Cybercrime e legittima difesa: tra garanzie funzionali, paternità dell’attacco e reazione giustificata
Abstract
Il contributo vuole analizzare quali strumenti sono messi a disposizione in via difensiva al soggetto che subisce un attacco cibernetico. Dopo aver ricostruito l’applicabilità della legittima difesa e dello stato di necessità al dominio cibernetico, con l’approfondimento ci si sofferma sui limiti e sulle criticità esecutive di tali istituti. Infine, dopo una panoramica degli strumenti a disposizione – anche – dei privati, si approfondiscono gli strumenti di “attacco“ e di attività preventiva.
The paper aims to analyze which tools are made available on a defensive basis to the person who suffers a cyber-attack. After having reconstructed the applicability of legitimate defense and of the state of necessity to the cybernetic domain, with the in-depth analysis we focus on the limits and the executive criticalities of these institutes. Finally, after an overview of the tools available – also – to private individuals, the tools of “attack” and preventive activity are explored.
Sommario
1. Introduzione
2. Legittima difesa, aggressione cibernetica e cyberwarfare
2.1 L’aggressione ingiusta nel “quinto dominio”
2.2 La reazione legittima nel “quinto dominio”
3. Le difficoltà di attribuzione della paternità
4. Le capacità della forza pubblica: oltre la legittimità generale, le garanzie funzionali
4.1 L’uso legittimo di armi
4.2 Le garanzie funzionali
4.3 Le recenti riforme
5. Conclusioni: la riforma del diritto a legge invariata
1. Introduction
2. Legitimate defense, cyber aggression and cyberwarfare
2.1 Unjust aggression in the “fifth domain”
2.2 The legitimate reaction in the “fifth domain”
3. Difficulties in attributing paternity
4. The capabilities of the public force: beyond general legitimacy, functional guarantees
4.1 The legitimate use of weapons
4.2 Functional guarantees
4.3 The recent reforms
5. Conclusions: the reform of the right to the law unchanged
1. Introduzione
Le sempre più pervasive minacce cibernetiche hanno portato all’attenzione del grande pubblico tematiche in precedenza riservate ad una nicchia di attori. La prevenzione, la repressione e la risposta al crimine cibernetico si sono progressivamente qualificati come centrali nella vita di qualsiasi operatore, sia esso pubblico o privato, istituzionale o commerciale. Come spesso accade con il progresso tecnologico, si è reso necessario interrogarsi sul ruolo che il diritto può assumere nei confronti della cybersicurezza, e soprattutto se i tradizionali istituti – siano essi di diritto penale o amministrativo – siano in grado di rispondere alle sfide lanciate dalla trasformazione digitale e dalle connesse problematiche di sicurezza.
Tra i vari quesiti sorti nel dibattito, uno fra tutti ha assunto un peso di rilievo, in quanto concentrato su alcuni degli aspetti strettamente legati all’evoluzione giuridica del paese: la difesa del cittadino.
Ciò su cui ci si interroga, dunque, è se in ambito cibernetico trovi applicazione la tradizionale legittimità di risposta in caso di lesione ai propri interessi e diritti. In altri termini, ciò che si vuole indagare è se in ambito cyber possa ritenersi operante la scriminante della legittima difesa.
Questo è lo scopo della presente analisi, in cui dopo aver evidenziato l’evoluzione e l’attuale quadro normativo della legittima difesa, ci si soffermerà su più o meno equivalenti forme di “autotutela” in ambito statuale, nonché sui principali problemi di applicazione della causa di giustificazione in parola.
2. Legittima difesa, aggressione cibernetica e cyberwarfare
Sulla base delle “regole d’ingaggio” assunte nell’introduzione, una prima distinzione appare d’obbligo. L’ambito di applicazione della legittima difesa – che è materia di Codice penale, strumento di basilare di gestione della sovranità – va tenuto ben distinto da forme più o meno regolamentate di risposta bellica o, comunque, di risposta militare all’uso della forza. La diversità può ben evidenziarsi sia per un elemento oggettivo, dato dall’incisività dell’attacco – che tradizionalmente richiede che si «debba mettere in pericolo o ledere cose o persone per sussumersi nel concetto di uso della forza» per giustificare un intervento bellico[1] – che per uno soggettivo, connesso a “chi” materialmente eserciti l’azione lesiva – cioè se questa sia condotta direttamente da uno Stato, o comunque sia individuabile un nesso di causalità agevolatrice da parte di esso[2].
Di contro, invece, un attacco “meramente” criminale può essere svolto da chiunque, principalmente da un soggetto quantomeno formalmente privato, ed essere rivolto a qualsiasi bene giuridico, compresa la riservatezza e il patrimonio[3].
Al fine di distinguere i due aspetti, i termini che qui si utilizzeranno sono cybercrime (o crimine cibernetico), per gli atti di criminalità, e cyberwarfare per quelli di matrice bellico militare[4]. Si tratta, comunque, di una distinzione necessaria a fini di analisi, essendo il confine tra le due fattispecie spesso non così chiaramente delineato, nonché ad alta influenza politica (o geopolitica)[5].
Passando ora al più specifico campo d’indagine della legittima difesa, si evidenzia come questa è prevista dall’art. 52 c.p., ed è volta a ritenere non punibile chiunque abbia commesso un fatto di reato, «per esservi stato costretto dalla necessità di difendere un diritto proprio o altrui contro il pericolo attuale di un’offesa ingiusta», sempreché ci sia proporzione tra offesa e difesa[6]. Con fondamento nel vim vi repellere licet, la legittima difesa trova copertura giuridica nella totalità degli ordinamenti, in quanto affonda le proprie radici proprio nello stesso soggetto ingiustamente vessato[7].
Due gli aspetti centrali che emergono dalla lettura della norma, quantomeno secondo autorevole scienza giuridica: a) l’aggressione ingiusta, cioè una condotta attiva volta alla lesione di una situazione giuridica attiva individuale, attuale e, appunto, non giustificata; b) una reazione necessaria, inevitabile e proporzionata[8].
Ciò che occorre comprendere è come simili categorie giuridiche, comprensive dei loro stringenti requisiti, si attaglino alla risposta al cybercrime.
2.1 L’aggressione ingiusta nel “quinto dominio”
Con riferimento al primo dei due requisiti, non si rinvengono particolari differenze rispetto alla tradizionale ricostruzione operata dalla scienza giuridica, quantomeno per l’ingiustizia – da intendersi come non jure, quindi al di fuori di qualsivoglia autorizzazione, legittimazione o imposizione normativa – e anche per l’attualità – richiedendosi che l’attività lesiva sia in corso al momento in cui si pone in essere la condotta difensiva. Con riferimento a quest’ultimo elemento, dunque, appare chiaro come non possano sussumersi sotto la legittima difesa eventuali attività preventive, o di risposta ritorsiva. Tema, questo, su cui si ritornerà nel proseguo.
Maggiormente complessa, invece, la qualificazione della “condotta attiva” richiesta per permettere una risposta scriminata. Il tema è strettamente connesso alla definizione di “attacco cibernetico”, che tanto ha promosso il dibattito in materia. Pur mancando una reale giurisprudenza in grado di definire ed interpretare il termine, sembra possibile mutuare la qualificazione dall’ambito internazionale e bellico, il quale – pur basato su un “effect-based approach” – fornisce le coordinate di base per individuare la fattispecie. Specificamente, è possibile qualificarlo come quell’attività condotta per il tramite di un software connesso ad una rete di hardware, volto ad arrecare danno, rendere infungibile, limitare e/o impedire l’accesso ad una diversa rete o ad altro hardware, nonché appropriarsi illegittimamente dei dati in questi contenuti. Dunque, senza entrare nel merito delle singole tipologie di attacco (trojan, inject, malware, DDos, ecc.)[9], un attacco è qualsiasi attività svolta per il tramite dispositivi e di reti, verso simili strumenti altrui (cioè con mezzi informatici vs altri mezzi informatici). Si tratta, a ben vedere, di condotte materiali che fuoriescono dalla sfera personale del cogitare, e richiedono una lesività in concreto – quantomeno in termini di idoneità della condotta – senza particolari differenziazioni rispetto ad altre attività che, tradizionalmente, vengono ricondotte sotto la copertura della legittima difesa, come la violazione di domicilio, il furto, il danneggiamento o, in caso estremo di conversione di effetti “oltre” il dominio cibernetico, lesione e omicidio[10]. Nulla quaestio, ovviamente, in quei casi in cui il “mezzo cyber” si configuri come mero strumento della condotta delittuosa, in quanto volto a tenere condotte che di per loro potrebbero anche considerarsi lecite, ma il cui scopo e la cui concretizzazione si ripercuotono nel compimento di reati (es. modifica di valori di alcuni valori in un impianto di depurazione, ma oltre gli estremi richiesti dal tipo di trattamento e con il fine di provocare un avvelenamento)[11].
Dal quadro sopra descritto, dunque, non si rinvengono particolari criticità nella qualificazione di un attacco cibernetico come “condotta attiva” necessaria affinché operi la legittima difesa. Più complesso, invece, risulta individuare il tema della “legittima reazione” richiesta dal secondo dei requisiti analizzati in apertura.
Per leggere tutti i contributi della rivista, CLICCA QUI!
[1]SETTI S., Diritto e guerra cibernetica, in Il mondo dell’intelligence, 2017, disponibile nel sito del Sistema di informazione per la sicurezza della Repubblica all’indirizzo www.sicurezzanazionale.gov.it – ultima consultazione 22 giugno 2022.
[2] In tema, si veda GIUSEPPE P., Complicità di Stati nell’illecito internazionale, Torino, Giappichelli, 2018.
[3] Basti pensare, sul punto, al tema del cyber espionage industriale, o all’utilizzo di ramsonware a scopi di finanziamento, si veda ZICCARDI G., Il ricatto digitale. Geopolitica, sorveglianza e controllo, Bologna, Il Mulino, 4, 2017, 671-678.
[4] È lo stesso Sistema di Informazioni per la Sicurezza della Repubblica, infatti, che definisce quest’ultimo proprio come «L’insieme delle operazioni militari condotte nel e tramite il cyberspazio per infliggere danni all’avversario, statuale o non, consistenti – tra l’altro – nell’impedirgli l’utilizzo efficace di sistemi, armi e strumenti informatici e comunque di infrastrutture e processi da questi controllati. Il significato include anche attività di difesa e capacitanti (volte cioè a garantirsi la disponibilità e l’uso del cyberspace». Sul punto Sistema di informazione per la sicurezza della Repubblica, Glossario Intelligence, Roma, 2019.
[5] Si pensi, sul punto, a quanto avvenuto nell’ordinamento statunitense in relazione all’attribuzione di un attacco cibernetico a soggetti statuali stranieri, intervenuto con apposito comunicato stampa dell’amministrazione governativa, che ha spinto alcune compagnie assicurative a negare la liquidazione del risarcimento per riconduzione dell’evento ad attività bellica. Il riferimento è al caso NotPetya, Mondelez International, multinazionale americana leader nel mercato alimentare e Zurich American Insurance Company, sul punto FERLAND J., Cyber insurance – What coverage in case of an alleged act of War? Questions raised by the Mondelez v. Zurich case, in Computer Law & Security Review, 35, 4, 2019, 369-376.
[6] Nella presente trattazione ci si soffermerà soltanto sulla legittima difesa “tradizionale”, escludendo forme peculiari come la legittima difesa domiciliare che chiaramente esulano dal settore cyber, perché richiedono la localizzazione fisica in un dato luogo, cosa che appare sostanzialmente antinomica con il dominio cibernetico. Per un approfondimento sul tema della legittima difesa domiciliare, si rinvia a NOTARO D., La legittima difesa domiciliare. Dalla giustificazione alla scusa fra modelli presuntivi e tensioni soggettive, Torino, Giappichelli, 2020.
[7] Per una panoramica sulle origini della legittima difesa, si veda ibidem.
[8] Per un approfondimento su tale classificazione, si rinvia a MANTOVANI F., Diritto Penale, Parte generale, Padova, CEDAM, 2013, 262 ss.
[9] Sulle diverse tipologie di minaccia, si veda MAZURIER P.A., Sul Concetto di Cyberterrorismo e la Costruzione della Cyber(in)sicurezza, Center for Cyber Security and International Relations Studies, University of Florence, 2017.
[10] Si pensi, sul punto, al noto progetto “Aurora” con cui si è dimostrata la possibilità di ripercuotere sul mondo materiale gli effetti di un attacco cibernetico, o ancora gli effetti del malware Stuxnet e delle sue ripercussioni sulle centrali nucleari iraniane.
[11] In tal caso, al più, si avrà concorso tra i diversi reati, attinti dal vincolo della continuazione, sempre che l’accesso al software di gestione si configuri come fraudolento. Il riferimento è, ovviamente, al noto caso della contaminazione da liscivia degli acquedotti cittadini in Florida, cfr. Alcuni hacker hanno cercato di avvelenare l’acqua di una città della Florida, in Il Post, 9 febbraio 2021.