La nuova fattispecie giuridica del reato informatico: la legislazione Europea nella regolazione del Computer Crime

Come è sotto gli occhi di tutti negli ultimi decenni, con lo sviluppo dei personal computers e della rete delle reti, Internet, si è aperto un inedito campo d’azione per una nuova tipologia di soggetti criminali: singoli individui ed organizzazioni create ad hoc per compiere azioni illecite attraverso le reti informatiche globali.

Il continuo perfezionamento e raffinamento delle tecniche d’intrusione rende difficile la stesura di una normativa giuridica che copra in modo invariabile ed immutabile nel tempo l’intera fenomenologia del reato informatico. È importante comunque sottolineare che la realtà del crimine virtuale non è questione legata al nuovo millennio: già da almeno vent’anni, il legislatore europeo si è mosso nella direzione di una normativizzazione del reato informatico.

Una prima data importante è il 13 Settembre 1989 quando il Comitato Direttore per i Problemi Criminali (CDPC) del Consiglio d’Europa emana la Recommendation No. R. (89)9 sulla criminalità informatica (adottata dal Committee of Ministers il 18 Gennaio 1989). Il documento è di grande interesse poiché, nel redigere due liste differenti, elabora una doppia tipologia del crimine elettronico. La prima è racchiusa all’interno della cosiddetta “lista minima”, in cui vennero inserite le condotte criminose che gli stati europei dovevano perseguire per via penale – con la legge n. 547 del 23 Dicembre 1993 l’Italia inserì le nuove fattispecie criminose all’interno del codice penale - : frode informatica, falso informatico, accesso non autorizzato a sistemi informatici, sabotaggio informatico, danneggiamento di dati e di programmi informatici, intercettazione di dati non autorizzata, riproduzione non autorizzata di programmi protetti. La seconda tipologia è inserita all’interno della “lista facoltativa”, in cui vennero elencati i comportamenti ritenuti non eccessivamente offensivi, ma che esigevano, allo tesso modo, un’azione giuridica da parte del legislatore nazionale: alterazione non autorizzata di dati o programmi (ma senza loro danneggiamento), divulgazione di informazioni legate al segreto industriale o commerciale (una tipologia riconducibile alla fattispecie dello spionaggio informatico), l’utilizzazione non autorizzata di un elaboratore elettronico o di un programma informatico protetto.

A questo documento, seguì la Recommendation No. R.(95)13 approvata l’11 Settembre 1995, dedicata ai problemi riguardanti le procedure del diritto nei casi di crimini commessi nell’ambito dell’Information Technology (IT). Fin dalle prime parole del documento vi è esplicita consapevolezza, da una parte, del rischio che i sistemi elettronici di informazione possano essere usati “for committing criminal offenses” – non a caso viene fatto richiamo alla Raccomandazione del 1989 – e, dall’altra, che gli Stati membri, spesso, non mostrino ancora poteri appropriati nel raccogliere prove nel corso delle investigazioni. Nuove norme di diritto dovrebbero essere approntate per consentire alle autorità investigative di avvalersi di tutte le misure tecniche necessarie per rendere possibile la raccolta del traffico di dati nella investigazione di gravi offese alla “confidentiality, integrity and aviability of telecommunications or computer system”(Sez. 6 ed 8 del par.II riguardante la Technical Surveillance). Altro punto cardinale dell’atto è quello che suggerisce - si ricordi infatti che la Raccomandazione europea è atto non avente valore prescrittivo e normativo - di predisporre specifici obblighi per gli operatori di networks pubblici e privati (i service providers) nel dover fornire le misure tecniche necessarie a permettere l’intercettazione delle telecomunicazioni e la possibilità di identificare gli utenti da parte delle competenti autorità investigative (Sez. 11-12 par.II). In tutto il documento si evince un pensiero di fondo, che è quello secondo cui le disposizioni procedurali di legge inerenti alle prove relative ai documenti tradizionali dovrebbero essere applicate allo stesso modo ai “data stored in a computer system”, ovvero a tutti quei dati ed informazioni conservati in un elaboratore informatico (per la definizione accettata a livello europeo di computer system si veda nel proseguo del seguente articolo).

Due anni dopo, nel 1997, in seno al Consiglio d’Europa, viene creato il Comitato di esperti sulla Criminalità nel Ciberspazio (PC-CY: Committee of Experts on Crime in Cyberspace) al quale venne affidato il compito di stilare una bozza di convenzione internazionale per combattere e reprimere la criminalità all’interno dello spazio informatico, tale da facilitare la cooperazione nella investigazione e persecuzione dei computer crimes.

Con queste premesse, a Budapest, il 23 Novembre 2001, si giunge all’adozione della Convenzione sulla Criminalità Informatica (Convention on Cybercrime), che rappresenta il primo strumento multilaterale creato per affrontare giuridicamente i problemi posti dall’espansione delle attività criminali compiute attraverso i computer networks. L’atto è uno dei più importante in materia poiché prevede l’adozione, a livello nazionale, di opportune misure normative di diritto penale e di sanzioni effettive. Muovendo da un’analisi dei concetti espressi dal preambolo, appare chiara, e ben consolidata nelle intenzioni del legislatore, la necessità di ricercare una politica comune finalizzata a proteggere le società dai cybercrimini e che serva da stimolo ad una maggiore cooperazione internazionale in materia. La nuova normativa, ratificata anche dal nostro paese il 27 febbraio 2008, è importante poiché, per la prima volta, istituzionalizza a livello giuridico una classificazione globalmente valida dei possibili reati informatici e predispone una definizione inerente ai differenti dispositivi elettronici. Quest’ultimi vengono identificati ex. art. 1 nei termini di computer systems e computer data, e meglio definiti nell’Explanatory Report allegato alla Convenzione. Con la prima categoria si fa riferimento ad un dispositivo o ad un gruppo di questi connessi tra loro che eseguono un processo automatico di dati: si intendono cioè le parti hardware e software, facilities di input ed output, la Central Processing Unit (CPU) e le periferiche, ed il computer program inteso come una serie di istruzioni eseguite dal computer per il raggiungimento di fini prestabiliti; all’interno della seconda invece, ricadono tutte quelle rappresentazione di informazioni o concetti in una forma adatta al funzionamento di un computer system – la definizione di computer data non fa altro che richiamare quella fornita dalla Organizzazione Internazionale per la Standardizzazione (ISO).

In particolare poi, sono gli art. 2,3,4,5,6 che operano una classificazione dei reati nei termini di: illegal access (accesso illegale all’intero computer system o ad una parte di esso, infrangendo le misure di sicurezza con l’intento di ottenere dati), illegal interception (intercettazione di computer data da o verso un computer system), data interference (danneggiamento, detenzione, deterioramento, alterazione e soppressione di dati), system interference (grave intralcio senza diritto al funzionamento di un computer system per mezzo di trasmissione, danneggiamento, eliminazione, deterioramento, alterazione o soppressione di computer data), misuse of device (produzione, vendita e distribuzione di dispostivi, anche nella forma di programmi informatici, creati appositamente per operare offese nei termini delle categorie giuridiche esposte precedentemente; creazione di password e codice di accesso tali da permettere l’ intrusione in un intero computer system o in parte di esso). Di notevole importanza sono anche gli art. 7 e 8 i quali definiscono rispettivamente i computer-related forgery - la contraffazione e falsificazione di dati, che, con l’intento di usarli a scopi illegali, vengono spacciati per autentici - ed i computer-related fraud - la soppressione, alterazione e detenzione di computer data con intenti fraudolenti atti a creare un beneficio, anche economico, a chi commette il reato.

Anche la Commissione Europea ha svolto un’attività sostanziosa nel delineare ed innovare i punti più importanti della materia. Gli atti emanati sono svariati e per questo motivo non si potrà fare riferimento a tutti. Prendendo in considerazione gli atti recenti di maggiore importanza, la Commissione, nel gennaio del 2001, ha presentato al Consiglio, al Parlamento Europeo ed al Comitato economico e sociale, una Comunicazione intitolata Creare una Società dell’Informazione più sicura incrementando la Sicurezza delle Infrastrutture dell’Informazione e mediante la lotta alla Criminalità Informatica. Le questioni toccate dal documento sono innumerevoli, ciò che qui interessa è la parte dedicata alle principali questioni, a livello di Stati membri UE, affrontate in relazione a specifici computer crimes, fra cui spiccano i crimini economici, l’acceso non autorizzato ed il sabotaggio. Si tiene a sottolineare che molti paesi hanno definito attraverso la legge questi nuovi tipi di reati: l’hacking, la distribuzione di virus, lo spionaggio elettronico, la contraffazione (forgery) e la frode (fraud) informatica. Il documento fa esplicito riferimento a casi concreti di attacchi. Quello costituito dal Denial of Service, letteralmente negazione del servizio, consiste in un attacco portato a termine attraverso un sovraccarico di false richieste ad un sistema erogatore di un sevizio, come un sito web o un server, tale da portarlo ad una condizione di instabilità; ed ancora, quello del virus chiamato LoveBug, un worm che di diffuse via e-mail e divenuto famoso in quegli anni per avere istigato le persone ad aprire allegati intitolati “ I Love You”.

Dello stesso anno è la Comunicazione intitolata Sicurezza delle reti e sicurezza dell’informazione: proposta di un approccio strategico europeo, che al capitolo secondo descrive le principali minacce elettroniche alla sicurezza definendole con il termine di ‘attacchi dolosi’. A questa categoria appartengono le intercettazioni delle comunicazioni, che possono assumere la forma di accesso fisico alle linee della rete, e che presentano, come elementi più vulnerabili, i punti di concentrazione dei dati come i router, le gateway ed i server di rete. Le intercettazioni illecite possono manifestarsi in diverse tipologie: uso indebito di dati intercettati, furto telematico di password o degli estremi di una carta di credito per fini di lucro. Altra fattispecie criminosa è quella costituita dall’accesso non autorizzato a computer e reti informatiche, che ha come obiettivo primario il copiare o distruggere dati. Questa modalità criminosa può avvenire, tecnicamente, attraverso la decifrazione di password per mezzo dell’uso dei cosiddetti dictionary attacks (che sfruttano la tendenza degli utenti a scegliere password prevedibili); l’ “ingegneria sociale” (la quale sfrutta la tendenza della gente a divulgare informazioni apparentemente affidabili); la caduta della rete come attacchi rivolti al server dei nomi di dominio, attacchi rivolti ai router, attacchi di tipo flooding (saturazione), cioè il tentativo di sovraccaricare i server web o la capacità di trattamento dei fornitori di servizi Internet con messaggi generati automaticamente; il denial of service, già analizzato in precedenza. Infine, l’esecuzione di software maligni (malicious software) che modificano o distruggono i dati. In questo ultimo tipo d’attacco trova espressione il virus come tipologia di software "maligno" che riproduce il proprio codice aggregandosi ad altri programmi in modo tale che il codice "virale" sia eseguito ogni volta che viene attivato il programma informatico infetto. Come spiega la Comunicazione, esistono programmi definiti logic bombs che rimangono inerti fino al momento in cui vengono innescati da un determinato evento, quale una particolare data. Altri ancora, definiti cavalli di Troia ed apparentemente innocui, lanciano un attacco distruttivo una volta attivati; altri ancora definiti worm (vermi) che, pur non infettando altri programmi, si autoriproducono in copie che finiscono col saturare il sistema.

L’intero documento meriterebbe un’analisi più approfondita, ma è necessario fare riferimento anche ad atti successivi, primo fra tutti la Decisione Quadro 2005/222/GAI relativa agli attacchi contro i sistemi di informazione, del 24 febbraio 2005, che introduce come obiettivo principale quello di ravvicinare le legislazioni penali degli Stati membri nel settore degli attacchi contro i sistemi di informazione. In ambito europeo, essa si pone come uno degli ultimi atti di una strategia volta a contrastare i reati informatici. Riguardo a quest’ultimi, in essa si afferma che negli ultimi anni si sono registrati attacchi a sistemi d’informazione ad opera della criminalità organizzata e viene resa nota la forte preoccupazione per la possibilità di attacchi terroristici contro i sistemi medesimi, ritenuti parte integrante dell’infrastruttura critica di ogni Stato membro. La decisione non contempla tutti i reati commessi attraverso le tecnologie informatiche, ma esclusivamente gli attacchi informatici. Analizzando il documento, all’art. 1 si opera una chiarificazione dei termini utilizzati, precisando il significato di sistema di informazione e dato informatico in maniera analoga ai termini computer system e computer data presenti nella Convenzione del 2001. I reati che vengono puniti in applicazione alla presente decisione quadro sono: l’accesso illecito a sistemi di informazione (art.2); l’attentato all’integrità di un sistema inteso come l’atto di provocare intenzionalmente una perturbazione grave o un’interruzione del funzionamento di un sistema di informazione introducendo, trasmettendo, danneggiando, cancellando, deteriorando, modificando, sopprimendo o rendendo inaccessibili dati informatici (art.3); l’attentato all’integrità dei dati (art.4). La decisione afferma che anche l’istigazione, il favoreggiamento nonché la complicità e tentativo in ordine ai precedenti crimini, siano punibili come reati. Infine, all’art.9 vengono stabilite le sanzioni (effettive, proporzionate e dissuasive) da applicare alle persone giuridiche colpevoli di reato informatico.

L’intero corpus normativo europeo fino ad ora esposto, viene richiamato e considerato come colonna portante della strategia europea nel contrastare i reati connessi ai sistemi informatici dalla comunicazione, dalla Comunicazione Verso una politica generale di lotta contro la cibercriminalità emanata dalla Commissione europea il 22 Maggio 2007. L’incipit del documento è dedicato alla definizione della cibercriminalità come insieme degli “atti criminali commessi contro reti di comunicazioni elettroniche e sistemi di informazione o avvalendosi di tali reti e sistemi” ed ad una sua scomposizione in tre categorie (par. 1.1): l’insieme dei reati tradizionali attraverso le reti elettroniche, come la frode e la falsificazione, il phishing, il furto di identità, e lo spam (riguardo a queste ultime tipologie assai specifica ed analitica è la Comunicazione della Commissione Sulla lotta contro le comunicazioni commerciali indesiderate (spam), i programmi spia (spyware) e i software maligni del 15 Novembre 2006, che documenta come lo spam costituisca tra il 50 e l’80% dei messaggi totali indirizzati agli utilizzatori finali, contro il 7% del 2001); la pubblicazione sul web di contenuti illegali (materiale pedopornografico o incitamento all’odio razziale); i reati propri alle reti elettroniche, ossia quelli contro i sistemi di informazione, il denial of service e la pirateria.

Come tiene a precisare il documento, la dimensione essenzialmente transnazionale della cibercriminalità e la recente rilevazione di attacchi sistematici, coordinati e su larga scala contro le infrastrutture critiche di informazione degli Stati, aumentano la portata del problema. La soluzione consisterebbe nello stimolare una maggiore cooperazione politica e giuridica tra le autorità competenti a livello dell’Unione europea (primo obiettivo posto dalla presente Comunicazione), e nell’elaborare un quadro politico comune con i paesi terzi a livello internazionale (secondo obiettivo).

Dato che le reti informatiche sono reti globali, la politica di contrasto alla cibercriminalità non potrà essere efficace se gli sforzi in tal senso saranno circoscritti unicamente al territorio UE (molti attacchi sono portati dall’esterno, e quindi al di fuori della giurisdizione europea). Per questi motivi, la Commissione europea sottolinea la sua partecipazione attiva nelle strutture di cooperazione internazionali, la più importante delle quali è il G8 Gruppo di Lione (“Senior Level Group on Transnational Organised Crime”) sulla lotta alla criminalità ad alta tecnologia. Nato a metà degli anni Novanta, al suo interno è stato creato un sottogruppo denominato High-Tech Crime composto da esperti giuridici e tecnici nel settore delle reti informatiche e telematiche internazionali degli Stati membri, aventi lo scopo di sviluppare meccanismi giuridici che consentano una rapida risposta internazionale ai ‘computer related crimes’.

Dato il suo continuo evolversi in modo sia quantitativo che qualitativo, e data la sostanza intrinsecamente perfettibile che lo contraddistingue, il fenomeno della cibercriminalità si palesa come una delle sfide dai contorni meno definibili per il legislatore internazionale. Prestando attenzione a queste considerazioni, è significativo, e preoccupante allo stesso tempo, il dato che emerge dal recente rapporto presentato al Congresso americano il 20 Novembre 2008 da parte della U.S.-China Economic and Security Review Commission, che documenta i casi di attività informatiche malevoli rivolte agli Stati Uniti.agli stati Uniti. Come è sotto gli occhi di tutti negli ultimi decenni, con lo sviluppo dei personal computers e della rete delle reti, Internet, si è aperto un inedito campo d’azione per una nuova tipologia di soggetti criminali: singoli individui ed organizzazioni create ad hoc per compiere azioni illecite attraverso le reti informatiche globali.

Il continuo perfezionamento e raffinamento delle tecniche d’intrusione rende difficile la stesura di una normativa giuridica che copra in modo invariabile ed immutabile nel tempo l’intera fenomenologia del reato informatico. È importante comunque sottolineare che la realtà del crimine virtuale non è questione legata al nuovo millennio: già da almeno vent’anni, il legislatore europeo si è mosso nella direzione di una normativizzazione del reato informatico.

Una prima data importante è il 13 Settembre 1989 quando il Comitato Direttore per i Problemi Criminali (CDPC) del Consiglio d’Europa emana la Recommendation No. R. (89)9 sulla criminalità informatica (adottata dal Committee of Ministers il 18 Gennaio 1989). Il documento è di grande interesse poiché, nel redigere due liste differenti, elabora una doppia tipologia del crimine elettronico. La prima è racchiusa all’interno della cosiddetta “lista minima”, in cui vennero inserite le condotte criminose che gli stati europei dovevano perseguire per via penale – con la legge n. 547 del 23 Dicembre 1993 l’Italia inserì le nuove fattispecie criminose all’interno del codice penale - : frode informatica, falso informatico, accesso non autorizzato a sistemi informatici, sabotaggio informatico, danneggiamento di dati e di programmi informatici, intercettazione di dati non autorizzata, riproduzione non autorizzata di programmi protetti. La seconda tipologia è inserita all’interno della “lista facoltativa”, in cui vennero elencati i comportamenti ritenuti non eccessivamente offensivi, ma che esigevano, allo tesso modo, un’azione giuridica da parte del legislatore nazionale: alterazione non autorizzata di dati o programmi (ma senza loro danneggiamento), divulgazione di informazioni legate al segreto industriale o commerciale (una tipologia riconducibile alla fattispecie dello spionaggio informatico), l’utilizzazione non autorizzata di un elaboratore elettronico o di un programma informatico protetto.

A questo documento, seguì la Recommendation No. R.(95)13 approvata l’11 Settembre 1995, dedicata ai problemi riguardanti le procedure del diritto nei casi di crimini commessi nell’ambito dell’Information Technology (IT). Fin dalle prime parole del documento vi è esplicita consapevolezza, da una parte, del rischio che i sistemi elettronici di informazione possano essere usati “for committing criminal offenses” – non a caso viene fatto richiamo alla Raccomandazione del 1989 – e, dall’altra, che gli Stati membri, spesso, non mostrino ancora poteri appropriati nel raccogliere prove nel corso delle investigazioni. Nuove norme di diritto dovrebbero essere approntate per consentire alle autorità investigative di avvalersi di tutte le misure tecniche necessarie per rendere possibile la raccolta del traffico di dati nella investigazione di gravi offese alla “confidentiality, integrity and aviability of telecommunications or computer system”(Sez. 6 ed 8 del par.II riguardante la Technical Surveillance). Altro punto cardinale dell’atto è quello che suggerisce - si ricordi infatti che la Raccomandazione europea è atto non avente valore prescrittivo e normativo - di predisporre specifici obblighi per gli operatori di networks pubblici e privati (i service providers) nel dover fornire le misure tecniche necessarie a permettere l’intercettazione delle telecomunicazioni e la possibilità di identificare gli utenti da parte delle competenti autorità investigative (Sez. 11-12 par.II). In tutto il documento si evince un pensiero di fondo, che è quello secondo cui le disposizioni procedurali di legge inerenti alle prove relative ai documenti tradizionali dovrebbero essere applicate allo stesso modo ai “data stored in a computer system”, ovvero a tutti quei dati ed informazioni conservati in un elaboratore informatico (per la definizione accettata a livello europeo di computer system si veda nel proseguo del seguente articolo).

Due anni dopo, nel 1997, in seno al Consiglio d’Europa, viene creato il Comitato di esperti sulla Criminalità nel Ciberspazio (PC-CY: Committee of Experts on Crime in Cyberspace) al quale venne affidato il compito di stilare una bozza di convenzione internazionale per combattere e reprimere la criminalità all’interno dello spazio informatico, tale da facilitare la cooperazione nella investigazione e persecuzione dei computer crimes.

Con queste premesse, a Budapest, il 23 Novembre 2001, si giunge all’adozione della Convenzione sulla Criminalità Informatica (Convention on Cybercrime), che rappresenta il primo strumento multilaterale creato per affrontare giuridicamente i problemi posti dall’espansione delle attività criminali compiute attraverso i computer networks. L’atto è uno dei più importante in materia poiché prevede l’adozione, a livello nazionale, di opportune misure normative di diritto penale e di sanzioni effettive. Muovendo da un’analisi dei concetti espressi dal preambolo, appare chiara, e ben consolidata nelle intenzioni del legislatore, la necessità di ricercare una politica comune finalizzata a proteggere le società dai cybercrimini e che serva da stimolo ad una maggiore cooperazione internazionale in materia. La nuova normativa, ratificata anche dal nostro paese il 27 febbraio 2008, è importante poiché, per la prima volta, istituzionalizza a livello giuridico una classificazione globalmente valida dei possibili reati informatici e predispone una definizione inerente ai differenti dispositivi elettronici. Quest’ultimi vengono identificati ex. art. 1 nei termini di computer systems e computer data, e meglio definiti nell’Explanatory Report allegato alla Convenzione. Con la prima categoria si fa riferimento ad un dispositivo o ad un gruppo di questi connessi tra loro che eseguono un processo automatico di dati: si intendono cioè le parti hardware e software, facilities di input ed output, la Central Processing Unit (CPU) e le periferiche, ed il computer program inteso come una serie di istruzioni eseguite dal computer per il raggiungimento di fini prestabiliti; all’interno della seconda invece, ricadono tutte quelle rappresentazione di informazioni o concetti in una forma adatta al funzionamento di un computer system – la definizione di computer data non fa altro che richiamare quella fornita dalla Organizzazione Internazionale per la Standardizzazione (ISO).

In particolare poi, sono gli art. 2,3,4,5,6 che operano una classificazione dei reati nei termini di: illegal access (accesso illegale all’intero computer system o ad una parte di esso, infrangendo le misure di sicurezza con l’intento di ottenere dati), illegal interception (intercettazione di computer data da o verso un computer system), data interference (danneggiamento, detenzione, deterioramento, alterazione e soppressione di dati), system interference (grave intralcio senza diritto al funzionamento di un computer system per mezzo di trasmissione, danneggiamento, eliminazione, deterioramento, alterazione o soppressione di computer data), misuse of device (produzione, vendita e distribuzione di dispostivi, anche nella forma di programmi informatici, creati appositamente per operare offese nei termini delle categorie giuridiche esposte precedentemente; creazione di password e codice di accesso tali da permettere l’ intrusione in un intero computer system o in parte di esso). Di notevole importanza sono anche gli art. 7 e 8 i quali definiscono rispettivamente i computer-related forgery - la contraffazione e falsificazione di dati, che, con l’intento di usarli a scopi illegali, vengono spacciati per autentici - ed i computer-related fraud - la soppressione, alterazione e detenzione di computer data con intenti fraudolenti atti a creare un beneficio, anche economico, a chi commette il reato.

Anche la Commissione Europea ha svolto un’attività sostanziosa nel delineare ed innovare i punti più importanti della materia. Gli atti emanati sono svariati e per questo motivo non si potrà fare riferimento a tutti. Prendendo in considerazione gli atti recenti di maggiore importanza, la Commissione, nel gennaio del 2001, ha presentato al Consiglio, al Parlamento Europeo ed al Comitato economico e sociale, una Comunicazione intitolata Creare una Società dell’Informazione più sicura incrementando la Sicurezza delle Infrastrutture dell’Informazione e mediante la lotta alla Criminalità Informatica. Le questioni toccate dal documento sono innumerevoli, ciò che qui interessa è la parte dedicata alle principali questioni, a livello di Stati membri UE, affrontate in relazione a specifici computer crimes, fra cui spiccano i crimini economici, l’acceso non autorizzato ed il sabotaggio. Si tiene a sottolineare che molti paesi hanno definito attraverso la legge questi nuovi tipi di reati: l’hacking, la distribuzione di virus, lo spionaggio elettronico, la contraffazione (forgery) e la frode (fraud) informatica. Il documento fa esplicito riferimento a casi concreti di attacchi. Quello costituito dal Denial of Service, letteralmente negazione del servizio, consiste in un attacco portato a termine attraverso un sovraccarico di false richieste ad un sistema erogatore di un sevizio, come un sito web o un server, tale da portarlo ad una condizione di instabilità; ed ancora, quello del virus chiamato LoveBug, un worm che di diffuse via e-mail e divenuto famoso in quegli anni per avere istigato le persone ad aprire allegati intitolati “ I Love You”.

Dello stesso anno è la Comunicazione intitolata Sicurezza delle reti e sicurezza dell’informazione: proposta di un approccio strategico europeo, che al capitolo secondo descrive le principali minacce elettroniche alla sicurezza definendole con il termine di ‘attacchi dolosi’. A questa categoria appartengono le intercettazioni delle comunicazioni, che possono assumere la forma di accesso fisico alle linee della rete, e che presentano, come elementi più vulnerabili, i punti di concentrazione dei dati come i router, le gateway ed i server di rete. Le intercettazioni illecite possono manifestarsi in diverse tipologie: uso indebito di dati intercettati, furto telematico di password o degli estremi di una carta di credito per fini di lucro. Altra fattispecie criminosa è quella costituita dall’accesso non autorizzato a computer e reti informatiche, che ha come obiettivo primario il copiare o distruggere dati. Questa modalità criminosa può avvenire, tecnicamente, attraverso la decifrazione di password per mezzo dell’uso dei cosiddetti dictionary attacks (che sfruttano la tendenza degli utenti a scegliere password prevedibili); l’ “ingegneria sociale” (la quale sfrutta la tendenza della gente a divulgare informazioni apparentemente affidabili); la caduta della rete come attacchi rivolti al server dei nomi di dominio, attacchi rivolti ai router, attacchi di tipo flooding (saturazione), cioè il tentativo di sovraccaricare i server web o la capacità di trattamento dei fornitori di servizi Internet con messaggi generati automaticamente; il denial of service, già analizzato in precedenza. Infine, l’esecuzione di software maligni (malicious software) che modificano o distruggono i dati. In questo ultimo tipo d’attacco trova espressione il virus come tipologia di software "maligno" che riproduce il proprio codice aggregandosi ad altri programmi in modo tale che il codice "virale" sia eseguito ogni volta che viene attivato il programma informatico infetto. Come spiega la Comunicazione, esistono programmi definiti logic bombs che rimangono inerti fino al momento in cui vengono innescati da un determinato evento, quale una particolare data. Altri ancora, definiti cavalli di Troia ed apparentemente innocui, lanciano un attacco distruttivo una volta attivati; altri ancora definiti worm (vermi) che, pur non infettando altri programmi, si autoriproducono in copie che finiscono col saturare il sistema.

L’intero documento meriterebbe un’analisi più approfondita, ma è necessario fare riferimento anche ad atti successivi, primo fra tutti la Decisione Quadro 2005/222/GAI relativa agli attacchi contro i sistemi di informazione, del 24 febbraio 2005, che introduce come obiettivo principale quello di ravvicinare le legislazioni penali degli Stati membri nel settore degli attacchi contro i sistemi di informazione. In ambito europeo, essa si pone come uno degli ultimi atti di una strategia volta a contrastare i reati informatici. Riguardo a quest’ultimi, in essa si afferma che negli ultimi anni si sono registrati attacchi a sistemi d’informazione ad opera della criminalità organizzata e viene resa nota la forte preoccupazione per la possibilità di attacchi terroristici contro i sistemi medesimi, ritenuti parte integrante dell’infrastruttura critica di ogni Stato membro. La decisione non contempla tutti i reati commessi attraverso le tecnologie informatiche, ma esclusivamente gli attacchi informatici. Analizzando il documento, all’art. 1 si opera una chiarificazione dei termini utilizzati, precisando il significato di sistema di informazione e dato informatico in maniera analoga ai termini computer system e computer data presenti nella Convenzione del 2001. I reati che vengono puniti in applicazione alla presente decisione quadro sono: l’accesso illecito a sistemi di informazione (art.2); l’attentato all’integrità di un sistema inteso come l’atto di provocare intenzionalmente una perturbazione grave o un’interruzione del funzionamento di un sistema di informazione introducendo, trasmettendo, danneggiando, cancellando, deteriorando, modificando, sopprimendo o rendendo inaccessibili dati informatici (art.3); l’attentato all’integrità dei dati (art.4). La decisione afferma che anche l’istigazione, il favoreggiamento nonché la complicità e tentativo in ordine ai precedenti crimini, siano punibili come reati. Infine, all’art.9 vengono stabilite le sanzioni (effettive, proporzionate e dissuasive) da applicare alle persone giuridiche colpevoli di reato informatico.

L’intero corpus normativo europeo fino ad ora esposto, viene richiamato e considerato come colonna portante della strategia europea nel contrastare i reati connessi ai sistemi informatici dalla comunicazione, dalla Comunicazione Verso una politica generale di lotta contro la cibercriminalità emanata dalla Commissione europea il 22 Maggio 2007. L’incipit del documento è dedicato alla definizione della cibercriminalità come insieme degli “atti criminali commessi contro reti di comunicazioni elettroniche e sistemi di informazione o avvalendosi di tali reti e sistemi” ed ad una sua scomposizione in tre categorie (par. 1.1): l’insieme dei reati tradizionali attraverso le reti elettroniche, come la frode e la falsificazione, il phishing, il furto di identità, e lo spam (riguardo a queste ultime tipologie assai specifica ed analitica è la Comunicazione della Commissione Sulla lotta contro le comunicazioni commerciali indesiderate (spam), i programmi spia (spyware) e i software maligni del 15 Novembre 2006, che documenta come lo spam costituisca tra il 50 e l’80% dei messaggi totali indirizzati agli utilizzatori finali, contro il 7% del 2001); la pubblicazione sul web di contenuti illegali (materiale pedopornografico o incitamento all’odio razziale); i reati propri alle reti elettroniche, ossia quelli contro i sistemi di informazione, il denial of service e la pirateria.

Come tiene a precisare il documento, la dimensione essenzialmente transnazionale della cibercriminalità e la recente rilevazione di attacchi sistematici, coordinati e su larga scala contro le infrastrutture critiche di informazione degli Stati, aumentano la portata del problema. La soluzione consisterebbe nello stimolare una maggiore cooperazione politica e giuridica tra le autorità competenti a livello dell’Unione europea (primo obiettivo posto dalla presente Comunicazione), e nell’elaborare un quadro politico comune con i paesi terzi a livello internazionale (secondo obiettivo).

Dato che le reti informatiche sono reti globali, la politica di contrasto alla cibercriminalità non potrà essere efficace se gli sforzi in tal senso saranno circoscritti unicamente al territorio UE (molti attacchi sono portati dall’esterno, e quindi al di fuori della giurisdizione europea). Per questi motivi, la Commissione europea sottolinea la sua partecipazione attiva nelle strutture di cooperazione internazionali, la più importante delle quali è il G8 Gruppo di Lione (“Senior Level Group on Transnational Organised Crime”) sulla lotta alla criminalità ad alta tecnologia. Nato a metà degli anni Novanta, al suo interno è stato creato un sottogruppo denominato High-Tech Crime composto da esperti giuridici e tecnici nel settore delle reti informatiche e telematiche internazionali degli Stati membri, aventi lo scopo di sviluppare meccanismi giuridici che consentano una rapida risposta internazionale ai ‘computer related crimes’.

Dato il suo continuo evolversi in modo sia quantitativo che qualitativo, e data la sostanza intrinsecamente perfettibile che lo contraddistingue, il fenomeno della cibercriminalità si palesa come una delle sfide dai contorni meno definibili per il legislatore internazionale. Prestando attenzione a queste considerazioni, è significativo, e preoccupante allo stesso tempo, il dato che emerge dal recente rapporto presentato al Congresso americano il 20 Novembre 2008 da parte della U.S.-China Economic and Security Review Commission, che documenta i casi di attività informatiche malevoli rivolte agli Stati Uniti.agli stati Uniti.