti o il loro trattamento sanzionatorio, estremamente diseguali da un Paese
all'altro. Inoltre, le questioni di ordine processuale sono innumerevoli: oltre alla difficoltosa
individuazione dell'autore dei reati informatici, si presentano seri dubbi sulla determinazione
della giurisdizione competente, sulla esecuzione del sequestro dei web server, sulla
realizzazione di intercettazioni online, sulle acquisizioni di prove digitali all'estero e così via.
Tutti questi interrogativi richiedono risposte rapide e certe, ma solo in alcuni casi è possibile
fornirle; mancando un quadro legislativo definito, tutto sta nella buona volontà delle autorità
nazionali coinvolte nella medesima indagine transnazionale.
Il primo capitolo, che prova a tracciare un'analisi empirica del cybercrime, trae ispirazione
dalle variegate nozioni pratiche apprese durante il periodo di stage a EUROJUST; anche il
terzo capitolo, inerente la cooperazione internazionale nel contrasto ai reati informatici,
risente molto dell'approccio pragmatico tipico del settore, per il quale è meglio una serie di
intese non vincolanti sulla collaborazione reciproca fra tutti gli Stati europei, che dedicare
tempo ed energie a predisporre strumenti cogenti come il trattato di Budapest e la Decisione
UE del 2005, entrambi, purtroppo, dagli esiti applicativi insoddisfacenti.
La parte centrale dell'esposizione, invece, ha un'impostazione "tradizionale", essendo
dedicata al commento delle singole disposizioni penali-informatiche vigenti in Italia. Tale
operazione esegetica (e spesso critica) è necessaria, non solo per comprendere "lo stato
dell'arte" nel nostro ordinamento in materia di reati informatici, ma soprattutto per
individuare le aree di possibile riforma ed aggiornamento, alla luce delle tendenze empiriche
e delle esigenze sovranazionali descritte negli altri due capitoli.
Nella stesura del secondo capitolo è stato di enorme aiuto potermi documentare al Max
Planck Institute for Foreign and International Criminal Law di Friburgo: le risorse
bibliografiche dell'istituto mi hanno consentito di spaziare dai più recenti sviluppi della
dottrina italiana agli studi provenienti dal mondo anglosassone, passando per i fondamentali
testi del Prof. Sieber.
Convergono, dunque, nella trattazione due prospettive opposte e complementari: da una
parte il punto di vista pratico, frutto della casistica affrontata a EUROJUST, dall'altra il punto
di vista teorico, approfondito notevolmente con le ricerche al Max Planck Institute di
Friburgo. Si spera che il risultato di questa unione sia interessante. Buona lettura.
6
Capitolo Primo I REATI INFORMATICI: FENOMENOLOGIA E QUESTIONI PENALISTICHE SOMMARIO : 1. Metodi rudimentali e sofisticati di intrusione nei sistemi e nelle reti; 2. Programmi
dannosi e sabotaggi informatici; 3. Alcuni r eati informatici “impropri”: 3.1 Intercettazioni
telematiche; 3.2 Frodi elettroniche; 3.3 Contrafazioni di carte di pagamento; 4. Principali
problemi di diritto penale sostanziale e processuale. 4.1 Osservazioni di carattere
sostanziale: i “beni informatici”; 4.1 (segu e) Altre discrasie tra gli istituti di parte generale
e i cybercrime; 4.2 Difficoltà e tecniche specifiche nelle indagini sui reati informatici.
Quando si parla di diritto penale dell'informatica, la prima impressione che si avverte è un
certo spiazzamento, come se si trattasse di una materia appena introdotta nell'ordinamento
italiano; eppure, il testo normativo di riferimento, vale a dire la legge n. 547 del 1993, ha già
compiuto diciotto anni. Il vero problema di questa legge è comprendere di cosa essa si
occupi di preciso. In altre parole, occorre avere almeno una minima conoscenza pratica dei
comportamenti che il legislatore intende reprimere. La legge del 1993 ha infatti introdotto
nel c.p. le prime disposizioni volte a incriminare i reati inform atici
1
; alcune di queste
previsioni sono state parzialmente modificate dalla legge 48/2008, che ratifica la
Convenzione Cybercrime, conclusa a Budapest il 23 novembre 2001 in seno al Consiglio
d'Europa.
É ormai constatazione ovvia che le tecnologie informatiche siano diventate insostituibili in
ogni ambito dell'economia, dell'amministrazione e della vita quotidiana; la consapevolezza
dei rischi ad esse collegati, invece, è scarsamente difusa tra gli utenti, i quali spesso
dimenticano di approntare anche gli accorgimenti minimi per la sicurezza dei dispositivi
2
.
Ai fini del diritto penale occorre non solo tenere in considerazione i rischi connessi alla
tecnologia informatica, ma anche acquisire alcune nozioni di base sul suo funzionamento, in
1 La legge 547 del 1993 ha in parte inserito nuove disposizioni nel c.p., in parte ha aggiunto commi
ad articoli preesistenti.
Per quanto riguarda le fattispecie create ex novo abbiamo: art. 491 bis (falso informatico), art. 615
ter (accesso abusivo a un sistema informatico o telematico), art. 615 quater (detenzione e
difusione abusiva di codici d'accesso a un sistema informatico o telematico), art. 615 quinquies
(difusione di programmi diretti a danneggiare o interrompere un sistema informatico), art. 617
quater (intercettazione, impedimento o interruzione illecita di comunicazioni informatiche o
telematiche), art. 617 quinquies (installazione di apparecchiature atte a intercettare, impedire o
interrompere comunicazioni informatiche o telematiche), art. 617 sexies (falsificazione,
alterazione o soppressione del contenuto di comunicazioni informatiche o telematiche), art. 623
bis (rivelazione di comunicazioni telematiche), art. 635 bis (danneggiamento di sistemi informatici
e telematici), art. 640 ter (frode informatica).
Le norme previgenti, “aggiornate” all'avvento delle tecnologie informatiche, sono invece: art. 392
(esercizio arbitrario delle proprie ragioni mediante danneggiamento informatico), art. 420
(attentato a sistemi elettronici di pubblica utilità), art. 616 (violazione di corrispondenza
telematica), art. 621 (rivelazione del contenuto di documenti segreti su supporti informatici).
2 Internet Security Threat Report 2011 , redatto dalla società di sicurezza informatica Symantec e
reso pubblico sul sito ufficiale: www.symantec.com/business/threatreport/build.jsp 7
modo da saper distinguerne l'uso dall'abuso, ossia, in termini penalistici, apprezzare il grado
di ofensività delle condotte realizzabili con tali mezzi.
Innanzitutto, la parola "informatica" significa trattamento automatico delle informazioni:
questa definizione, in apparenza superfua, fa sì che siano compresi nell'alveo dei reati
informatici sia i comportamenti diretti a computer o reti di computer (Internet in primis ), sia
quelli rivolti ad altri apparecchi elettronici
3
, come gli sportelli Bancomat, i telefoni cellulari di
ultima generazione (cd. smartphone ), le nuove carte di credito e debito (contenenti tutte un
microchip) e così via. Per questo motivo è da rigettare la denominazione di " computer
crimes" , talvolta utilizzata come sinonimo di reati informatici, poiché essa suggerisce un'idea
riduttiva e non rispondente alla realtà normativa, cioè che la tutela penale abbia ad oggetto
soltanto i computer 4
; per il motivo opposto, cioè per l'eccessiva dilatazione dell'oggetto, non
è condivisibile nemmeno la categoria di " high-tech crime"
5
, proposta, al pari di quella dei
"computer crimes", dalla dottrina di common law.
I primi studi sulla criminalità informatica sono documentati negli USA tra la fine degli anni
Sessanta e l'inizio degli anni Settanta
6
: all'epoca le apparecchiature elettroniche erano quasi
esclusivamente in uso a basi militari e istituzioni accademiche, pertanto le principali
preoccupazioni riguardavano la sicurezza dei dati in possesso ad enti pubblici o di pubblico
interesse, nonché la garanzia dei diritti di esclusiva sulle invenzioni di microchip sempre più
potenti
7
.
Con la graduale massificazione dell'uso delle tecnologie informatiche, grazie soprattutto
all'introduzione del personal computer negli anni Ottanta, i problemi legati all'abuso dei
nuovi strumenti aumentarono in modo esponenziale. In primo luogo, è andata afermandosi
una sorta di "sottocultura" (non necessariamente criminale) nel mondo giovanile: l' hacking,
che in estrema sintesi può riassumersi nell'idea per cui tutti abbiano diritto a condividere
ogni informazione contenuta nei computer, anche a costo di accedere nei dispositivi altrui
senza il consenso del titolare.
In secondo luogo, attività un tempo "cartacee" cominciano ad essere svolte tramite mezzi
elettronici: il trasferimento di denaro, l'acquisto di beni e servizi, la tenuta della contabilità e
degli archivi ne sono gli esempi più significativi. Ciò comporta un radicale cambiamento negli
usi leciti ed illeciti dei dispositivi informatici: come mutano le modalità di stipulazione di un
contratto, così si evolvono i metodi di riciclaggio, trufa, frode fiscale, falsificazione dei
bilanci, etc., diventando virtuali e quindi più difficili da accertare per le autorità inquirenti.
3 SIEBER U., Organised crime in Europe: the threat of cybercrime. Situation Report 2004 , Council of
Europe Publishing, 2005, p. 82;
4 CLIFFORD R. D. (editing), Cybercrime: the investigation, prosecution and defense of a computer-
related crime, Carolina Academic Press, 2006, p. 19;
5 Impiegano la nozione di “reati ad alta tecnologia”, ad esempio: L EMAN -LANGLOIS S. (editing),
Technocrime. Technology, crime and social control, Portland, 2008; M OORE R., Cybercrime:
investigating high-technology computer crime, LexisNexis Publication, 2005;
6 Per un'accurata ricostruzione storica della criminalità informatica si veda CLOUGH J., Principles of
cybercrime. Part I-II-III, Cambridge, 2010, p. 3-67;
7 In linguaggio tecnico, i microchip sono detti “topografie a semiconduttori”. Sugli aspetti rilevanti
per il diritto penale cfr. F ONDAROLI D., Brevi note sulle “Norme per la tutela giuridica delle topografie
dei prodotti a semiconduttori” (l. 21 febbraio 1989, n. 70), in Riv. Trim. dir. Pen. Eco., 1991, p. 1046
s.;
8
Infine, il grande salto di qualità nella società occidentale e, di pari passo, nella
fenomenologia criminale, è stato negli anni Novanta l'avvento di Internet, il primo mezzo di
comunicazione globale ed istantaneo, che funziona connettendo più computer o dispositivi a
un'unica rete mondiale (il Web ); adesso, vent'anni dopo la sua afermazione, Internet è una
tecnologia imprescindibile per qualsiasi soggetto individuale o collettivo, pubblico o privato.
Le attività illecite, parallelamente, si sono notevolmente modernizzate grazie al Web, il quale
ofre nuove opportunità e nuovi strumenti per la commissione di reati. In particolare, molte
organizzazioni criminali sfruttano Internet per aumentare la propria efficienza
8
, ad esempio
impiegando le aste online per riciclare denaro sporco oppure comunicando via e-mail alle
singole cellule sparse in luoghi distanti.
In questi casi Internet rappresenta soltanto un nuovo strumento per la commissione di reati
"tradizionali"; in altri casi, invece, Internet è il contesto virtuale necessario alla realizzazione
di aggressioni anomale, che non trovano un corrispondente nel mondo fisico. Si pensi ai
numerosi episodi di furto di identità digitale sul Web, i quali consistono nella copia ed
utilizzo di dati riguardanti un individuo, attinti da database online oppure da cartelle
condivise tra un ristretto numero di computer: i furti d'identità non sono né sussumibili sotto
il furto tradizionale di cui all'art. 624 c.p., non essendo l'identità digitale una cosa mobile, né
paiono corrispondere al trattamento abusivo di dati personali incriminato dall'art. 167 del
Codice della Privacy. In assenza di disposizioni ad hoc, vedremo in quale modo dottrina e
giurisprudenza cercano di colmare le lacune nella legislazione italiana.
Riassumendo, l'espressione "reato informatico" racchiude in sé una molteplicità di condotte
illecite, che variano continuamente insieme al progresso tecnologico: particolarmente
pressante è, perciò, il problema della rapida obsolescenza delle definizioni giuridiche e delle
disposizioni incriminatrici. Molte fattispecie non riescono difatti a tipizzare le più frequenti
aggressioni alla sicurezza ed all'affidabilità dei sistemi informatici, in parte a causa di una
terminologia ab origine imprecisa o addirittura inadeguata, in parte a causa dell'inevitabile
ritardo con cui il legislatore giunge a reprimere tali fenomeni criminosi
9
.
In questo capitolo, pertanto, intendiamo tratteggiare un quadro generale dei principali abusi
delle tecnologie informatiche, non tanto attraverso l'analisi normativa, alla quale
dedicheremo il prossimo capitolo, quanto facendo riferimento alle ricerche, condotte
soprattutto negli Stati Uniti, in Canada e nel Regno Unito 10
, sulla sicurezza dei dispositivi
8 SIEBER U., Organised crime in Europe: the threat of cybercrime. Situation Report 2004 , Council of
Europe Publishing, 2005, p. 230;
9 P ICA G., v. Reati informatici e telematici, in Dige. Disc. Pen. Eco., Aggiornam. I, 2000, p. 521-522;
10Solo per citare i testi di riferimento in una letteratura già amplissima: CASEY E., Digital evidence and
computer crime. Forensic science, computer and the internet, Elsevier Academic Press, Second
Edition, 2004; C LOUGH J., Principles of cybercrime, cit.; C LIFFORD R. D. (editing), Cybercrime: the
investigation, prosecution and defense of a computer-related crime, cit.; LEMAN -LANGLOIS S. (editing),
Technocrime, cit. ; MOORE R., Cybercrime: investigating high-technology computer crime, cit. ; S MITH
R. G., G RABOSKY P., U RBAS G., Cyber criminals on trial, Cambridge, 2004.
Come si può notare dalla semplice lettura dei titoli, questi lavori hanno in comune un taglio poco
dottrinale e molto pratico, essendo focalizzati sulle modalità di investigazione e sulle regole
processuali riguardanti i reati informatici.
Per una prospettiva più dogmatica e normativa occorre rifarsi al primo “manuale” di diritto penale
dell'informatica, ormai divenuto un classico della materia, scritto da un illustre Autore tedesco:
9
elettronici e delle reti telematiche. Sui reati informatici, detti nel mondo anglosassone
“ cybercrimes” , esiste una vera e propria congerie di termini tecnici, quasi esclusivamente in
lingua inglese, tale da disorientare chiunque non sia un programmatore o un ingegnere.
Tuttavia, senza una minima conoscenza -sia pur approssimativa ed atecnica- delle maggiori
minacce per le tecnologie informatiche, si rischia di perdere di vista il significato concreto
delle disposizioni penali previste nel nostro ordinamento e negli atti internazionali.
1. Metodi rudimentali e sofisticati di intrusione nei sistemi e nelle reti A prima vista, i comportamenti illeciti aventi ad oggetto un dispositivo informatico sembrano
essere caratterizzati da un alto grado di abilità tecnica da parte dell'autore; questa
impressione iniziale, però, deve essere assolutamente smentita. Dobbiamo premettere che
anche le violazioni più complesse possono essere compiute da soggetti privi di competenze
specifiche, grazie a particolari programmi scaricati da Internet e poi semplicemente avviati
dal proprio computer (si pensi alla difusione di virus oppure all'intercettazione di
comunicazioni online, oggi consentite da applicazioni pronte all'uso e condivise
gratuitamente sul Web).
Inoltre, alcune tecniche di sabotaggio delle apparecchiature elettroniche impiegano
strumenti rudimentali. Basta infatti una semplice calamita per smagnetizzare i nastri interni
alle memorie fisiche di computer, oppure un piccolo radiotrasmettitore (detto blue box ) per
disturbare le comunicazioni tra modem telefonici. Questa osservazione preliminare ci
consente di spiegare la terminologia inerente la criminalità informatica evitando oscuri
tecnicismi, dato che in molte situazioni i meccanismi ad essa sottostanti sono addirittura
banali. I casi di hacker geniali rappresentano invero solo una minima percentuale della
casistica complessiva.
Partiamo dunque con il definire l' hacking stesso: esso è un comportamento volto a violare la
sicurezza dei sistemi informatici e delle reti telematiche. In linea di principio l'accesso
abusivo a un dispositivo elettronico non è animato da un fine di lucro, bensì da un mero
scopo ludico. Non è infrequente, tuttavia, che il soggetto, una volta superate le barriere di
protezione, decida di copiare le informazioni contenute nel sistema violato, oppure di
inserirvi un programma dannoso 11
.
SIEBER U., The international handbook for computer crime. Computer-Related Economic Crime and
the Infringements of Privacy, New York, 1986.
11 Il termine hacker verrà utilizzato nella presente esposizione in senso lato, poiché in realtà sotto
questo nome si cela una galassia di diversi tipi di “creativi dell'informatica”, contraddistinti dalle
finalità delle loro azioni. Esistono infatti gli hacker dal cappello bianco ( white hat hacker), grigio
( gray hat) e nero ( black hat hacker), a seconda della liceità o meno delle loro operazioni. I bianchi
sono noti come gli hacker “ buoni”, cioè intenti a scovare e segnalare falle nella sicurezza, mentre i
neri sono conosciuti meglio con l'appellativo di cracker , ossia i distruttori, che usano il computer
solo per cagionare danni. I grigi si collocano in una zona intermedia, compiendo alcune volte
attività illegali e altre volte “buone azioni”. La distinzione interna tra le categorie di hacker è
comunque assai labile, perché basata solo sulle intenzioni e non sui risultati concreti delle
condotte, che sono gli unici a interessare il diritto penale. Adotteremo dunque il termine hacker in
senso ampio, includendovi coloro che nel gergo informatico sarebbero definiti cracker. In senso
10
Secondo una prassi sempre più difusa, l'autore dell'intrusione comunica al titolare legittimo
del computer o della banca dati di aver individuato una falla nella protezione del sistema e di
possedere, di conseguenza, la soluzione al problema, che sarà fornita dietro pagamento di
un elevato corrispettivo. Fatta eccezione per i rarissimi casi di segnalazioni gratuite e
disinteressate, tale comunicazione ha finalità ricattatorie: se il proprietario del computer non
provvede a pagare l' hacker per risolvere il difetto di protezione, infatti, quest'ultimo lo
minaccia di immettere nel sistema violato un virus distruttivo, per bloccarne definitivamente
il funzionamento.
Negli Stati Uniti questa nuova forma di estorsione è documentata soprattutto presso le
grandi aziende, le quali, pur di non difondere nel pubblico la notizia negativa di una falla
nella sicurezza informatica, sono disposte a pagare immediatamente gli hacker che le
minacciano 12
. In Italia non si conoscono ancora casi del genere, dato che nei resoconti sulla
sicurezza informatica delle imprese vengono riportate in generale le violazioni delle misure
di protezione
13
, senza specificare se contestualmente vi siano stati o meno comportamenti di
minaccia o estorsione.
I metodi con cui sono attuate le intrusioni nei sistemi informatici sono molto vari, da quelli
rudimentali ai più sofisticati; sebbene gli accessi abusivi più insidiosi a sistemi informatici
siano compiuti a distanza, per esempio da hackers entrati illegalmente nella medesima
connessione Internet del computer bersaglio, sono decisamente più frequenti le violazioni
commesse in loco sulle macchine aziendali, da parte di dipendenti insoddisfatti o da poco
licenziati
14
.
In quest'ultimo caso, non servono spiccate doti informatiche per intervenire abusivamente
sui sofware: l'autore può detenere una password o un account personale, oppure sfruttare
il codice di accesso di un collega, dato che è purtroppo prassi afermata nei posti di lavoro
quella di lasciare sempre aperti gli account, sia per risparmiare tempo, sia per pura
distrazione.
Qualora il soggetto non possieda già lecitamente una password e non possa impiegare
direttamente quella altrui, si aprono varie alternative, poste secondo una scala crescente di
difficoltà tecnica.
Il modo più rapido e agevole è senza dubbio il cd. should surfing 15
, letteralmente la “sbirciata
alle spalle”. In efetti di ciò si tratta: basta porsi dietro il titolare legittimo di un codice di
accesso e osservarlo mentre lo digita sul dispositivo; questa attività richiede comunque una
buona memoria, essendo necessario tenere a mente l'esatto ordine dei simboli alfanumerici
visualizzati. I luoghi preferiti dagli autori sono gli sportelli Bancomat e i terminali POS nei
conforme si vedano: M OORE R., Cybercrime: investigating high-technology computer crime,
LexisNexis Publication, 2005, p. 24 s.; S MITH R. G., G RABOSKY P., U RBAS G., Cyber criminals on trial,
Cambridge, 2004, p. 31 s.; nella dottrina italiana, SALVADORI I., Hacking, cracking e nuove forme di
attacco ai sistemi d’informazione. Profili di diritto penale e prospettive de jure condendo, in Ciber.
Dir., 2008, n. 9, p. 344.
12 M OORE R., Cybercrime: investigating high-technology computer crime, cit., p. 37;
13 Cfr. il Rapporto Symantec sulla sicurezza informatica 2010 , consultabile su Internet all'indirizzo:
http://www.symantec.com/content/en/us/about/presskits/SES_report_Feb2010.pdf
14 M AJID Y., Cybercrime and society, London, 2006, p. 159;
15 Documentato da CLIFFORD R. D. (editing), Cybercrime: the investigation, prosecution and defense of
a computer-related crime, p. 193;
11
centri commerciali, dove l'ignaro possessore di una carta di pagamento compone il PIN
necessario al prelievo o alla transazione con l'istituto di credito. Un metodo affine è il cd.
trashing, nel quale, invece di spiare la futura vittima mentre usa il proprio codice di accesso,
si cercano nella spazzatura (in inglese trash, da cui il nome) scontrini, ricevute e promemoria
che rechino in tutto o in parte tale codice. Sono difatti sufficienti i numeri iniziali di una carta
di credito e l'indirizzo del titolare per clonarne innumerevoli esemplari.
Un terzo “trucco” per acquisire e in seguito utilizzare credenziali d'accesso a un sistema
informatico va sotto il nome di social engineering (“ingegneria sociale” in italiano). Si tratta
di un metodo oggi “standard” di hacking informatico, già conosciuto all'inizio degli anni
Novanta
16
. La dicitura è impropria: non siamo di fronte a un'applicazione dell'ingegneria
sociale, bensì alla teorizzazione di comportamenti ingannatori su base empirica e psicologica.
Le tecniche per persuadere le vittime a fornire le password del sistema sono numerose: gli
hacker sovente telefonano all'amministratore del computer o al gestore della sicurezza
informatica fingendosi dei dipendenti neo-assunti che hanno dimenticato il loro codice
d'accesso oppure dei dirigenti adirati per un guasto nell'account. Sembra impossibile, ma
nella maggior parte dei casi l'inganno funziona e le persone forniscono tutti i dati riservati
per telefono, senza richiedere verifiche ulteriori circa l'identità del richiedente
17
.
Una versione aggiornata di queste condotte decettive ha luogo su Internet: tutti i proprietari
di una casella di posta elettronica hanno ricevuto almeno una volta e-mail di phishing 18
, dove
un sedicente istituto di credito o altro ente commerciale chiede di inviare nome, cognome,
numero di conto e di carta di pagamento, per i motivi più fantasiosi, tra cui la perdita dei dati
memorizzati, il cambio delle procedure di registrazione o, infine, la promessa di lauti
guadagni con l'apertura di un conto corrente ad alto rendimento. Anche in circostanze simili
una percentuale, seppur bassa, di destinatari del messaggio crede al suo contenuto e invia
spontaneamente e in buona fede ogni elemento necessario al completamento della trufa.
Occorre precisare che il fenomeno del phishing si distacca totalmente da quello dell' hacking,
per il motivo che l' hacker mira semplicemente ad accedere nel sistema informatico della
vittima, mente il phisher intende sfruttarne il profilo finanziario, per cui anche le disposizioni
penali applicabili sono assai diverse: da un lato, l' hacking è sanzionato dall 'art. 615 ter c.p.,
dall'altro, il phishing, qualora sia seguito dall'efettivo conseguimento in capo al phisher di
un'utilità patrimoniale, è in genere ricondotto dalla giurisprudenza alla fattispecie di trufa
(art. 640 c.p.)
19
. Resta comunque il fatto che per la commissione di entrambi i reati è
possibile servirsi dei medesimi comportamenti di social engineering.
Passando ora alle tecniche di intrusione più sofisticate, poiché richiedono buone
competenze informatiche, dobbiamo considerare prima di tutto l'installazione di programmi
di key-logging 20
, che registrano ogni tasto premuto sulla tastiera del dispositivo bersaglio e
16 L'inventore del metodo di hacking detto dell'“ingegneria sociale”, come anche dello spoofing, di
cui si parlerà tra poco, è ritenuto Kevin Mitnick (alias Condor). Una rapida descrizione del soggetto
e dei processi penali da lui subiti negli Stati Uniti è contenuta in M OORE R., Cybercrime:
investigating high-technology computer crime, cit., p. 62 s.;
17 SMITH R. G., G RABOSKY P., U RBAS G., Cyber criminals on trial, cit., p. 40 s.;
18 Per maggiori chiarimenti sulle caratteristiche e le fattispecie applicabili al phishing s uggeriamo la
consultazione del ricco e aggiornato sito Internet (in italiano): www.anti-phishing.it 19 Tratteremo la questione della qualificazione giuridica del phishing nel Capitolo Secondo.
20 Su key-loggers, decryptors e sull'utilizzo investigativo da parte delle forze di polizia statunitensi si
12
trasmettono in tempo reale queste informazioni alla cd. “casa madre”, ossia il computer
dell'hacker. Basta che l'utente abbia digitato una sola volta sulla tastiera sorvegliata il codice
di accesso, perché l'hacker entri in possesso immediato della password. Questo particolare
tipo di programma entra nel sistema informatico in vari modi: innanzitutto, può essere
installato inavvertitamente dall'utente durante il download di diversi sofware o visitando siti
Internet poco sicuri; inoltre, non mancano casi in cui sono i supporti esterni, quali cd-rom,
penne usb e periferiche auto-installanti ( plug and play) , a contenere il key-logger.
Esiste anche un uso non criminoso degli strumenti per il tracciamento e l'individuazione dei
codici d'accesso: si è afermato infatti il loro impiego nell'ambito delle intercettazioni
telematiche da parte dei corpi di polizia più tecnologicamente avanzati, FBI in particolare. Si
tratta comunque di una prassi molto controversa negli Stati Uniti, poiché rischia di violare la
riservatezza dell'indagato oltre quanto richiesto dalle esigenze investigative, tanto che alcuni
giudici statunitensi sono giunti a dichiarare l'inutilizzabilità processuale dei risultati ottenuti
grazie a dispositivi di key-logging. In Italia tale tecnica di intercettazione non viene mai
utilizzata, in parte per i minori mezzi tecnologici in dotazione, in parte per la potenziale
inutilizzabilità in giudizio dei dati registrati dai logger.
Oltre ai programmi di key-logging, gli hacker possono attaccare il sistema bersaglio tramite
sofware di decifrazione delle password, noti come decryptor . In realtà questo metodo è
estremamente costoso in termini di tempo e di denaro, poiché in caso di diversi livelli di
protezione si ottiene l'accesso anche dopo settimane o mesi. Ciò comporta che il metodo di
decifrare le password sia adottato solo per notevoli interessi economici o strategici, come è
accaduto in alcuni casi di spionaggio industriale o militare
21
.
Difficilmente, quindi, l'archivio elettronico di un personal computer verrà violato con metodi
di decifrazione delle password; assai più frequente, invece, è l'abuso del meccanismo di
cifratura, soprattutto a seguito dell'accesso abusivo a un dispositivo informatico. Per coprire
le proprie azioni illegali, infatti, gli “intrusi” nelle reti telematiche nascondono l'origine
dell'attacco criptandone ogni passaggio e rendendo così quasi impossibili le indagini penali.
Vi è stato negli Stati Uniti chi ha addirittura proposto di stabilire un divieto generale dei
sofware di “ encoding” (ossia che creano i dati criptati), eccettuandone gli enti pubblici e i
privati rispondenti a requisiti fissati dalla legge. La proposta non ha avuto alcun seguito, in
quanto avrebbe portato a sacrificare il diritto alla privacy dei cittadini, senza tra l'altro
impedire un uso illegale dei dati cifrati
22
.
In aggiunta, i codici d'accesso sono acquisiti facendo uso della tecnica nota come “ XXS -
cross site scripting” 23
, grazie alla quale in un sito internet lecito vengono inseriti dei comandi
dannosi, capaci di leggere negli archivi dei singoli computer che si connettono alla pagina
web modificata. I siti oggetto di simili violazioni sono soprattutto quelli di istituzioni bancarie,
previdenziali e commerciali, le quali ofrono servizi online dietro registrazione e inserimento
di dati sensibili come il numero di carta d'identità, di conto corrente bancario o di carta di
veda SMITH R. G., G RABOSKY P., U RBAS G., Cyber criminals on trial, cit., p. 305 s.;
21 Casi di cui si fa cenno sommariamente in CLOUGH J., Principles of cybercrime, cit. , p. 57;
22 Il dibattito è riportato da LEMAN -LANGLOIS S. (editing), Technocrime. Technology, crime and social
control, cit. , p. 287 s.;
23 Sui dettagli tecnici del metodo XXS e dei vari tipi di spoofing si soferma SIEBER U., Organised crime
in Europe: the threat of cybercrime. Situation Report 2004 , Council of Europe Publishing, 2005, p.
89-91;
13
credito. In questo modo assistiamo ad attacchi combinati: da un lato, l' hacker può leggere
direttamente le informazioni registrate sul sito violato; dall'altro, il sofware di scripting
risale alla fonte di queste informazioni, ossia prende visione dei file memorizzati nei
computer connessi al sito.
Altre modalità di intrusione nei sistemi informatici sono caratterizzate dall'induzione in
errore del titolare del codice d'accesso, grazie al “dirottamento” vero e proprio dei comandi
impartiti dall'utente legittimo.
Queste condotte sono piuttosto difficili da qualificare sotto un'unica fattispecie
incriminatrice, constando al contempo in un accesso abusivo e in un'intercettazione
telematica illecita. Per quanto riguarda il “dirottamento” dei comandi (cd. spoofing ), esso
altera i meccanismi che associano le istruzioni digitate sulla tastiera alle operazioni compiute
dal computer: ad esempio, un determinato indirizzo Web conduce, invece che al sito
Internet desiderato, a uno falso, creato per richiedere informazioni personali alla vittima
( web spoofing) .
Ancora più sofisticati sono i metodi di IP spoofing , DNS spoofing e HTTP spoofing, i quali si
basano sulla clonazione delle credenziali d'accesso di un computer a una rete aperta (come
Internet) o chiusa, qualora metta in condivisione un numero determinato di dispositivi.
Volendo schematizzare il funzionamento di questi accessi abusivi assai complessi sotto il
profilo tecnico, l' hacker si intromette nella connessione tra il singolo computer e il computer
server, che, una volta riconosciuto l'utente, lo collegherà alla rete: grazie a questa intrusione
il soggetto estraneo riesce a farsi autorizzare dal server e ad accedere a tutti gli archivi
condivisi in via telematica, senza nemmeno dover violare le misure di protezione del
computer “dirottato”, bensì sostituendosi ad esso nella navigazione.
2. Programmi dannosi e sabotaggi informatici Gli accessi non autorizzati nelle memorie elettroniche sono senza dubbio molto frequenti,
ma non rappresentano la minaccia più grave alla sicurezza dei sistemi informatici; la maggior
preoccupazione degli utenti di computer, invero, è di evitare i virus e gli altri programmi
dannosi
24
. La difusione di sofware pericolosi assume rilevanza penale autonoma, a
prescindere dal verificarsi di un danno al sistema informatico, in forza dell'art. 615 quinquies
c.p., introdotto dalla legge n. 547 del 1993; pertanto, non si può comprendere l'oggetto
materiale delle condotte incriminate senza prima fare chiarezza sui concetti di programma
dannoso e di virus.
I programmi dannosi sono meglio noti sotto il nome di malware, una contrazione di
malicious sofware, che possiamo tradurre alla lettera come sofware “maligni”. I malware
rappresentano una categoria ampia, che racchiude una molteplicità di programmi aventi
efetti negativi sul normale funzionamento di un sistema informatico 25
.
Il tipo di malware più noto è senza dubbio il virus, al punto che impropriamente per virus si
24 Dati Symantec, reperibili nell' Internet Security Threat Report 2010 (Relazione sui rischi per la
sicurezza in Internet) all'indirizzo: http://www.symantec.com/business/threatreport/index.jsp 25 SALVADORI I., Hacking, cracking e nuove forme di attacco ai sistemi d’informazione. Profili di diritto
penale e prospettive de jure condendo, in Ciber. Dir., 2008, n. 9, p. 348;
14
indicano tutti i programmi dannosi in generale. La caratteristica specifica dei virus è quella di
essere ospitati da un altro programma, all'interno del quale si annidano e si difondono 26
. In
altre parole, un virus non è un programma a sé stante, bensì consiste in una serie di comandi
aggiunta a un'applicazione preesistente.
Il meccanismo con cui opera un virus è abbastanza semplice: quando il sofware contenitore
si attiva, immediatamente entra in funzione anche il virus, oppure attende il verificarsi di una
condizione prefissata dal suo programmatore (in quest'ultimo caso il virus funziona come
una bomba a orologeria e perciò è chiamato logic bomb – bomba logica)
27
.
I primi virus erano ospitati soltanto da alcuni programmi particolari, detti eseguibili, i quali
compiono operazioni indipendenti dall'intervento umano. Oggi, invece, pressoché tutti i file
e le applicazioni possono avere al loro interno un virus, in quanto anche una semplice pagina
scritta con Word consente lo svolgimento di azioni automatiche (in gergo macro ).
Progettare e distribuire un virus non è afatto difficile: sono infatti disponibili su Internet dei
programmi noti come “virus kit”, i quali consentono di produrre sofware dannosi senza
alcuno sforzo e soprattutto senza particolari abilità informatiche; è sufficiente acquistare il
kit (che pare costare soltanto 200-300 Euro) ed installarlo nel proprio computer. Questo
programma apre una procedura guidata di “creazione virus”, dove l'utente deve
semplicemente indicare gli efetti dannosi desiderati, per esempio il blocco del computer o la
cancellazione della memoria, e il kit elabora da sé un nuovo virus. La maggior parte dei
malware è prodotta così 28
; la fase della difusione è ancora più rapida, bastando la
condivisione sul Web o in una rete per lo scambio reciproco di file (reti Peer to Peer – tra
pari).
Nella comunità degli hacker chi crea virus in questo modo riceve il soprannome alquanto
spregiativo di “script kid”, ossia di “ragazzino nella programmazione”. Gli script kiddies
rappresentano una seria minaccia alla sicurezza dei sistemi informatici, soprattutto per il
fatto che, essendo degli hacker alle prime armi, spesso ignorano gli efetti reali delle proprie
azioni e possono dare luogo a danneggiamenti molto più devastanti del previsto.
Un caso eclatante avvenne nel 2000, dove uno script kid quindicenne (sotto il nome di
MafiaBoy ) causò seri danni economici (quasi 2 miliardi di dollari) ai più importanti siti di
commercio elettronico negli Stati Uniti e nel Canada, semplicemente utilizzando programmi
malware scaricati da Internet 29
.
Tornando ai diversi tipi di malware, bisogna precisare che i virus sono comunque del tutto
inofensivi una volta isolati dal sofware contenitore. Questo permette di distinguere i virus
dai cd. worm (vermi in inglese), che al contrario sono dei programmi autosufficienti, in grado
di replicarsi e di danneggiare il computer da soli.
I worm sono meno famosi dei virus, tuttavia dopo l'avvento di Internet sono divenuti il tipo
di malware più difuso e più insidioso in assoluto 30
. A diferenza dei virus, che possono essere
26 Z ICCARDI G., I virus informatici: aspetti tecnici e giuridici, in Ciber. Dir., 2001, fasc. 3-4, p. 350 s.;
27 S IEBER U., Organised crime in Europe: the threat of cybercrime, cit., p. 107 s.; parleremo in termini
giuridici delle logic bomb durante l'esame dell'art. 392 c.p., nel Paragrafo 3.2 del Secondo Capitolo.
28 S MITH R. G., G RABOSKY P., U RBAS G., Cyber criminals on trial, cit., p. 64 s.;
29 Caso citato da M OORE R., Cybercrime, cit., p. 43 s.; in Italia le vicende di MafiaBoy sono state
seguite sul sito http://punto-informatico.it 30 Fonte: bollettini di sicurezza rilasciati fino a Marzo 2011 dal Microsof Security Center, sul sito
http://www.microsof.com/italy/technet/security/bulletin/ms11-mar.mspx
15
bloccati evitando di aprire il file infetto, i worm entrano nei dispositivi informatici in modo
invisibile, sfruttando le falle (cd. bugs ) nei sistemi operativi o nei programmi anti-virus, e si
riproducono spontaneamente negli archivi elettronici del sistema attaccato 31
.
Dopo l'auto-replicazione, le nuove copie di worm andranno ad attaccare tutti i computer
connessi al dispositivo infetto, secondo due modalità alternative: o inviando loro messaggi
automatici di posta elettronica con allegato il worm , oppure sfruttando falle simili a quelle
nel sistema informatico infetto 32
.
Gli efetti di un programma worm diferiscono in parte da quelli di un virus: se quest'ultimo
ha come scopo necessario la cancellazione della memoria elettronica o il malfunzionamento
delle applicazioni, per un worm questo efetto è soltanto eventuale. Il primo obiettivo dei
worm è infatti “bucare” le barriere di sicurezza di un dispositivo, per consentire in un
secondo momento l'installazione di altri programmi dannosi. Questo non deve portare a
ritenere che i worm di per sé siano sofware innocui o, al massimo, fastidiosi: il loro processo
di auto-riproduzione impiega le risorse del computer attaccato, fino a impedire il normale
funzionamento dei programmi di prevenzione e diagnostica contro il malware.
Peraltro, la fase successiva di difusione produce sovente una mole gigantesca di e-mail
indesiderate, in grado di saturare le caselle di posta elettronica dei destinatari o, nei casi più
gravi, di sovraccaricare il computer server. Non mancano, infine, worm a scopo
esclusivamente distruttivo, che causano danni irreversibili all'archivio elettronico o al sistema
operativo, analogamente ai virus informatici
33
.
Devono essere tenuti distinti dai worm altri due tipi di programmi dannosi , i trojan e le
backdoor, che non di rado aggrediscono congiuntamente il dispositivo bersaglio, tramite un
meccanismo a scatole cinesi: il programma worm interviene per primo, poiché è in grado di
superare le misure di protezione e di installarsi autonomamente nella memoria elettronica
del computer; all'interno del worm può trovarsi un trojan, che a sua volta include delle
backdoor .
Andando per ordine, i trojan prendono il loro nome dal Cavallo di Troia, in quanto essi sono
sempre contenuti in un programma apparentemente inofensivo.
Mentre i worm si difondono automaticamente, i trojan hanno bisogno di un'azione diretta
da parte della vittima e per questo motivo sono spesso nascosti all'interno di programmi
condivisi tra gli utenti, primi fra tutti i videogiochi su Internet 34
. In alternativa, i trojan
vengono trasmessi inconsapevolmente, essendo veicolati da un worm.
Gli efetti dannosi di un trojan sono diversi da quelli distruttivi o impeditivi propri di un virus
informatico: di solito, il trojan sottrae in tutto o in parte il dominio della macchina al
legittimo utilizzatore, per consentire all' hacker di intervenire sul sistema e sottrarre le
informazioni in esso contenute senza che il titolare se ne accorga
35
.
Negli ultimi dieci anni, inoltre, si è afermato un nuovo uso criminoso dei trojan : essi non
sono più finalizzati al furto di dati digitali, bensì al controllo remoto dei dispositivi infetti, che
31 Le definizioni di worm, trojan e backdoor sono descritte puntualmente in P ARODI C. - C ALICE A.,
Responsabilità penali e Internet. Le ipotesi di responsabilità penale nell'uso dell'informatica e della
telematica, Milano, 2001, p. 55-59;
32 SIEBER U., Organised crime in Europe: the threat of cybercrime, cit., p. 110;
33 SALVADORI I., Hacking, cracking e nuove forme di attacco ai sistemi d’informazione, cit. , p. 349-350;
34 SARZANA DI S. I PPOLITO C., Informatica, Internet e diritto penale, Milano, II ed., 2003, p. 44-47;
35 ZICCARDI G., I virus informatici: aspetti tecnici e giuridici, in Ciber. Dir., 2001, fasc. 3-4, p. 353 s.;
16
in tal modo diventano strumenti per la commissione di attacchi informatici. Il trojan viene
immesso in una molteplicità di computer e lasciato inattivo per un certo periodo di tempo;
quando scade il termine fissato dall' hacker il programma dannoso si risveglia e comincia a
impartire comandi a tutti i sistemi violati, formando così una vera e propria rete di automi
(detti zombie ). É questo il fenomeno conosciuto sotto il nome di botnet , del quale ci
occuperemo tra poco parlando degli attacchi DDoS . Ai fini del presente paragrafo
evidenziamo solo la tecnica informatica impiegata, che consiste per l'appunto nella
difusione massiccia di programmi trojan 36
.
Per quanto concerne le backdoor , abbiamo detto che esse sono quasi sempre contenute in
un “cavallo di Troia” informatico; il significato in italiano di backdoor è “porta sul retro”, per
indicare un programma che crea delle aperture nascoste nelle misure di sicurezza di un
dispositivo informatico. Una volta aperta questa “porta di servizio”, qualunque hacker che
ne conosca l'esistenza può entrare nella memoria e nel sistema operativo del computer, in
modo da utilizzarlo in qualità di amministratore e a totale insaputa del legittimo titolare.
Di conseguenza, la backdoor semplifica sensibilmente l'azione degli hacker , poiché attraverso
questa “porta lasciata aperta” chiunque può prendere il controllo di un sistema quando
vuole, fino al momento in cui viene scoperto e risolto il difetto di protezione. Gli efetti
negativi delle backdoor sono molto preoccupanti; invero, esse espongono il computer a un
numero illimitato di attacchi remoti, dal furto di dati sensibili fino alla commissione di
sabotaggi informatici
37
.
In sintesi, i programmi a scopo esclusivamente dannoso, denominati malware dalle discipline
informatiche, si distinguono in quattro categorie principali: i virus , i worm , i trojan horse e le
backdoor . I loro efetti potenziali sono la distruzione della memoria elettronica, l'alterazione
del funzionamento del sistema oppure la perdita del controllo su di esso da parte del
titolare.
Altri malware hanno finalità riconducibili al mero accesso abusivo, come abbiamo visto per i
key-loggers nel paragrafo precedente, ovvero all'intercettazione delle comunicazioni, come
vedremo nel paragrafo seguente.
Adesso, invece, intendiamo concludere questa rapida introduzione alle varie tecniche di
danneggiamento informatico con alcuni cenni ai sabotaggi virtuali realizzati su Internet.
Queste forme di abuso delle reti telematiche sono note con l'acronimo di “DoS” , che sta per
Denial of Service , in italiano blocco del servizio. Gli attacchi DoS prendono di mira siti web
popolari (come quelli di commercio elettronico), di pubblica utilità o di enti istituzionali,
sovraccaricandoli di richieste di informazioni fino alla completa paralisi ( crash ) dei sistemi
colpiti
38
.
Talvolta gli attacchi sono giustificati dagli autori sulla base di ideologie estremiste o di
mobilitazioni contro determinati governi o imprese multinazionali: l'episodio più noto negli
ultimi mesi è stato il sabotaggio di alcuni siti ritenuti “collaborazionisti” con le forze di
polizia, ad opera dei sostenitori di Julien Assange, portavoce di Wikileaks 39
.
36 CASEY E., Digital evidence and computer crime, cit., p. 70 s.;
37 SIEBER U., Organised crime in Europe: the threat of cybercrime, cit., p. 115;
38 MOORE R., Cybercrime: investigating high-technology computer crime, cit., p. 32 s.;
39 La notizia è stata riportata su tutti i quotidiani nazionali; per leggere in proposito un articolo
liberamente consultabile su Internet indichiamo il seguente indirizzo: http://www.itespresso.it/la-
resa-di-julian-assange-e-gli-attacchi-a-paypal-e-ai-siti-anti-wikileaks-49416.html 17
Una variante più recente è il cosiddetto attacco ” DDoS”, sigla di Distributed Denial of Service ,
ossia blocco difuso del servizio. A diferenza del primo tipo di sabotaggio telematico,
commesso da uno o più hackers in modo simultaneo, l'attacco DDoS si serve dei computer
altrui, precedentemente infettati da un trojan e coordinati così in una botnet (rete di robot) .
Quando si verificano le condizioni prestabilite nel programma malware , i computer si
trasformano in robot e rispondono ai comandi impartiti da un soggetto esterno, il quale
perciò può eseguire un attacco Denial of Service avendo a disposizione un numero
elevatissimo di macchine. È intuibile quanto siano dannosi sabotaggi telematici a così ampio
raggio, senza considerare il problema dell'individuazione degli autori efettivi, dato che la
maggior parte dei dispositivi viene sfruttata all'insaputa del titolare.
Emblematici in tal senso sono i due episodi principali di attacchi DDoS, il primo avvenuto ai
danni dei siti della pubblica amministrazione estone nel 2007, il secondo tramite la
difusione a livello globale del worm di nome S tuxnet nel 2010
40
: in entrambi i casi sono state
causate gravissime perdite economiche in tutto il mondo, ma gli ideatori e gli esecutori dei
danneggiamenti sono rimasti ignoti.
Esistono tuttavia forme di sabotaggio virtuale meno distruttive, primo fra tutti il defacing ,
una pratica impiegata soprattutto in segno di protesta, la quale consiste nell'alterazione
dell'aspetto di una pagina web, inserendovi messaggi ofensivi, dure contestazioni politiche o
addirittura una schermata nera
41
.
Altro fenomeno emerso su Internet da pochi anni è il netstrike, cioè lo sciopero virtuale. Esso
si svolge in realtà come un attacco DoS, ma mutano le motivazioni degli autori: se da un lato
gli attacchi DoS sono puri atti vandalici, dall'altro lato gli scioperi virtuali sono volti a rendere
temporaneamente irraggiungibile il sito bersaglio, evitando di causare danni permanenti,
quale nuova espressione della disobbedienza civile nello spazio cibernetico (cd. hactivism =
hacking + activism) . La linea di demarcazione tra sabotaggio e sciopero è però labile
42
, poiché
la condotta di netstrike può avere l'efetto di interrompere completamente i contatti verso il
sito attaccato e quindi integrare il reato di cui all'art. 617 quater c.p., il quale sanziona, inter
alia, l'impedimento di comunicazioni intercorrenti tra più sistemi informatici.
Ciononostante, in Italia sono state emesse poche sentenze di condanna nei confronti dei
partecipanti agli “scioperi virtuali”, avendo la giurisprudenza ritenuto configurabile la causa
di giustificazione dell'esercizio di un diritto (il diritto di sciopero, garantito dalla
Costituzione)
43
.
L'orientamento pare poco condivisibile, nella misura in cui non si pongano dei limiti
40 La notizia dell'attacco all'Estonia causò un vero e proprio shock all'Unione Europea e agli esperti di
sicurezza, poiché l'Estonia è un Paese modello sul piano delle tecnologie informatiche (per darne
un'idea, l'intera gestione della Pubblica Amministrazione è digitale). Un reportage molto completo
è stato pubblicato sul sito http://www.wired.com/politics/security/magazine/15-09/f_estonia
Sul caso Stuxnet sono state fatte molte ipotesi, la più difusa delle quali sostiene che dietro questo
potentissimo worm vi sia una “guerra cibernetica” in atto tra Stati Uniti e Israele, da un lato, e
l'Iran, dall'altro. Tra i vari computer danneggiati figurano, infatti, anche quelli delle centrali
nucleari iraniane. Si può leggere http://uk.reuters.com/article/2010/09/24/us-security-cyber-iran-
fb-idUKTRE68N3PT20100924
41 C LOUGH J., Principles of cybercrime, Cambridge, 2010, p. 38;
42 SALVADORI I., Hacking, cracking e nuove forme di attacco ai sistemi d’informazione, cit. , p. 361-362;
43 AMORE S., S TANCA V., S TARO S., I crimini informatici. Dottrina, giurisprudenza ed aspetti tecnici delle
investigazioni , Halley, 2006, p. 117;
18
all'esercizio online del diritto di sciopero o della libertà di espressione: nel contenuto di
questi diritti non rientrano le aggressioni sistematiche e prolungate ad un sistema
informatico per mandarlo in crash , mentre potrebbe essere scriminato un semplice
rallentamento delle prestazioni.
3. Alcuni reati informatici “impropri” Nei due paragrafi che precedono abbiamo descritto la fenomenologia dei reati informatici in
senso proprio; le fattispecie di accesso abusivo a un sistema e di danneggiamento
informatico, difatti, sono nate insieme alla difusione dei dispositivi elettronici e della rete
Internet e sono perciò difficilmente assimilabili a reati tradizionali come la violazione di
domicilio, il furto o il danneggiamento comune, mancandone l'oggetto materiale.
Si può quindi sostenere che i cybercrime si caratterizzino per la peculiarità dell' oggetto
dell'azione criminosa, il quale consiste, chiaramente, nel sofware di un sistema informatico
o di una rete di computer 44
. Facendo l'esempio del sabotaggio virtuale sopra descritto, esso
non può ritenersi integrato qualora un soggetto distrugga fisicamente un computer, poiché
in tal caso egli commette il reato di danneggiamento comune; risponde al contrario di un
reato informatico il soggetto che renda inservibile tale dispositivo sovraccaricandolo di
operazioni o inserendovi un malware , in quanto l'azione è diretta contro la componente
logica e immateriale del computer e non sulla sua struttura fisica
45
.
Altri reati sono invece definiti comunemente “cybercrime” in maniera impropria, poiché è
diverso il ruolo del dispositivo elettronico nella condotta illecita: se per i reati informatici in
senso stretto il sofware è l' oggetto necessario dell'azione, per quelli in senso lato esso è
soltanto uno strumento eventuale per la realizzazione del fatto 46
. Ancora più chiaro: mentre
le condotte di hacking sono illeciti assolutamente nuovi per il diritto penale, fenomeni
criminosi quali le frodi informatiche oppure le intercettazioni online rappresentano solo
modalità innovative di reati tradizionali come la trufa e l'intercettazione di comunicazioni.
Il criterio della strumentalità non può fondare la definizione dei reati informatici, poiché, al
limite, quasi tutti i reati potrebbero essere commessi con l'ausilio delle tecnologie
elettroniche
47
e quindi avremmo un'infinità di cybercrime, mere “ copie tecnologiche” di
fattispecie previgenti.
44 La classificazione è illustrata da CLOUGH J., Principles of cybercrime, Cambridge, 2010, p. 11-13;
45 In senso conforme al testo P ICA G., v. Reati informatici e telematici, in Dige. Disc. Pen. Eco.,
Aggiornam. I, 2000, p. 526; contra P ECORELLA C., Diritto penale dell’informatica , Padova, 2006, p.
115;
46 Sui reati informatici in senso lato adottiamo la definizione condivisa dall'intera dottrina
anglosassone (tra cui, ad esempio, citiamo RICHARDS J., Transnational criminal organizations,
cybercrime and money laundering, New York, 1999, p. 63); la medesima classificazione è stata
introdotta in Europa continentale da SIEBER U., The internation al handbook for computer crime.
Computer-Related Economic Crime and the Infringements of Privacy, New York, 1986, p. 12;
47 Questo sosteng ono in modo convinto CASEY E., Digital evidence and computer crime. Forensic
science, computer and the internet, cit . , p. 5; CLIFFORD R. D. (editing), Cybercrime: the investigation,
prosecution and defense of a computer-related crime, cit., p. 14;
19
L'unico criterio per individuare i cybercrime in modo selettivo e rigoroso è dunque
esclusivamente quello dell'oggetto dell'aggressione.
La distinzione tra reati informatici propri e impropri appare lineare e schematica a livello
teorico, poiché basta semplicemente individuare il ruolo del computer nella dinamica
criminosa (oggetto dell'azione o suo strumento) e, di conseguenza, “etichettare” la condotta
come cybercrime oppure come reato tradizionale commesso tramite mezzi elettronici.
Nella pratica, però, questa classificazione mostra segni di cedimento, perché spesso è
controverso l'oggetto dell'azione (si pensi alla frode elettronica, dove parte della
giurisprudenza individuava l'oggetto materiale nel computer manipolato e altra parte,
maggioritaria, nel patrimonio dell'utente
48
). I concetti di oggetto dell'azione e di
strumentalità subiscono infatti una torsione e una sovrapposizione in ambito di reati
informatici, nel senso che non è sempre agevole scindere i casi in cui l'abuso del computer è
l'oggetto della condotta da quelli in cui esso sia solo un mezzo per la lesione di interessi
ulteriori
49
.
Emblematico è il fenomeno del furto di identità digitale; circa il cd. identity thef si dibatte da
tempo se sia qualificabile o meno come reato informatico: da un lato, infatti, oggetto
dell'azione sono i dati informatici di un soggetto ( cybercrime non previsto dalla nostra
legislazione), dall'altro possiamo interpretare queste condotte non come accessi abusivi a un
archivio elettronico, ma come violazioni della privacy per mezzo di dispositivi tecnologici
(applicazione estensiva dei reati previsti dal Codice della Privacy)
50
. Come si vede
dall'esempio appena riportato, decidere sul punto della natura informatica di un reato non
ha pura rilevanza teorica, bensì incide sulla tipicità delle condotte e in particolare sulla loro
sussumibilità sotto fattispecie incriminatrici esistenti.
In definitiva, è opportuno impiegare le nozioni di reato informatico proprio e improprio
soltanto a livello orientativo, senza accettarle acriticamente e rigidamente. Daremo alcuni
rapidi cenni alle modalità di realizzazione di tre reati detti cybercrime in senso atecnico,
poiché sono estremamente difusi nella prassi: le intercettazioni online, le frodi elettroniche
e le clonazioni di carte di pagamento.
3.1 Intercettazioni telematiche L'intercettazione di comunicazioni a distanza tra dispositivi elettronici era in origine il reato
informatico “per antonomasia”; già verso la fine degli anni Sessanta i primi hacker
sfruttavano i difetti nella sicurezza delle reti per captare e dirottare comunicazioni
telefoniche gestite da un computer centrale, tanto che in questi casi non si parlava di hacker
veri e propri, ma di phreaker, un neologismo creato dalla contrazione di phone ed hacker, in
italiano “pirati dei telefoni”.
48 P ARODI C., La frode informatica: presente e futuro delle applicazioni criminali nell’uso del sofware,
in Dir. Pen. Proc., 1997, p. 1538 ss.; parleremo del reato di frode elettronica nel Capitolo Secondo.
49 ALMA M. – PERRONI C., Rifessioni sull’attuazione delle norme a tutela dei sistemi informatici, in Dir.
Pen. Proc., 1997, n. 4, p. 506-507;
50 FLOR R., Phishing, identity thef e identity abuse. Le prospettive applicative del diritto penale
vigente , in Riv. it. dir. proc. pen., 2007, n. 2-3, p. 904-908;
20
Ricevi informazioni sui nostri servizi, sulle offerte e non perdere news e consigli su università e lavoro.
