FULOG

La notizia è oramai nota.

Si tratta dell’operazione tango down del CNAIPIC  (Centro Nazionale Anticrimine Informatico per la Protezione delle Infrastrutture Critiche – Cnaipic del Servizio Polizia Postale e delle Comunicazioni) contro Anonymous.

Ieri, a seguito delle prime notizie sull’operazione,  avevo manifestato qualche dubbio sul concetto giuridico  di “Associazione a delinquere telematica”.

Nel corso della Conferenza stampa successiva,  organizzata dalle forze dell’Ordine, sono emersi molti particolari dell’operazione che, indubbiamente, è stata a lungo pianificata e studiata.

Nel  comunicato stampa ufficiale rilasciato dalle stesse forze dell’Ordine,  è stata citata la norma di riferimento per le indagini relative alla protezione delle infrastrutture critiche di rilievo nazionale, ovvero l’art  7 bis della legge Pisanu.

Anche qui però sorgono dubbi.

I dubbi relativi all’ambito di operatività dell’art 7 bis sono   manifestati in questo paragrafo del testo  di Carlo Sarzana di S. Ippolito, già Presidente dei Giudici delle indagini Preliminari di Roma, “Padre” riconosciuto della legislazione italiana  sui crimini informatici e oggi Avvocato a Roma.

Buona lettura!

Le agenzie hanno appena battuto la notizia di un’indagine della procura di Roma che avrebbe portato all’emissione di quattro misure cautelari personali e  ad una decina di perquisizioni in tutta Italia.

Secondo le indagini, gli hacker sarebbero responsabile di una serie di attacchi nei confronti dei sistemi informatici di infrastrutture critiche, siti istituzionali e importanti aziende.

A quanto sembra, gli indagati risiederebbero in diverse parti d’Italia e, sempre secondo quanto  riporta la stampa, l ’ipotesi di reato contestata sarebbe fra le altre,  l’associazione a  delinquere finalizzata all’accesso abusivo a sistema informatico.

L e  indagini sono state compiute dal Centro nazionale anticrimine informatico per la protezione delle infrastrutture critiche .

Si tratterebbe peraltro di una delle prime volte, se non la prima, che il Centro, un organismo altamente specializzato del Ministero dell’Interno che,  dovrebbe avere funzioni di prevenzione degli attacchi alle infrastrutture critiche,   funge da agente di polizia giudiziaria, partecipando cioè  attivamente alle indagini in materia di reati informatici.

Il Centro era stato “attaccato” informaticamente  da Anonymous e da altri Gruppi  nel  luglio del 2011 quando  i server centrali del lo stesso Ente  furono violati dai gruppi hacker di NKWT, Anonymous, LulzSec e Antisec.

In quell’occasione furono  prelevati importanti documenti e relazioni per un totale di 8Gb di dati che tuttora si troverebbero  liberamente in internet.

L’attacco informatico  fu all’epoca presentato come protesta contro l’arresto di italiani presunti aderenti ai movimenti hacker, ma fu bollato da alcuni come un “falso”.

Si tratterà di verificare gli ulteriori sviluppi della vicenda, ma già ora una certa anomalia sembra provenire da queste prime fasi dell’indagine.

La presenza degli indagati in diverse parti d’Italia e l’utilizzo per fini personali del logo dell’Associazione Anonymous,  tenderebbe infatti  a far ad escludere che si possa parlare di un’ associazione  a delinquere reale, dovendosi riscontrare al più un’ ipotesi di associazione  a delinquere “virtuale” che, però è stata ritenuta in diverse occasioni dalla giurisprudenza,  non configurabile.

E ciò è avvenuto sia in giudizi di merito che in Cassazione.

Interessante sarà  verificare anche la configurabilità del reato in Italia dal momento che almeno nel caso dell’accesso abusivo al sito della Santa Sede il reato difficilmente si sarebbe consumato nel nostro Paese.

L’anno appena trascorso si è chiuso, dal punto di vista delle inibizioni a carico dei cittadini sulla rete, con un ulteriore sequestro preventivo richiesto dal colosso dell’Energia Eni alla procura della Repubblica di Roma e concesso dal Giudice delle indagini preliminari della Capitale Cinzia Parasporo.

La società, titolare di diversi marchi notori legati al mondo dell’energia, tra i quali anche Agip, ha lamentato una truffa ai propri danni, che sarebbe stata perpetrata attraverso diversi siti internet, tra i quali anche i Siti AGIP.ws e agipshop.org.

Sin qui nulla di strano.

Solo che invece di sequestrare il singolo sito ritenuto responsabile di un’attività illecita, si è deciso di passare anche in questo caso per gli Internet service provider, divenuti sempre più, loro malgrado, gli “sceriffi” del web.

La lista dei reati per i quali vengono concessi sequestri preventivi, prima dunque del radicamento di un qualsiasi processo, si allunga sempre di più.

Secondo alcune stime sarebbero più di 5500 i siti web sequestrati preventivamente in Italia a diverso titolo.

La novità di questo sequestro natalizio e che lo stesso viene adottato per la prima volta per il reato di accesso abusivo a sistema informatico, oltreché per il reato di phishing.

Statisticamente parlando emerge che i sequestri di siti Internet avvengono quasi esclusivamente in base a richieste di grandi holding internazionali (coecelerici-indymedia) o di grandi imprese nazionali (è il caso di Mondadori-avaxhome e Mediaset sui siti di streaming del calcio), oppure per iniziativa delle lobby di tutela del diritto d’autore, o, ancora su richiesta di personalità del mondo della politica, che svolgono un ruolo propulsivo, in questa singolare “tenzone”.

continua su Il Fatto quotidiano

In allegato il dispositivo del GIP di Roma sequestro eni-agip

Approvata la   Legge 15 febbraio 2012, n. 12 denominata   “Norme in materia di misure per il contrasto ai fenomeni di criminalita’ informatica”,   proposta come primo firmatario dal senatore Felice Casson che, di fatto,  in occasione dalla Commissione di un reato che abbia a che fare con l’informatica e la telematica, assegna i beni sequestrati e/o confiscati al Pubblico Ministero, al Giudice o alle forze di polizia.

 Ne avevo già scritto qui  nel marzo 2011,  quando il DDL  era in fase embrionale.

 La norma, che prevede un sistema di acquisizione di beni provenienti da reato direttamente agli organi che sono deputati ad eseguire le misure,  certifica in maniera incontrovertibile il grave grado di crisi di strumenti e di risorse, che affligge il pianeta giustizia.

 Si tratta infatti non di una legge di principi o di affermazioni o anche solo  di modifiche alla normativa in tema di reati informatici, ma di “contromisure” nella quale la criminalità informatica ha ben poco a che vedere.

 Le contromisure si sostanziano nell’attribuzione ai nostri organi di indagine di beni e strumenti informatici sequestrati nel corso di un indagine, prima che venga accertata l’esistenza di un reato.

 Più che di contromisure alla criminalità informatica i redattori della norma, avrebbero forse dovuto chiamarle contromisure alla carenza di beni e mezzi a disposizione dei nostri uffici pubblici.

 E’ vero nei nostri Tribunali mancano le stampanti, i software, i computer e spesso i Giudici sono costretti a lavorare da casa perché mancano negli uffici anche le cose basilari come la carta su cui stampare.

 Quando finisce un Toner per la stampante le trafile sono talmente lunghe che i nostro organi investigativi preferiscono pagarsi le cose da sé, piuttosto che sottoporsi ad umilianti richieste.

 E’ vero, le nostre forze di polizia non hanno nemmeno più la benzina per far muovere le volanti o le gazzelle ( e non dico le macchine blu che, non si capisce perché la benzina la trovino sempre) ed in queste condizioni è veramente impossibile lavorare.

 Ma che in casi selezionati dal Parlamento non si sa bene in base a quale valutazione e a quale grado di pericolosità sociale e di graduazione dei reati, chi esegue le misure cautelari o chi deve giudicare di esse, si prenda direttamente i beni, prima dell’accertamento definitivo dell’esistenza  di un  reato, mi sembra forse un po’ eccessivo.

  L’elenco dei reati non lascia capire ad esempio perché si sia scelto un tipo di reato anziché un altro.

 Si va dai reati informatici veri e propri come l’accesso abusivo a sistema informatico alla frode informatica, fino alla violazione di marchio – la violazione di marchio-  e perché?  E perché non ad esempio la violazione del copyright?

Perché non ad esempio i reati di bancarotta fraudolenta che sempre più si realizzano con la distruzione dei supporti informatici che contengono le scritture contabili.

E perché non i reati finanziari e bancari legati a fenomeni di riciclaggio internazionale, ( il cd cyberlaundering)  che avvengono sempre più attraverso la rete?

 Il plagio si ma la Corruzione no, e perché?

La norma si applicherà per esempio alle incursioni di Anonymous da chiunque effettuate , ma non ai nuovi casi Parmalat.

 Al netto di fenomeni distorsivi che potrebbero portare realtà aziendali con parecchi computer ad essere oggetto di attenzioni più severe, vediamo cosa può succedere in base alla nuova legge:

 Caso 1. Detesto la mia azienda concorrente.

Faccio un esposto all’autorità giudiziaria ( o di polizia) nel quale segnalo che da quell’azienda ( che ha un IP fisso uguale per tutti i PC connessi a internet)  che sono, che so io, 50 o 100 è stato scaricato un file pedopornografico oppure semplicemente si è fatto accesso all’anagrafe di un Comune .

Come si fa a sapere da quale PC è  stato commesso il reato?

Non si sa, per il momento.

E non si sa quindi se la società è direttamente responsabile della commissione del reato.

Intanto però tutti i PC vengono sequestrati.

Fatto realmente avvenuto, peraltro.

 Caso 2. Detesto qualcuno. Faccio un esposto in cui dichiaro che nel posto di lavoro questo qualcuno ha avuto accesso alla banca dati della motorizzazione senza averne titolo, solo perché un amico ha dato a questo signore la password.

Gli organi di  polizia giudiziaria sequestrano  il pc e lo forniscono all’Amministrazione che lo richiede in custodia gratuita fino alla fine del processo che avviene a distanza di anni. Questo signore ha perso tutto il suo lavoro.

 Tutto ciò prima che venga accertata in alcun modo la commissione del reato, si ricordi.

Qui la nota sentenza della Corte di Cassazione sull’accesso abusivo a sistema informatico.

Questo il principio di diritto affermato dalle Sezioni Unite.

 Va affermato, in conclusione, il principio di diritto secondo il quale «integra la fattispecie criminosa di accesso abusivo ad un sistema informatico o telematico protetto, prevista dall’art. 615-ter cod. pen., la condotta di accesso o di mantenimento nel sistema posta in essere da soggetto che, pure essendo abilitato, violi le condizioni ed i limiti risultanti dal complesso delle prescrizioni impartite dal titolare del sistema per delimitarne oggettivamente l’accesso. Nonhanno rilievo, invece, per la configurazione del reato, gli scopi e le finalità che soggettivamente hanno motivato l’ingresso al sistema».

Daniele ci informa del deposito delle motivazioni della sentenza delle Sezioni Unite della Corte di Cassazione sull’accesso abusivo a sistema informatico.

Dice la Cassazione: Integra la fattispecie criminosa di accesso abusivo ad un sistema informatico o telematico protetto, prevista dall’art. 615-ter cod. pen., la condotta di accesso o di mantenimento nel sistema posta in essere dal soggetto che, pure essendo abilitato, violi le condizioni ed i limiti risultati dal complesso delle prescrizioni impartite dal titolare del sistema per delimitare oggettivamente l’accesso. Non hanno rilievo, invece, per la configurazione del reato, gli scopi e le finalità che soggettivamente hanno motivato l’ingresso al sistema

Chiosa Daniele: “E’ questo il principio di diritto affermato dalle Sezioni Unite della Corte di Cassazione con la sentenza 4694/12 depositata proprio oggi.
In altre parole, povere, sono punibili anche coloro che, pur avendo legittime credenziali, si mantengono nel sistema per scopi esorbitanti, tipicamente per dare una “sbirciatina ” ai dati contenuti nel sistema, e senza che siano rilevanti i fatti successivi (tipicamente, l’uso dei dati).
Nel caso di specie, è stato respinto il ricorso contro la condanna di un esponente delle Forze dell’Ordine che aveva consultato lo S.D.I. (Sistema Di Investigazione) per scopi estranei alla sua funzione”.

L’amico Michele Iaselli   da notizia su Altalex   di un  ulteriore arresto giurisprudenziale di merito, con esito fausto,  in tema  di accesso abusivo a sistema informatico.   

 La notizia segue l’altra di qualche giorno fa relativa alla sentenza di  non luogo a procedere  da parte del GUP di Roma   nei confronti di Gioacchino Genchi, il superconsulente di diverse procure, che era stato accusato di aver abusivamente intercettato ed archiviato molte migliaia di dati relativi  ad intercettazioni.

 Si tratta comunque di due procedimenti che avevano come protagonisti appartenenti alle forze dell’ordine.

 In entrambi i casi ( la sentenza Genchi non è ancora disponibile sul web)  sembra sia apparso rilevante ai fini della decisione di non luogo a procedere l’utilizzo dei dati ottenuti con il presunto accesso abusivo e non il semplice accesso, sembra cioè che la giurisprudenza di merito si stia orientando in tema di accesso abusivo verso la valutazione, ai fini della penale responsabilità, dell’utilizzo illecito o  meno  dei dati ottenuti con l’accesso autorizzato.

 E’ una buona cosa per gli avvocati e per le parti, ma ho il dubbio che tale impostazione sia differente da quanto affermato anche di recente dalla Corte di Cassazione in tema di permanenza abusiva ( e non di accesso)  e ho altresì la sensazione  che non sia ben  chiaro in alcuni casi  agli organi giudicanti ( e molto spesso anche agli organi di accusa)  la distinzione tra il reato di accesso abusivo a sistema informatico e quello previsto dall’art 167 del codice privacy, che come è noto, punisce il trattamento illecito dei dati personali in caso dal comportamento dell’agente derivi  danno o  profitto per lo stesso agente.