Uniti contro il cybercrimine (Internet News)
La bozza di Convenzione internazionale approvata dal Consiglio Europeo tenta di colmare il ritardo giuridico nei confronti dello sviluppo tecnologico e dei crimini informatici, introducendo alcuni principi rilevanti. Ma sulle metodologie e sui problemi più scottanti rimane un silenzio sconcertante
Il Consiglio Europeo http://ue.eu.it ha varato nello scorso aprile la prima bozza della Convenzione internazionale sul cyber-crimine al fine di sollecitare gli Stati membri a perseguire una comune politica legislativa per proteggere il «villaggio globale» dai criminali informatici. Il pericolo evidenziato dal Consiglio si riferisce alla possibilità per i cybercriminali di commettere reati attraverso il medium telematico, trasferendo ogni prova delle loro malefatte in una remota parte del pianeta, grazie alla globalità di Internet. Questo progetto tenta di colmare il ritardo cronico che affligge il mondo giuridico – e spesso, di pari passo, anche lo sviluppo economico di un Paese o di un’intera area geografica – rispetto a quello tecnologico.
Si pensi, infatti, che la prima legge penale dell’informatica venne definita ben 16 anni or sono, nel 1984, quando gli Stati Uniti emanarono la Counterfeit Access Device and Computer Fraud and Abuse poi ampliata nei contenuti e sostituita dal famoso Computer Fraud and Abuse Act del 6 ottobre 1986.
A questo «rivoluzionario» testo legislativo ne seguirono molti altri: tra questi, la legge canadese Criminal Law Amendments Act del 20 giugno 1985, quella danese n° 229 del 6 giugno 1985, la legge norvegese n° 54 del 12 giugno 1987, la legge austriaca n° 605 del 1987, la legge francese Loi n° 18-19 relative à la fraude informatique del 5 gennaio 1988, la legge Greca n° 1805 del 30 agosto 1988, quella inglese Computer Misuse Act del 29 giugno 1990.
La tutela del bene informatico
Il nuovo bene giuridico che viene alla luce, il bene informatico, è stato addirittura previsto in alcune giovani Costituzioni, per esempio negli articoli 18 e 105 della Costituzione spagnola del 23 dicembre 1978 e nell’articolo 35 di quella portoghese del 2 aprile 1976.
In Italia i provvedimenti legislativi che fanno riferimento alle ipotesi di criminalità informatica sono la legge 23 dicembre 1993 n° 547 «Modificazioni e integrazioni alle norme del codice penale e del codice di procedura penale in tema di criminalità informatica» e il decreto legislativo del 29 dicembre 1992 n° 518 in materia di tutela giuridica dei programmi per elaboratore, in cui sono contemplate fattispecie delittuose di pirateria informatica.
In particolare, la legge n° 547 del 1993 ha finalmente introdotto nella disciplina penalistica il concetto, fino ad allora sconosciuto, di documento informatico da intendersi come «qualunque supporto informatico contenente dati o informazioni aventi efficacia probatoria o programmi specificamente destinati a elaborarli».
Leggere oggi questa previsione normativa, a soli 7 anni dalla sua emanazione, può far sorridere per quanto appare ovvia, eppure la sua ragione di esistere deriva dalla riluttanza di alcuni giuristi e di alcune Corti a considerare il concetto tradizionale di scrittura in modo da comprendere anche i bit. La scrittura, infatti, veniva identificata con il proprio supporto, il che, tra l’altro, è un assurdo logico in quanto la prima è nata con il genere umano e comunque certamente prima della carta, del papiro, del bronzo e così via. Il fatto che i bit non venissero considerati giuridicamente come «cose» impediva ai giudici, in assenza di una espressa norma penale riguardante le «cose informatiche», di sanzionare, per esempio, le ipotesi di danneggiamento.
La legge 547/93 ha introdotto, con estremo puntiglio, varianti di fattispecie di reato già previste dal vecchio codice Rocco, proponendone una versione tecnologicamente più evoluta: per esempio, il reato di esercizio arbitrario delle proprie ragioni con violenza sulle cose (articolo 392 del codice penale) esercitata mediante l’alterazione, la modificazione, la cancellazione di un programma informatico ovvero impedendo o turbando il funzionamento di un sistema informatico o telematico; il reato di attentato a impianti di pubblica utilità, quando il fatto sia diretto a danneggiare o distruggere sistemi informatici o telematici di pubblica utilità, ovvero dati, informazioni o programmi in essi contenuti o a essi pertinenti; l’ipotesi delittuosa, oggetto di particolari controversie durante i lavori preparatori, della frode informatica (articolo 640 ter del codice penale).
Le proposte della Convenzione
Lo scopo dichiarato della bozza di Convenzione del Consiglio d’Europa, esattamente come nel caso della legge 23 dicembre 1993 n° 547, è colpire le ormai numerose azioni dirette contro la riservatezza, l’integrità e la libera e sicura disponibilità dei sistemi informatici e telematici, adottando misure sufficienti per facilitare la scoperta, l’investigazione, l’applicazione di sanzioni, anche penali, a tali crimini sia a livello nazionale sia internazionale.
I punti fondamentali della Convenzione ricordano molto da vicino la legge italiana in tema di criminalità informatica: insieme ai tradizionali reati relativi all’accesso illegale ai sistemi informatici, all’intercettazione illegale, alle alterazioni dei dati o del funzionamento dei sistemi informatici, sono contemplati anche i crimini legati alla produzione, alla vendita, all’approvvigionamento, all’importazione e alla distribuzione di apparecchiature, compresi i programmi per elaboratore appositamente creati al fine di commettere uno dei comportamenti integranti le fattispecie di reato previste dalla Convenzione.
La Convenzione prevede, tra l’altro, i reati di falsificazione dei dati, di frode informatica, tutti i reati concernenti la pornografia minorile e, per ultime, anche le violazioni in materia di diritto d’autore, con espresso riferimento alla Convenzione di Berna che, per inciso, è la medesima Convenzione richiamata dalla Legge 633 del 1941 sul diritto d‘autore.
Al fine di garantire l’effettività della lotta al cybercrimine, il Consiglio sollecita gli Stati membri a provvedere, per mezzo delle proprie leggi nazionali, alla previsione e all‘irrogazione di sanzioni (anche di carattere penale) che siano effettive, proporzionate e che dissuadano dal porre in atto i comportamenti considerati illeciti. Fra le molteplici prescrizioni, tutte orientate nel senso di assicurare l’efficace repressione dei crimini informatici, si prevede che venga messa in atto ogni misura necessaria al fine di individuare e sequestrare ogni sistema di computer o parte di esso, ogni dato che il Pc ha immagazzinato, o qualunque medium nel quale i dati del computer sono stati immagazzinati.
Un considerevole rafforzativo alla tutela penale è, inoltre, rappresentato dalla previsione dell’estradizione. La procedura verrà attivata, infatti, sia nei confronti dei soggetti che accedano illecitamente ai sistemi informatici al fine di violare l’integrità e la disponibilità degli stessi sia nei confronti di coloro che vi accedano per compiere lo stesso tipo di danni ai dati in essi contenuti
Il contatto operativo permanente
Da un punto di vista procedurale, la bozza di Convenzione contiene una serie di norme poste per garantire l’effettiva collaborazione di tutti Stati membri: per esempio, la previsione dell’articolo 29 della bozza di Convenzione relativa al 24/7 Network. Ogni Stato, infatti, dovrà designare un punto di contatto operativo 24 ore su 24 al fine di assicurare immediata assistenza alle attività investigative degli altri Stati membri.
Per evitare eventuali disparità tra i punti di contatto dei diversi Paesi, viene previsto espressamente che essi dovranno essere attrezzati in modo adeguato da un punto di vista tecnologico e dotati di personale competente.
Il Consiglio d’Europa – nel cercare di coordinare gli ordinamenti giuridici, ma soprattutto le Autorità Giudiziarie dei vari Stati membri dell’Unione Europea – ha compiuto un importante sforzo che non può che essere apprezzato. Tuttavia, la bozza di Convenzione sembra più che altro un insieme di importanti affermazioni di principio senza alcuna specifica indicazione circa le metodologie effettive di esecuzione delle indagini informatiche. Non viene fatto cenno alle modalità con le quali devono essere effettuate le intercettazioni informatiche e, in particolare, nulla si dice relativamente ai problemi più dibattuti, come il fondamentale diritto alla tutela della privacy, e al problema dell‘inviolabilità (o meno) della firma digitale.