FULOG

Approvata la   Legge 15 febbraio 2012, n. 12 denominata   “Norme in materia di misure per il contrasto ai fenomeni di criminalita’ informatica”,   proposta come primo firmatario dal senatore Felice Casson che, di fatto,  in occasione dalla Commissione di un reato che abbia a che fare con l’informatica e la telematica, assegna i beni sequestrati e/o confiscati al Pubblico Ministero, al Giudice o alle forze di polizia.

 Ne avevo già scritto qui  nel marzo 2011,  quando il DDL  era in fase embrionale.

 La norma, che prevede un sistema di acquisizione di beni provenienti da reato direttamente agli organi che sono deputati ad eseguire le misure,  certifica in maniera incontrovertibile il grave grado di crisi di strumenti e di risorse, che affligge il pianeta giustizia.

 Si tratta infatti non di una legge di principi o di affermazioni o anche solo  di modifiche alla normativa in tema di reati informatici, ma di “contromisure” nella quale la criminalità informatica ha ben poco a che vedere.

 Le contromisure si sostanziano nell’attribuzione ai nostri organi di indagine di beni e strumenti informatici sequestrati nel corso di un indagine, prima che venga accertata l’esistenza di un reato.

 Più che di contromisure alla criminalità informatica i redattori della norma, avrebbero forse dovuto chiamarle contromisure alla carenza di beni e mezzi a disposizione dei nostri uffici pubblici.

 E’ vero nei nostri Tribunali mancano le stampanti, i software, i computer e spesso i Giudici sono costretti a lavorare da casa perché mancano negli uffici anche le cose basilari come la carta su cui stampare.

 Quando finisce un Toner per la stampante le trafile sono talmente lunghe che i nostro organi investigativi preferiscono pagarsi le cose da sé, piuttosto che sottoporsi ad umilianti richieste.

 E’ vero, le nostre forze di polizia non hanno nemmeno più la benzina per far muovere le volanti o le gazzelle ( e non dico le macchine blu che, non si capisce perché la benzina la trovino sempre) ed in queste condizioni è veramente impossibile lavorare.

 Ma che in casi selezionati dal Parlamento non si sa bene in base a quale valutazione e a quale grado di pericolosità sociale e di graduazione dei reati, chi esegue le misure cautelari o chi deve giudicare di esse, si prenda direttamente i beni, prima dell’accertamento definitivo dell’esistenza  di un  reato, mi sembra forse un po’ eccessivo.

  L’elenco dei reati non lascia capire ad esempio perché si sia scelto un tipo di reato anziché un altro.

 Si va dai reati informatici veri e propri come l’accesso abusivo a sistema informatico alla frode informatica, fino alla violazione di marchio – la violazione di marchio-  e perché?  E perché non ad esempio la violazione del copyright?

Perché non ad esempio i reati di bancarotta fraudolenta che sempre più si realizzano con la distruzione dei supporti informatici che contengono le scritture contabili.

E perché non i reati finanziari e bancari legati a fenomeni di riciclaggio internazionale, ( il cd cyberlaundering)  che avvengono sempre più attraverso la rete?

 Il plagio si ma la Corruzione no, e perché?

La norma si applicherà per esempio alle incursioni di Anonymous da chiunque effettuate , ma non ai nuovi casi Parmalat.

 Al netto di fenomeni distorsivi che potrebbero portare realtà aziendali con parecchi computer ad essere oggetto di attenzioni più severe, vediamo cosa può succedere in base alla nuova legge:

 Caso 1. Detesto la mia azienda concorrente.

Faccio un esposto all’autorità giudiziaria ( o di polizia) nel quale segnalo che da quell’azienda ( che ha un IP fisso uguale per tutti i PC connessi a internet)  che sono, che so io, 50 o 100 è stato scaricato un file pedopornografico oppure semplicemente si è fatto accesso all’anagrafe di un Comune .

Come si fa a sapere da quale PC è  stato commesso il reato?

Non si sa, per il momento.

E non si sa quindi se la società è direttamente responsabile della commissione del reato.

Intanto però tutti i PC vengono sequestrati.

Fatto realmente avvenuto, peraltro.

 Caso 2. Detesto qualcuno. Faccio un esposto in cui dichiaro che nel posto di lavoro questo qualcuno ha avuto accesso alla banca dati della motorizzazione senza averne titolo, solo perché un amico ha dato a questo signore la password.

Gli organi di  polizia giudiziaria sequestrano  il pc e lo forniscono all’Amministrazione che lo richiede in custodia gratuita fino alla fine del processo che avviene a distanza di anni. Questo signore ha perso tutto il suo lavoro.

 Tutto ciò prima che venga accertata in alcun modo la commissione del reato, si ricordi.

Qui la nota sentenza della Corte di Cassazione sull’accesso abusivo a sistema informatico.

Questo il principio di diritto affermato dalle Sezioni Unite.

 Va affermato, in conclusione, il principio di diritto secondo il quale «integra la fattispecie criminosa di accesso abusivo ad un sistema informatico o telematico protetto, prevista dall’art. 615-ter cod. pen., la condotta di accesso o di mantenimento nel sistema posta in essere da soggetto che, pure essendo abilitato, violi le condizioni ed i limiti risultanti dal complesso delle prescrizioni impartite dal titolare del sistema per delimitarne oggettivamente l’accesso. Nonhanno rilievo, invece, per la configurazione del reato, gli scopi e le finalità che soggettivamente hanno motivato l’ingresso al sistema».

Daniele ci informa del deposito delle motivazioni della sentenza delle Sezioni Unite della Corte di Cassazione sull’accesso abusivo a sistema informatico.

Dice la Cassazione: Integra la fattispecie criminosa di accesso abusivo ad un sistema informatico o telematico protetto, prevista dall’art. 615-ter cod. pen., la condotta di accesso o di mantenimento nel sistema posta in essere dal soggetto che, pure essendo abilitato, violi le condizioni ed i limiti risultati dal complesso delle prescrizioni impartite dal titolare del sistema per delimitare oggettivamente l’accesso. Non hanno rilievo, invece, per la configurazione del reato, gli scopi e le finalità che soggettivamente hanno motivato l’ingresso al sistema

Chiosa Daniele: “E’ questo il principio di diritto affermato dalle Sezioni Unite della Corte di Cassazione con la sentenza 4694/12 depositata proprio oggi.
In altre parole, povere, sono punibili anche coloro che, pur avendo legittime credenziali, si mantengono nel sistema per scopi esorbitanti, tipicamente per dare una “sbirciatina ” ai dati contenuti nel sistema, e senza che siano rilevanti i fatti successivi (tipicamente, l’uso dei dati).
Nel caso di specie, è stato respinto il ricorso contro la condanna di un esponente delle Forze dell’Ordine che aveva consultato lo S.D.I. (Sistema Di Investigazione) per scopi estranei alla sua funzione”.

L’amico Michele Iaselli   da notizia su Altalex   di un  ulteriore arresto giurisprudenziale di merito, con esito fausto,  in tema  di accesso abusivo a sistema informatico.   

 La notizia segue l’altra di qualche giorno fa relativa alla sentenza di  non luogo a procedere  da parte del GUP di Roma   nei confronti di Gioacchino Genchi, il superconsulente di diverse procure, che era stato accusato di aver abusivamente intercettato ed archiviato molte migliaia di dati relativi  ad intercettazioni.

 Si tratta comunque di due procedimenti che avevano come protagonisti appartenenti alle forze dell’ordine.

 In entrambi i casi ( la sentenza Genchi non è ancora disponibile sul web)  sembra sia apparso rilevante ai fini della decisione di non luogo a procedere l’utilizzo dei dati ottenuti con il presunto accesso abusivo e non il semplice accesso, sembra cioè che la giurisprudenza di merito si stia orientando in tema di accesso abusivo verso la valutazione, ai fini della penale responsabilità, dell’utilizzo illecito o  meno  dei dati ottenuti con l’accesso autorizzato.

 E’ una buona cosa per gli avvocati e per le parti, ma ho il dubbio che tale impostazione sia differente da quanto affermato anche di recente dalla Corte di Cassazione in tema di permanenza abusiva ( e non di accesso)  e ho altresì la sensazione  che non sia ben  chiaro in alcuni casi  agli organi giudicanti ( e molto spesso anche agli organi di accusa)  la distinzione tra il reato di accesso abusivo a sistema informatico e quello previsto dall’art 167 del codice privacy, che come è noto, punisce il trattamento illecito dei dati personali in caso dal comportamento dell’agente derivi  danno o  profitto per lo stesso agente.

Ieri sono state approvate dalla Commissione Giustizia del Senato le nuove norme per la lotta ai  crimini informatici che prevedono la possibilità per le forze dell’ordine di usufruire degli strumenti sequestrati a chi a commesso crimini informatici per contrastare la commissione di ulteriori reati.

Le disposizioni approvate passeranno ora all’esame della Camera.

Le disposizioni contenute  nel   Disegno di legge N. 2271  a firma del senatore Casson,  sono in realtà molto estensive e consentono la confisca delle strumentazioni informatiche e telematiche in quanto “cose pertinenti al reato”.  

 Vale la pena seguire il ragionamento seguito dai presentatori della norma nella relazione di accompagnamento allo stesso disegno di legge.

 “In questo quadro va evidenziato come nelle indagini in materia di criminalità informatica ci si sia trovati spesso di fronte a beni suscettibili di confisca ai sensi dell’articolo 240, comma primo del codice penale in quanto «cose pertinenti al reato». Tale disposizione ha creato però alcuni problemi poiché, trattandosi di beni informatici o telematici (computer fissi ma soprattutto portatili, cellulari di ultima generazione utilizzati per le connessioni ad internet, supporti di archiviazione di informazioni o di programmi informatici ed altro) di un certo valore ma, allo stesso tempo, soggetti a rapido deprezzamento il loro prolungato non uso ha condotto alla perdita del loro valore intrinseco. Si consideri, inoltre, che siamo di fronte a beni non deperibili il cui uso non inciderebbe sul loro valore estrinseco ed anche in caso di sentenza di assoluzione, non precluderebbe una loro restituzione agli aventi diritto. Oggi, in assenza di adeguate dotazioni d’ufficio, poliziotti, carabinieri e finanzieri mandano avanti le indagini anche grazie a qualche computer comprato di tasca propria (sul quale peraltro non possono utilizzare i programmi dell’ufficio perché il loro caricamento non è autorizzato su computer non dell’amministrazione), o usufruiscono di vecchi modelli in via di rottamazione concessi per poco tempo in comodato d’uso dalle società che forniscono alle forze dell’ordine i materiali per le intercettazioni telefoniche.
    In tale situazione si ritiene necessario prevedere per legge una destinazione dei suddetti beni a soggetti istituzionalmente interessati al loro riutilizzo per finalità meritevoli di tutela, sulla falsariga della legislazione già esistente in materia di beni sequestrati nell’ambito di attività di contrasto alla pedopornografia (l’articolo 9 della legge 16 marzo 2006 n. 146 prevede, quali beneficiari del materiale o dei beni sequestrati, gli organi di polizia giudiziaria che ne facciano richiesta per l’impiego di attività di contrasto alla pedopornografia), al contrabbando (il testo unico delle disposizioni legislative in materia doganale, di cui al decreto del Presidente della Repubblica 23 gennaio 1973, n. 43, prevede, quali possibili beneficiari dei beni mobili, compresi quelli iscritti in pubblici registri, delle navi, delle imbarcazioni, dei natanti e degli aeromobili sequestrati, gli organi di polizia che ne facciano richiesta per l’impiego in attività di polizia, ovvero altri organi dello Stato o altri enti pubblici non economici, per finalità di giustizia, di protezione civile o di tutela ambientale), al traffico di droga o alla prevenzione e repressione dell’immigrazione clandestina, nonché, con le previsioni dell’ultimo «pacchetto sicurezza» (decreto-legge 23 maggio 2008, n. 92, convertito, con modificazioni, dalla legge 24 luglio 2008, n. 125, decreto-legge 23 febbraio 2009, n. 11, convertito, con modificazioni, dalla legge 23 aprile 2009, n. 38, e legge 15 luglio 2009, n. 94), in materia di beni sequestrati con misura di prevenzione patrimoniale ai sensi della normativa antimafia.
    Si impone pertanto una modifica legislativa in grado di incidere, in maniera positiva, sul vigente assetto normativo in materia di contrasto alla criminalità informatica, anche al fine di colmare quel divario tecnologico da più parti denunciato e al fine di restituire incisività all’azione investigativa ed efficacia alla tutela dei diritti delle persone offese.
    Il presente disegno di legge si compone di tre articoli. L’articolo l apporta alcune modifiche al codice penale in materia di confisca obbligatoria dei beni informatici o telematici utilizzati per la commissione dei reati informatici. L’innovazione è riferita ai soli reati informatici previsti dal codice penale ricomprendendo, oltre alle ipotesi indicate dalla legge n. 48 del 2008, anche le truffe commesse con l’utilizzo di strumenti informatici, fattispecie queste in costante aumento: si pensi, a solo titolo di esempio, alle cosiddette truffe su e-Bay o al fenomeno del phishing a danno dei correntisti online. La denominazione «beni informatici e telematici» è lasciata volutamente ampia al fine di comprendere, alla luce delle elaborazioni giurisprudenziali in relazione alla nozione di «sistema informatico e telematico», qualsiasi res (materiale ma anche immateriale) tipicamente utilizzata, in tutto o in parte, per la commissione dei richiamati reati.

Come già attualmente previsto in generale, anche le norme sulla confisca dei beni informati e telematici non si applicheranno quando la res appartiene a persona estranea al reato.”

 Qbene, a prescindere dalla constatazione generale  in base alla quale la confisca di beni informatici in questo caso servirebbe a “coprire” le carenze economiche “croniche” dei nostri conti pubblici nel settore della giustizia, mi sembra utile sottolineare come spesso i reati informatici vengano compiuti mediante gli strumenti di terzi, quali società, enti etc e che spesso non è semplice stabilire se e come gli enti o le società siano state a conoscenza di tali fatti.

In questo contesto è fondato il pericolo che beni informatici e telematici di terzi vengano “indiscriminatamente” sequestrati e confiscati, lasciando in grave difficoltà le aziende che hanno subito il sequestro e la successiva confisca.

Il pericolo mi sembra molto evidente proprio in relazione alle fattispecie evidenziate nel disegno di legge, ovvero le ipotesi di phishing e di ebay laddove gli strumenti telematici ed informatici utilizzati sono, al di là dei computer di chi materialmente compie le truffe, anche i sistemi bancari informatici utilizzati per “pescare” i conti correnti ( nel caso del phishing)  e le piattaforme di scambio nel caso di ebay.

Non bisogna dimenticare infatti che in questi casi si potrebbe ipotizzare una forma di concorso quantomeno nella forma del concorso omissivo  per non aver impedito l’avverarsi dell’evento criminoso e tale fatto potrebbe portare al sequestro ed alla confisca anche degli strumenti informatici e telematici delle società che gestiscono tali strumenti, in attesa che si stabilisca  se tali società siano o meno “terze” rispetto al fatto.

Domani 14 dicembre l’autorità giudiziaria britannica dovrebbe decidere se estradare Julian Assange in Svezia, e in ogni caso a prescindere da qualsiasi decisione, lo stesso fondatore di Wikileaks, che già si è opposto alla richiesta di consegna al paese Scadinavo, verrà ascoltato in merito.

Tecnicamente in realtà si dovrebbe parlare non di estradizione ma di  consegna alle Autorità giudiziarie Svedesi in virtù dell’emissione da parte di quest’ultima di un mandato di arresto europeo ( anche conosciuto con l’acronimo MAE) che la Gran Bretagna ha eseguito sul proprio territorio.

Tutto indicherebbe, a partire dalla natura inderogabile del mandato di arresto spiccato dalla Svezia,  che l’autorità giudiziaria inglese sia intenzionata a  consegnare  Assange, anche se non è del tutto scontato che questo  avvenga.

Alcuni commentatori peraltro (nella fattispecie alcuni giuristi interpellati da  Le Monde http://www.lemonde.fr/europe/article/2010/12/07/l-extradition-de-julian-assange-semble-inevitable_1450355_3214.html )  ritengono che l’estradizione sia inevitabile.

Il caso di “scuola”  per quanto riguarda i reati informatici  è quello di Gary Mckinnon Amministratore di sistema britannico  che è stato accusato di intrusione illecita verso  ben 97 server militari degli Stati Uniti e della NASA  nel 2001 e nel 2002.

Nonostante le intrusioni fossero pacificamente avvenute, per ammissione dello stesso MCKinnon dal territorio Britannico, il 30 lugli 2009 la Camera dei Lord ha dato il via libera all’estradizione negli Stati Uniti di Gary McKinnon.

Ma vi sono stati casi nel passato nei quali l’autorità giudiziaria britannica ha negato la consegna.

Il caso di Danilo Restivo, presunto omicida di Elisa Claps, arrestato in Gran Bretagna, e a cui è stata rifiutata l’estradizione temporanea in Italia, dimostra che l’autorità giudiziaria inglese è sempre molto “gelosa” delle proprie prerogative e della propria  autonomia, al punto di essere considerata a volte quasi “arrogante” nella difesa della propria indipendenza rispetto a richieste provenienti dall’estero.

L’Italia, va ricordato, aveva emesso lo stesso Mandato di arresto Europeo che pende ora sulla testa di Assange, ma per vicende ovviamente ben più gravi di quelle che oggi riguardano il fondatore di Wikileaks.

http://www.corriere.it/cronache/10_giugno_03/restivo-londra_f7af9d9a-6ee9-11df-bfef-00144f02aabe.shtml.

Ma allo stato attuale, diversamente dal caso Claps,  non sembrano pendere procedimenti penali in gran Bretagna a carico di Assange che possano in qualche modo ritardarne  la consegna.

Analogamente però al caso Restivo-Claps molto probabilmente Assange, nel caso dovesse essere consegnato alla Svezia,  verrebbe  processato prima nel paese Scandinavo per i due reati di natura sessuale che gli vengono contestati e solo in un secondo momento si potrà porre un problema di estradizione verso gli Stati Uniti.

Nonostante Autorevoli giuristi che si stanno occupando del caso negli Stati Uniti, appoggiati naturalmente dal Dipartimento di Stato, ritengano che, in virtù del Trattato Bilaterale in materia di estradizione  Stati Uniti- Svezia, firmato negli anni ‘60 e confermato poi dal trattato di estradizione del 2003 tra Stati Uniti ed Unione Europea, Assange possa  essere comunque  “temporaneamente” estradato per essere sottoposto a processo negli Stati Uniti. http://www.youtube.com/watch?v=hIyeu6eRpTk

Ma le Autorità Politiche svedesi nel rispetto dell’autonomia della Magistratura, sembrano di essere di diverso avviso.  

http://www.corriere.it/esteri/10_dicembre_08/assange-estradizione-svezia_d48aadf6-02b3-11e0-83ab-00144f02aabc.shtml.

Nel caso poi in cui  Assange dovesse essere condannato, dovrà scontare la relativa pena sempre in Svezia, per poi rischiare di essere estradato negli Stati Uniti in virtù della possibile incriminazione ai sensi dell’Espionnage act Statunitense o per  altro tipo di reato, mentre se sarà assolto molto probabilmente verrà comunque estradato negli Stati Uniti, se nel frattempo questi ultimi avessero avanzato formale richiesta di estradizione, in virtù, come si diceva, del trattato di estradizione esistente tra Stati Uniti ed Unione europea dal 2003 ( che per inciso è stato recepito anche in Italia nel 2009).

E’ solo a questo punto che si potrà verificare se la Svezia sia in grado di  ( o voglia)    resistere alle pressioni diplomatiche  e giudiziarie Statunitensi e considerare  non idonee, ai sensi del proprio ordinamento interno e ai fini dell’estradizione, le accuse frattanto formulate dagli Stati Uniti, che hanno però tutto il tempo di formulare le imputazioni ritenute più efficaci per convincere la Svezia a consegnare Assange, ivi compresa l’imputazione di “terrorismo”  che priverebbe probabilmente  la Svezia del diritto di rifiutare l’estradizione in virtù della firma ad opera della stessa  dei trattati internazionali  contro il terrorismo.

Si può svaligiare una casa sul web ?

Secondo la procura di Palermo evidentemente si.

Secondo l’Ansa  infatti la procura di Palermo avrebbe  aperto un indagine su un ‘furto’ compiuto da un hacker nella casa virtuale di un ignaro utente nel contesto del  social network Facebook.

Secondo i “lanci di agenzia”,  un’impiegata del Pubblico Registro Automobilistico di Palermo avrebbe subito un vero e proprio “furto virtuale” all’interno dell’applicazione ”Pet society”  operante sul famoso social network Facebook e che consente la creazione di una sorta di casa virtuale arredabile dai partecipanti al gioco.

Il Gip, sempre secondo le notizie di stampa, avrebbe rigettato l’archiviazione proposta dal pubblico ministero disponendo la prosecuzione delle indagini in virtù della ”introduzione abusiva e aggravata” nella corrispondenza elettronica e nelle attivita’ ad essa collegate.

Nonostante le possibili imprecisioni numeriche ( l’art 615 ter del codice penale anziché l’art 615)  sembra dunque che  il titolo di reato per il quale si stia procedendo sia  l’art 615 ter ovvero la norma che penalizza l’accesso abusivo a sistema informatico e non quella diversa dell’art 615 bis che tutela l’interferenza illecita nella vita privata né la norma dell’art 614 che penalizza la violazione di domicilio.

Da queste comunicazioni potrebbe apparire impropriamente che il procedimento equipari la casa virtuale presente su Facebook ad una casa reale e che vi sia stata quindi una violazione del domicilio virtuale simile a quello che avviene nel domicilio reale in occasione di un furto.

In realtà le cose, almeno da punto di vista giuridico non sembrano potersi qualificare in tal modo.

L’art 615 ter del codice penale per cui si starebbe  procedendo prevede l’accesso abusivo a sistema informatico ovvero l’introduzione abusiva in un sistema informatico ( che può essere ovviamente anche il proprio account di posta elettronica) mediante, ad esempio, anche il furto della password , o anche altri sistemi, della povera impiegata pubblica che si spera, non utilizzava Facebook per arredare la propria casa virtuale durante le ore lavorative.

Non sembrerebbe potersi però parlare di un’equiparazione tra domicilio reale e domicilio virtuale visto che secondo la tesi predominante in dottrina e giurisprudenza   il domicilio informatico non può assolutamente essere comparato alla tradizionale figura di domicilio in quanto non c’è alcuna analogia tra i sistemi informatici e i luoghi privati menzionati dall’art. 614 c.p.

Anche se non è mancato chi vorrebbe vedere quindi negli accessi non autorizzati  una sorta di privacy informatica, ancor prima di verificare se siano state attaccate l’integrità e la riservatezza dei dati.

Molto più plausibilmente quello che è accaduto può essere fatto rientrare nel “furto” di una password ( quindi nell’accesso abusivo)  e nella frode compiuta ai danni della signora per il danno subito,  e da questo punto di vista probabilmente si sarebbe dovuto procedere anche per la frode informatica prevista dall’art 640 ter del codice penale   che prevede  «chiunque, intervenendo senza diritto con qualsiasi modalità su dati, informazioni o programmi contenuti in un sistema informatico o ad esso pertinenti, procura a sé o ad altri ingiusto profitto con altrui danno».

Questo perché se come appare, la vittima del reato aveva  anche comprato gli oggetti di arredamento virtuale  con la  carta di credito appare evidente che vi sia stato un ingiusto profitto e l’altrui danno.

 Per inciso la Corte di Cassazione nel passato ha ritenuto concorrenti i due reati , ovvero contestabili entrambi .

Proprio al fine di evitare che accadano fatti simili nei giorni scorsi Facebook   , aveva  annunciato nei giorni scorsi l’ultima novità per tranquillizzare gli utenti: la password monouso, da richiedere con un sms, per accedere al proprio account dai computer pubblici.

 ”Se si è preoccupati della sicurezza del pc da cui si sta accedendo a Facebook, si può richiedere l’invio di una password temporanea che sostituisca quella normalmente in uso”, ha spiegato il social network sul suo blog.

La password usa e getta dura 20 minuti.

 Chissà se l’ignara dipendente pubblica avesse avuto la password unica temporanea da usare nei computer pubblici tutto questo non  sarebbe successo?