x

x

L’accesso alle reti senza fili: condotte penalmente rilevanti? dal WARDRIVING al PIGGYBACKING

Dalle condotte non penalmente rilevanti all’accesso abusivo a sistemi informatici altrui ed altri reati informatici
ABSTRACT

Gli autori si soffermano su una pratica già diffusa negli Stati Uniti ma che sta prendendo piede anche in Italia con lo sviluppo delle reti di accesso ad internet con modalità Wi-Fi, sia in modalità protetta che aperta, ovvero il collegamento alla rete Wi-Fi senza autorizzazione preventiva del proprietario.

Premessa: lo sviluppo delle reti wi-fi

A volte, se si possiede un computer notebook d’ultima generazione o un dispositivo palmare recente, ci si accorgerà che, nell’utilizzo corrente senza alcuna connessione “fisica” con la rete internet, attraverso cavi, questi riescono comunque ad avere accesso alla Rete delle Reti, ciò perché – magari per scarsa conoscenza dell’informatica – all’avviso riportato dal dispositivo, si ha l’ardire di cliccare “si”, con ciò andando a commettere quello che, per la prima volta in Italia nel luglio 2007 (v. articolo sulla Rivista on-line Punto Informatico all’indirizzo http://punto-informatico.it/p.aspx?i=2040903), è stato ipotizzato come un accesso abusivo a sistema informatico altrui, reato punito in base all’art. 615 ter del Codice Penale in modo molto severo.

Nei paesi anglosassoni, imbattutisi prima di noi in questa fattispecie, si è dato il nome di “wardriving” all’azione di guidare (driving) o camminare (walking) alla ricerca di reti wireless (più o meno) protette tramite le quali collegarsi alla rete internet o, quantomeno, tentare un accesso. Ma prima di approfondire le problematiche del cd. wardriving, sarebbe utile cercare di capire cosa sono le reti Wi-fi e quale può essere la loro utilità.

Per rete “wireless” si intende, dall’inglese, una forma di comunicazione elettronica senza fili che, appunto, si contrappone a quelle “wired” (cablate) in cui, computers e dispositivi elettronici comunicano per mezzo di cavi. La comunicazione dei dispositivi risulta fondamentale per lo scambio di dati che portano all’informazione, considerano che, da sempre, l’informatica definisce l’informazione come un dato che, elaborato per mezzo di software (e con l’ausilio di dispositivi elettronici), si traduce in informazione utile all’utente.

Esistono diversi tipi di reti wireless, a seconda degli usi che se ne intende fare. Possiamo trovarci di fronte ad una PAN (Personal Area Network), ovverosia un tipo di rete davvero piccola, un esempio potrebbe essere la connessione tra un Personal computer e la stampante, solitamente basata sullo standard Bluetooth. Esistono poi altri tipi di reti come la meglio nota LAN (Local Area Network). Questa rete consente di connettere fra loro vari pc, stampanti ed altre periferiche di rete, installazione normalmente effettuata con tradizionali schede di rete, hub, switch, ma anche sempre più frequentemente con router/modem adsl che fungono anche da punto di accesso (“access point”) wi-fi, di modo che, un utente in possesso della connessione Adsl per casa (o ufficio) possa fruire della connessione alla Lan senza dover installare cavi o cablare l’ambiente. Se ci si trova di fronte a reti di grandi dimensioni si tratterà di WAN (Wide Area Network). La WAN e’ una rete di grandi dimensioni, gestita da provider che offrono connettività wireless sfruttando l’utilizzo di prodotti wi-fi. Vengono installati, sul territorio nel quale si vuole permettere l’accesso Wi-fi, cosiddetti “Hot-spot wi-fi” che svolgono il ruolo di “ripetitori di segnale” che, generalmente, è in radiofrequenza. E’ il metodo classico utilizzato dagli enti pubblici (comuni ad esempio) o dai grandi gestori privati (di solito di telefonia fissa e mobile) per realizzare punti d’accesso alla rete internet ed a tutti i servizi che ne derivano (da internet alla posta elettronica, dalla telefonia voip cioè Voice Over Internet Protocol, alla Ip Television).

L’esperienza anglosassone in materia di WARDRIVING

Nel 2005 i magistrati britannici hanno dovuto giudicare quello che probabilmente è stato il primo processo nel Regno Unito contro un wardriver, era il caso di un ragazzo che con il proprio portatile Wi-Fi si era connesso ad una rete wireless ad alta velocità in modo definito "abusivo".

Il tribunale di Isleworth a Londra ha infatti condannato a 500 sterline di multa e a 12 mesi di carcere con la condizionale il 24enne Tizio. Una sentenza motivata dal fatto che non solo l’uomo aveva "ottenuto in modo disonesto l’accesso ad un sistema di comunicazione" ma era stato trovato "in possesso di equipaggiamento pensato per l’uso fraudolento dei servizi di comunicazione".

L’"equipaggiamento" di cui parla la sentenza non sembra avere nulla di speciale, trattandosi di un portatile la cui unica caratteristica, condivisa da tutti i notebook di nuova generazione, è quella di potersi collegare appunto alle reti wireless. Stando alla polizia l’uomo è stato individuato dopo che in diverse occasioni aveva tentato di accedere a quei network.

Il caso per molti versi ricorda quello che – durante lo stesso anno - negli Stati Uniti ha portato all’arresto di un wardriver accusato di "accesso abusivo ad un sistema informatico". Infatti, nel luglio 2005, in Florida, venne arrestato un uomo per aver avuto accesso ad Internet tramite la rete Wi-Fi domestica installata da un suo concittadino. Le accuse contro il 41enne Caio, però, non furono quelle di aver semplicemente sfruttato risorse altrui quanto invece di aver ottenuto un "accesso abusivo ad un sistema informatico".

L’evento ha suscitato sensazione, in quanto Caio non ha violato password di accesso ma si è limitato a connettersi dal proprio autoveicolo parcheggiato nei pressi della casa del vicino Mevio. Quest’ultimo, avendo più volte notato la presenza di Caio, ha deciso di chiamare la polizia che ha proceduto all’arresto. In verità la rete di Mevio, come quella di una gran quantità di utenti wireless poco accorti, non era protetta in alcun modo: chiunque dotato di una scheda wi-fi e un dispositivo mobile, alla stregua di tutti coloro che da anni praticano il wardriving, sarebbe stato in grado di connettersi ad internet tramite quella rete.

WARDRIVING: gli sviluppi di un fenomeno diffuso.

Negli ultimi tempi si sente parlare anche in Italia di wardriving e di piggybacking come condotte più o meno illecite; ma in realtà cosa sono? Quali meccanismi giuridici si mettono in moto quando si realizzano le condotte che sono sussumibili in tali attività?

E’ possibile che, passeggiando per la città, il nostro notebook di ultima generazione ci segnali la presenza di “reti senza fili”, chiedendoci se vogliamo collegarci ad una di esse. Il wardriving può definirsi una ricerca (nomadica) di reti wireless. In altri termini significa andare in giro per le città, computer (o altri strumenti di ultima generazione) alla mano, a cercare reti wireless (WLan). Ebbene tale tipo di pratica, stando anche alle riviste del settore pare si sia molto diffusa negli ultimi tempi, e se prima si trattava di un’attività di cui si parlava solo nei convegni e tra addetti ai lavori, ora pare che anche la polizia postale abbia rivolto l’attenzione verso i wardriver.

Sinora, tuttavia, sono stati rari i tentativi di fare chiarezza sulla liceità o meno di questa attività di ricerca reti.

Innanzi tutto va differenziata l’attività del soggetto (wardriver) che effettua una ricerca fine a sè stessa, ossia solo per constatare l’esistenza di reti wireless in una determinata zona (ed eventualmente, per sapere se queste siano protette o meno) dalla ricerca di una rete wireless senza protezioni (libera) al fine di utilizzare le risorse di connessione per navigare in rete gratis o svolgere altre attività sfruttando una connessione altrui, tali ulteriori condotte si definiscono “piggybacking”, e saranno analizzate anch’esse come ulteriori attività rispetto al wardriving.

A nostro avviso, nel caso del soggetto che ricerchi soltanto la presenza di reti wireless nella zona, senza secondi fini, appare chiaro, che la condotta è penalmente irrilevante, tant’è che il soggetto ricerca “alla cieca” un access point (AP), che in realtà potrebbe non essere presente in zona e la condotta si esaurisce con un interrogazione dell’AP che, dal canto suo, risponderà, secondo il tipo di rete a cui dà accesso. Tale pratica a volte è del tutto involontaria (quindi, a maggior ragione, priva di rilevanza penale): infatti, spesso quando si accende un computer portatile che supporti tecnologia wireless, automaticamente questo riconosce e avverte l’utente che nella zona ci sono una o più reti wireless e indica se le stesse reti sono libere o protette. In questo caso nessun soggetto umano interagisce con le reti Wlan e le informazioni che si ricevono sono il risultato di un colloquio fra macchine. A volte succede che le Wlan aperte (rectius: non protette) quando interrogate da un computer diano addirittura automaticamente un numero IP alla macchina accreditandola così presso di sé. Anche in questo caso la responsabilità penale dell’utente non sussiste. E’ il caso, ad esempio, delle reti wireless volutamente lasciate “aperte” affinché chiunque possa accedervi mediante semplice autenticazione che sussiste nell’utilizzo di username e password pre-registrati, ad esempio negli alberghi, nei Comuni e nelle Università (ad esempio sul link http://maps.unimi.it/mappe.html esiste una mappa completa dei luoghi coperti dalla rete wireless dell’Università degli Studi di Milano) che hanno istituito servizi di hot spot pubblici per l’accesso alla rete internet.

Diverso è il caso di quei soggetti che, una volta trovata una rete, libera o protetta che sia, vi accedano navigando in essa o sfruttandone la banda (piggybacking), ovviamente non autenticandosi presso il fornitore, cosa che – anche e solo per questo fatto – pone certamente diverse questioni.

Le implicazioni relative alla normativa anti-terrorismo ed alla tutela della privacy

Intanto va rilevato che il Decreto-legge 27 luglio 2005, n. 144 (pubblicato nella Gazzetta Ufficiale n. 173 del 27 luglio 2005), convertito nella legge 31 luglio 2005, n. 155 (contenente norme contro il terrorismo) prevede, sulla base di un decreto interministeriale, che vengano acquisiti (art. 7, comma 4) preventivamente “i dati anagrafici riportati su un documento di identità dei soggetti che utilizzano postazioni pubbliche non vigilate per comunicazioni telematiche ovvero punti di accesso ad Internet utilizzando tecnologia senza fili”. Ma deve rilevarsi anche che ai sensi del precedente art. 6, fino al 31 dicembre 2008 (termine prorogato dal cd. Decreto mille-proroghe di fine anno, D.L. 31 Dicembre 2007, n. 248, approvato dal Consiglio dei Ministri il 28 dicembre 2007 e pubblicato nella G.U. del 31.12.2007) e’ sospesa l’applicazione delle disposizioni di legge, di regolamento o dell’autorità amministrativa che prescrivono o consentono la cancellazione dei dati del traffico telefonico o telematico, anche se non soggetti a fatturazione, e gli stessi, esclusi comunque i contenuti delle comunicazioni, e limitatamente alle informazioni che consentono la tracciabilità degli accessi, nonchè, qualora disponibili, dei servizi, devono essere conservati fino a quella data dai fornitori di una rete pubblica di comunicazioni o di un servizio di comunicazione elettronica accessibile al pubblico, fatte salve le disposizioni vigenti che prevedono un periodo di conservazione ulteriore. I dati del traffico conservati oltre i limiti previsti dall’art. 132 del decreto legislativo 30 giugno 2003, n. 196, possono essere utilizzati esclusivamente per le finalità del decreto-legge n.144, salvo l’esercizio dell’azione penale per i reati comunque perseguibili.

In ipotesi di accesso e sfruttamento della rete wireless la responsabilità penale rileva, seppur in diverso modo, a seconda dell’attività posta in essere dal soggetto. Se la rete è libera (quindi non protetta) il soggetto agente potrà andare incontro alle sanzioni previste dal codice penale. In questo caso, vista la libertà di accesso alla rete, non si potrà configurare il reato di accesso abusivo a sistema informatico o telematico in quanto la rete non prevede misure di sicurezza attive (art. 615 ter cp), mentre a seconda dell’ulteriore attività posta in essere una volta entrato nella rete le ipotesi di reato configurabili possono essere molteplici.

Si va dai reati previsti dagli artt. 617 quater e quinques che riguardano l’intercettazione abusiva di comunicazioni: in questo caso il soggetto che entra nella rete spia quelle che sono le comunicazione del titolare della rete violando così la segretezza della comunicazione stessa, al reato previsto dall’art. 167 del D.Lgs 196/2003, in quanto il wardriver si troverà a trattare dati senza il consenso dell’interessato (o degli interessati, cfr. art. 23 D.Lgs 196/2003), passando per la frode informatica (art. 640 ter c.p.), la sostituzione di persona (art. 494 c.p.), il danneggiamento di sistemi informatici o telematici di cui all’art. 635 bis. c.p. (Danneggiamento di sistemi informatici e telematici. che prevede la reclusione da sei mesi a tre anni). In merito alla sostituzione di persona, è appena il caso di ricordare che la finalità (dolo specifico) può anche essere di natura non economica (come lo scopo di evitare una perquisizione o la scoperta delle proprie azioni criminose), ovvero non illecita, come nel caso di chi si attribuisca un falso nome solo per stringere amicizia con persone facoltose. Inoltre, si ha «sostituzione della propria all’altrui persona» ogni qual volta si assume un atteggiamento atto a far vedere che si è un’altra persona (è il caso di chi sostituendosi ad un candidato, sostiene un concorso pubblico al posto dell’effettivo candidato); tale sostituzione è sempre illegittima, per cui l’avverbio «illegittimamente» usato dal legislatore è superfluo.

Tuttavia, come nota il MAGGIORE, vi possono essere casi di sostituzione di persona legittimi, quando cioè la sostituzione sia consentita dalla legge o da un negozio giuridico: così, ad esempio, non vi è reato nel fatto dell’agente di polizia che assume la personalità di altri per scoprire un reato. Si ha «attribuzione di un falso nome» quando si assume un’identità diversa dalla propria. Nome è qui inteso in senso ampio e comprende, oltre al nome di battesimo ed al cognome, anche la paternità, la maternità, il luogo e la data di nascita. Non è necessario che l’identità che ci si attribuisce sia quella di altri, potendo essere immaginaria, per un caso di “furto di identità” recentissimo v. la recentissima Cass. 46674/2007, che ha confermato la condanna di un uomo che aveva utilizzato un indirizzo e-mail intestandolo in apparenza ad una propria conoscente. Per MANZINI, ad integrare il reato basta anche il semplice mutamento di una vocale o consonante del proprio nome (es.: dire di chiamarsi «Lelio» mentre il vero nome è «Lello»).

In proposito ai reati commessi con l’uso dei computers, tra i lavori più recenti, cfr. C. SARZANA DI SANT’IPPOLITO, Informatica, Internet e diritto penale, 2a ed., Milano, 2003; L. PICOTTI, Reati informatici, voce dell’Enciclopedia giuridica Treccani, Roma, 1999, XXVI; C. PARODI-A. CALICE, Responsabilità penali e Internet - Le ipotesi di responsabilità penale nell’uso dell’informatica e della telematica, Milano, 2001; D. AMMIRATI, Internet e legge penale, Torino, 2001; G. PICA, Reati informatici e telematici, voce del Digesto pen., Torino, aggiornamento 2000, 521; C. PECORELLA, Il diritto penale dell’informatica, Padova, 2000; S. RESTA, I «computer’s crimes» tra informatica e telematica, Padova, 2000; G. PICA, Diritto penale delle tecnologie informatiche - «Computer’s crimes» e reati telematici, Torino, 1999. La sezione V penale della Cassazione (sentenza del 19 dicembre 2003, in Foro it., 2005, parte II, col. 660) afferma che tra i reati suddetti è sempre possibile il concorso in quanto «trattasi di delitti diversi».

La questione, tutt’altro che pacifica, è già stata oggetto di indagine in dottrina e giurisprudenza, in particolare in relazione alla configurabilità del concorso di reati tra accesso abusivo a sistema informatico o telematico e frode informatica. In particolare Trib. Lecce, ord. 12 marzo 1999 (Foro it., 1999, II, 608, con osservazioni di A. FANELLI) escluse che la condotta di accesso abusivo alla rete telefonica allo scopo di effettuare chiamate intercontinentali in danno del gestore di rete, condotta costituente il reato di frode informatica, potesse integrare anche il reato di accesso abusivo ad un sistema informatico o telematico, in quanto, per essere l’interesse tutelato dall’art. 615 ter c.p., costituito dalla riservatezza individuale connessa al regolare funzionamento dei sistemi informatici, nessuna lesione a tale bene si potrebbe verificare quando chi effettua telefonate abusive lo faccia a scopo di lucro e non acquisisca informazioni personali o comunque riservate. Tale ordinanza fu annullata dalla Suprema corte (Cass. 4 ottobre 1999, Piersanti, id., 2000, II, 133, con osservazioni di A. FANELLI, e Dir. informazione e informatica, 2001, 492, con nota di G. CORRIAS LUCENTE, e Cass. pen., 2000, 2994, con note di S. ATERNO e L. CUOMO), la quale affermò la piena configurabilità del «concorso formale» tra il reato di frode informatica e quello di accesso abusivo ad un sistema informatico o telematico, osservando che «l’oggetto della tutela del reato di cui all’art. 615 ter c.p. è costituito dal c.d. ‘domicilio informatico’, da intendersi come spazio ideale (ma anche fisico in cui sono contenuti i dati informatici) di pertinenza della persona, il quale deve essere salvaguardato al fine di impedire non solo la violazione della riservatezza della vita privata, ma qualsiasi tipo di intrusione anche se relativa a profili economico-patrimoniali dei dati». Criticamente rispetto al principio affermato dalla Suprema corte e partendo dall’assunto che la norma penalistica sull’accesso abusivo sia sostanzialmente finalizzata a tutelare la riservatezza personale, sulle colonne di questa rivista si osservò che «— in casi [...] in cui non sussiste un’effettiva lesione di beni giuridici autonomi, per avere la condotta determinato il pregiudizio di interessi puramente patrimoniali — l’accesso abusivo ad un sistema informatico dovrebbe considerarsi un ante factum non punibile rispetto al reato di frode informatica, costituendo lo strumento comunemente utilizzato per la commissione di tale più grave reato» (così FANELLI, op. ult. cit., 135).

Ancora il Tribunale di Lecce, tuttavia, con pronuncia del 19 gennaio 2000 (Foro it., Rep. 2002, voce Violazione di domicilio, n. 9, e, per esteso, Corti Bari, Lecce e Potenza, 2001, II, 3), sposò l’orientamento della Cassazione ed affermò la configurabilità del concorso formale di reati tra l’accesso abusivo a sistema informatico e la frode informatica. E ciò, anche perché la dottrina prevalente non aveva mancato di evidenziare come la fattispecie di accesso abusivo ad un sistema informatico o telematico sia finalizzata ad evitare, non solo la violazione della riservatezza della vita privata, bensì qualsiasi tipo di intrusione in un sistema protetto, anche se lesiva soltanto di profili economico-patrimoniali (così, tra gli altri, M. NUNZIATA, Il delitto di «accesso abusivo ad un sistema informatico o telematico», Bologna, 1996). In questo senso, di recente, Cass. 14 ottobre 2003, Muscia, Foro it., 2004, II, 582.

Difatti se una volta entrato, il wardriver dovesse “divertirsi” a distruggere quello che trova, mandare “in tilt” il sistema, o anche solo parte di esso, incorrerà nella sanzione prevista per il danneggiamento, se invece dovesse utilizzare l’IP della rete per inviare mail o per commettere altri reati sarà responsabile sia della sostituzione di persona sia del reato compiuto a mezzo rete wireless di altri. Un’ulteriore attività si potrebbe concretizzare anche nell’inserimento di codici malvagi (malware-virus) condotta che rientra nella previsione normativa dell’art. 615 quinques c.p. Oppure, ipotizzando che il soggetto utilizzi la banda per scaricare o diffondere in rete materiale pedopornografico o comunque materiale protetto dal diritto d’autore, si troverà a rispondere dei reati disciplinati dagli artt. 600 ter e quater del codice penale, oppure dall’art.171 della legge sul diritto d’autore. Per la giurisprudenza può ricorrere il delitto di accesso abusivo ad un sistema informatico (art. 615 ter c.p.) anche senza effrazione delle misure protettive (siano esse interne o «esterne» al sistema) purché la condotta dell’agente risulti rivestita da altri connotati (anche tra loro eterogenei) che la rendano «abusiva»; tra gli indici che in tal caso dovranno essere vagliati al fine di ritenere o meno il reato, vi sono la natura e le finalità dell’accesso, l’idoneità dell’intervento a ledere o a porre in pericolo gli obiettivi ai quali era strumentale la protezione del sistema e dei dati in esso residenti, nonché l’esistenza o meno per l’agente, tenuto conto delle di lui eventuali funzioni rivestite in seno all’organizzazione titolare del sistema protetto, di divieti o limiti a conoscere o a utilizzare i contenuti dell’area informatica visitata, che siano stati violati mediante la realizzata condotta (Trib. Gorizia, 19 febbraio 2003, in Riv. pen., 2003, 891, con nota di A. TARLAO; Trib. Bologna, 22 dicembre 2005, Foro it., Rep. 2006, Violazione di domicilio, n. 15. Cfr. altresì Cass., V sez. pen., 6 febbraio 2007, Il delitto di accesso abusivo ad un sistema informatico, che è reato di mera condotta, si perfeziona con la violazione del domicilio informatico, e quindi con l’introduzione in un sistema costituito da un complesso di apparecchiature che utilizzano tecnologie informatiche, senza che sia necessario che l’intrusione sia effettuata allo scopo di insidiare la riservatezza dei legittimi utenti e che si verifichi una effettiva lesione alla stessa, Foro it., Rep. 2007, voce Violazione di domicilio, n. 7).

Un discorso a parte merita la cd. forzatura della rete, quando questa è protetta (ad esempio con il sistema di cifratura WEP o WPA). In tal caso il wardriver si troverà, per il solo fatto di averla violata superando le misure di sicurezza, nella posizione di chi è entrato abusivamente nel “domicilio informatico” altrui. Si applicherà a tale ipotesi l’art. 615 ter. Una volta entrato, il wardriver potrebbe porre in essere tutte le azioni che sono state descritte, per cui si troverebbe a rispondere di tutti i reati consumati. Insomma la condotta del wardriver deve essere valutata sempre in concreto secondo una scala di infrazioni che potrebbero andare dall’accesso abusivo alle altre ipotesi di reato che in base alla volontà dello stesso soggetto saranno poste in essere.

Taluno potrebbe pensare che, il semplice sfruttamento di una rete non protetta altrui rileverebbe ai fini penalistici né più né meno di un furto di energia elettrica. In effetti, il soggetto che sfrutta la rete wireless altrui non protetta, nei fatti, sfrutta la banda lasciandola depotenziata al titolare. Tuttavia, tale condotta non sembra accomunabile al furto di energia elettrica per il generale divieto di analogia vigente in materia penale secondo il dettato dell’art. 14 delle disposizioni preliminari al codice civile. Anche se una parte della dottrina (cfr. FIANDACA-MUSCO, Diritto penale, Parte generale, Bologna, 2006, 97) ritenga possibile invece un ricorso all’analogia in “bonam partem”, cioè favorevole al reo, in materiapenale, semprechè non si tratti di estendere analogicamente le leggi eccezionali.

ABSTRACT

Gli autori si soffermano su una pratica già diffusa negli Stati Uniti ma che sta prendendo piede anche in Italia con lo sviluppo delle reti di accesso ad internet con modalità Wi-Fi, sia in modalità protetta che aperta, ovvero il collegamento alla rete Wi-Fi senza autorizzazione preventiva del proprietario.

Premessa: lo sviluppo delle reti wi-fi

A volte, se si possiede un computer notebook d’ultima generazione o un dispositivo palmare recente, ci si accorgerà che, nell’utilizzo corrente senza alcuna connessione “fisica” con la rete internet, attraverso cavi, questi riescono comunque ad avere accesso alla Rete delle Reti, ciò perché – magari per scarsa conoscenza dell’informatica – all’avviso riportato dal dispositivo, si ha l’ardire di cliccare “si”, con ciò andando a commettere quello che, per la prima volta in Italia nel luglio 2007 (v. articolo sulla Rivista on-line Punto Informatico all’indirizzo http://punto-informatico.it/p.aspx?i=2040903), è stato ipotizzato come un accesso abusivo a sistema informatico altrui, reato punito in base all’art. 615 ter del Codice Penale in modo molto severo.

Nei paesi anglosassoni, imbattutisi prima di noi in questa fattispecie, si è dato il nome di “wardriving” all’azione di guidare (driving) o camminare (walking) alla ricerca di reti wireless (più o meno) protette tramite le quali collegarsi alla rete internet o, quantomeno, tentare un accesso. Ma prima di approfondire le problematiche del cd. wardriving, sarebbe utile cercare di capire cosa sono le reti Wi-fi e quale può essere la loro utilità.

Per rete “wireless” si intende, dall’inglese, una forma di comunicazione elettronica senza fili che, appunto, si contrappone a quelle “wired” (cablate) in cui, computers e dispositivi elettronici comunicano per mezzo di cavi. La comunicazione dei dispositivi risulta fondamentale per lo scambio di dati che portano all’informazione, considerano che, da sempre, l’informatica definisce l’informazione come un dato che, elaborato per mezzo di software (e con l’ausilio di dispositivi elettronici), si traduce in informazione utile all’utente.

Esistono diversi tipi di reti wireless, a seconda degli usi che se ne intende fare. Possiamo trovarci di fronte ad una PAN (Personal Area Network), ovverosia un tipo di rete davvero piccola, un esempio potrebbe essere la connessione tra un Personal computer e la stampante, solitamente basata sullo standard Bluetooth. Esistono poi altri tipi di reti come la meglio nota LAN (Local Area Network). Questa rete consente di connettere fra loro vari pc, stampanti ed altre periferiche di rete, installazione normalmente effettuata con tradizionali schede di rete, hub, switch, ma anche sempre più frequentemente con router/modem adsl che fungono anche da punto di accesso (“access point”) wi-fi, di modo che, un utente in possesso della connessione Adsl per casa (o ufficio) possa fruire della connessione alla Lan senza dover installare cavi o cablare l’ambiente. Se ci si trova di fronte a reti di grandi dimensioni si tratterà di WAN (Wide Area Network). La WAN e’ una rete di grandi dimensioni, gestita da provider che offrono connettività wireless sfruttando l’utilizzo di prodotti wi-fi. Vengono installati, sul territorio nel quale si vuole permettere l’accesso Wi-fi, cosiddetti “Hot-spot wi-fi” che svolgono il ruolo di “ripetitori di segnale” che, generalmente, è in radiofrequenza. E’ il metodo classico utilizzato dagli enti pubblici (comuni ad esempio) o dai grandi gestori privati (di solito di telefonia fissa e mobile) per realizzare punti d’accesso alla rete internet ed a tutti i servizi che ne derivano (da internet alla posta elettronica, dalla telefonia voip cioè Voice Over Internet Protocol, alla Ip Television).

L’esperienza anglosassone in materia di WARDRIVING

Nel 2005 i magistrati britannici hanno dovuto giudicare quello che probabilmente è stato il primo processo nel Regno Unito contro un wardriver, era il caso di un ragazzo che con il proprio portatile Wi-Fi si era connesso ad una rete wireless ad alta velocità in modo definito "abusivo".

Il tribunale di Isleworth a Londra ha infatti condannato a 500 sterline di multa e a 12 mesi di carcere con la condizionale il 24enne Tizio. Una sentenza motivata dal fatto che non solo l’uomo aveva "ottenuto in modo disonesto l’accesso ad un sistema di comunicazione" ma era stato trovato "in possesso di equipaggiamento pensato per l’uso fraudolento dei servizi di comunicazione".

L’"equipaggiamento" di cui parla la sentenza non sembra avere nulla di speciale, trattandosi di un portatile la cui unica caratteristica, condivisa da tutti i notebook di nuova generazione, è quella di potersi collegare appunto alle reti wireless. Stando alla polizia l’uomo è stato individuato dopo che in diverse occasioni aveva tentato di accedere a quei network.

Il caso per molti versi ricorda quello che – durante lo stesso anno - negli Stati Uniti ha portato all’arresto di un wardriver accusato di "accesso abusivo ad un sistema informatico". Infatti, nel luglio 2005, in Florida, venne arrestato un uomo per aver avuto accesso ad Internet tramite la rete Wi-Fi domestica installata da un suo concittadino. Le accuse contro il 41enne Caio, però, non furono quelle di aver semplicemente sfruttato risorse altrui quanto invece di aver ottenuto un "accesso abusivo ad un sistema informatico".

L’evento ha suscitato sensazione, in quanto Caio non ha violato password di accesso ma si è limitato a connettersi dal proprio autoveicolo parcheggiato nei pressi della casa del vicino Mevio. Quest’ultimo, avendo più volte notato la presenza di Caio, ha deciso di chiamare la polizia che ha proceduto all’arresto. In verità la rete di Mevio, come quella di una gran quantità di utenti wireless poco accorti, non era protetta in alcun modo: chiunque dotato di una scheda wi-fi e un dispositivo mobile, alla stregua di tutti coloro che da anni praticano il wardriving, sarebbe stato in grado di connettersi ad internet tramite quella rete.

WARDRIVING: gli sviluppi di un fenomeno diffuso.

Negli ultimi tempi si sente parlare anche in Italia di wardriving e di piggybacking come condotte più o meno illecite; ma in realtà cosa sono? Quali meccanismi giuridici si mettono in moto quando si realizzano le condotte che sono sussumibili in tali attività?

E’ possibile che, passeggiando per la città, il nostro notebook di ultima generazione ci segnali la presenza di “reti senza fili”, chiedendoci se vogliamo collegarci ad una di esse. Il wardriving può definirsi una ricerca (nomadica) di reti wireless. In altri termini significa andare in giro per le città, computer (o altri strumenti di ultima generazione) alla mano, a cercare reti wireless (WLan). Ebbene tale tipo di pratica, stando anche alle riviste del settore pare si sia molto diffusa negli ultimi tempi, e se prima si trattava di un’attività di cui si parlava solo nei convegni e tra addetti ai lavori, ora pare che anche la polizia postale abbia rivolto l’attenzione verso i wardriver.

Sinora, tuttavia, sono stati rari i tentativi di fare chiarezza sulla liceità o meno di questa attività di ricerca reti.

Innanzi tutto va differenziata l’attività del soggetto (wardriver) che effettua una ricerca fine a sè stessa, ossia solo per constatare l’esistenza di reti wireless in una determinata zona (ed eventualmente, per sapere se queste siano protette o meno) dalla ricerca di una rete wireless senza protezioni (libera) al fine di utilizzare le risorse di connessione per navigare in rete gratis o svolgere altre attività sfruttando una connessione altrui, tali ulteriori condotte si definiscono “piggybacking”, e saranno analizzate anch’esse come ulteriori attività rispetto al wardriving.

A nostro avviso, nel caso del soggetto che ricerchi soltanto la presenza di reti wireless nella zona, senza secondi fini, appare chiaro, che la condotta è penalmente irrilevante, tant’è che il soggetto ricerca “alla cieca” un access point (AP), che in realtà potrebbe non essere presente in zona e la condotta si esaurisce con un interrogazione dell’AP che, dal canto suo, risponderà, secondo il tipo di rete a cui dà accesso. Tale pratica a volte è del tutto involontaria (quindi, a maggior ragione, priva di rilevanza penale): infatti, spesso quando si accende un computer portatile che supporti tecnologia wireless, automaticamente questo riconosce e avverte l’utente che nella zona ci sono una o più reti wireless e indica se le stesse reti sono libere o protette. In questo caso nessun soggetto umano interagisce con le reti Wlan e le informazioni che si ricevono sono il risultato di un colloquio fra macchine. A volte succede che le Wlan aperte (rectius: non protette) quando interrogate da un computer diano addirittura automaticamente un numero IP alla macchina accreditandola così presso di sé. Anche in questo caso la responsabilità penale dell’utente non sussiste. E’ il caso, ad esempio, delle reti wireless volutamente lasciate “aperte” affinché chiunque possa accedervi mediante semplice autenticazione che sussiste nell’utilizzo di username e password pre-registrati, ad esempio negli alberghi, nei Comuni e nelle Università (ad esempio sul link http://maps.unimi.it/mappe.html esiste una mappa completa dei luoghi coperti dalla rete wireless dell’Università degli Studi di Milano) che hanno istituito servizi di hot spot pubblici per l’accesso alla rete internet.

Diverso è il caso di quei soggetti che, una volta trovata una rete, libera o protetta che sia, vi accedano navigando in essa o sfruttandone la banda (piggybacking), ovviamente non autenticandosi presso il fornitore, cosa che – anche e solo per questo fatto – pone certamente diverse questioni.

Le implicazioni relative alla normativa anti-terrorismo ed alla tutela della privacy

Intanto va rilevato che il Decreto-legge 27 luglio 2005, n. 144 (pubblicato nella Gazzetta Ufficiale n. 173 del 27 luglio 2005), convertito nella legge 31 luglio 2005, n. 155 (contenente norme contro il terrorismo) prevede, sulla base di un decreto interministeriale, che vengano acquisiti (art. 7, comma 4) preventivamente “i dati anagrafici riportati su un documento di identità dei soggetti che utilizzano postazioni pubbliche non vigilate per comunicazioni telematiche ovvero punti di accesso ad Internet utilizzando tecnologia senza fili”. Ma deve rilevarsi anche che ai sensi del precedente art. 6, fino al 31 dicembre 2008 (termine prorogato dal cd. Decreto mille-proroghe di fine anno, D.L. 31 Dicembre 2007, n. 248, approvato dal Consiglio dei Ministri il 28 dicembre 2007 e pubblicato nella G.U. del 31.12.2007) e’ sospesa l’applicazione delle disposizioni di legge, di regolamento o dell’autorità amministrativa che prescrivono o consentono la cancellazione dei dati del traffico telefonico o telematico, anche se non soggetti a fatturazione, e gli stessi, esclusi comunque i contenuti delle comunicazioni, e limitatamente alle informazioni che consentono la tracciabilità degli accessi, nonchè, qualora disponibili, dei servizi, devono essere conservati fino a quella data dai fornitori di una rete pubblica di comunicazioni o di un servizio di comunicazione elettronica accessibile al pubblico, fatte salve le disposizioni vigenti che prevedono un periodo di conservazione ulteriore. I dati del traffico conservati oltre i limiti previsti dall’art. 132 del decreto legislativo 30 giugno 2003, n. 196, possono essere utilizzati esclusivamente per le finalità del decreto-legge n.144, salvo l’esercizio dell’azione penale per i reati comunque perseguibili.

In ipotesi di accesso e sfruttamento della rete wireless la responsabilità penale rileva, seppur in diverso modo, a seconda dell’attività posta in essere dal soggetto. Se la rete è libera (quindi non protetta) il soggetto agente potrà andare incontro alle sanzioni previste dal codice penale. In questo caso, vista la libertà di accesso alla rete, non si potrà configurare il reato di accesso abusivo a sistema informatico o telematico in quanto la rete non prevede misure di sicurezza attive (art. 615 ter cp), mentre a seconda dell’ulteriore attività posta in essere una volta entrato nella rete le ipotesi di reato configurabili possono essere molteplici.

Si va dai reati previsti dagli artt. 617 quater e quinques che riguardano l’intercettazione abusiva di comunicazioni: in questo caso il soggetto che entra nella rete spia quelle che sono le comunicazione del titolare della rete violando così la segretezza della comunicazione stessa, al reato previsto dall’art. 167 del D.Lgs 196/2003, in quanto il wardriver si troverà a trattare dati senza il consenso dell’interessato (o degli interessati, cfr. art. 23 D.Lgs 196/2003), passando per la frode informatica (art. 640 ter c.p.), la sostituzione di persona (art. 494 c.p.), il danneggiamento di sistemi informatici o telematici di cui all’art. 635 bis. c.p. (Danneggiamento di sistemi informatici e telematici. che prevede la reclusione da sei mesi a tre anni). In merito alla sostituzione di persona, è appena il caso di ricordare che la finalità (dolo specifico) può anche essere di natura non economica (come lo scopo di evitare una perquisizione o la scoperta delle proprie azioni criminose), ovvero non illecita, come nel caso di chi si attribuisca un falso nome solo per stringere amicizia con persone facoltose. Inoltre, si ha «sostituzione della propria all’altrui persona» ogni qual volta si assume un atteggiamento atto a far vedere che si è un’altra persona (è il caso di chi sostituendosi ad un candidato, sostiene un concorso pubblico al posto dell’effettivo candidato); tale sostituzione è sempre illegittima, per cui l’avverbio «illegittimamente» usato dal legislatore è superfluo.

Tuttavia, come nota il MAGGIORE, vi possono essere casi di sostituzione di persona legittimi, quando cioè la sostituzione sia consentita dalla legge o da un negozio giuridico: così, ad esempio, non vi è reato nel fatto dell’agente di polizia che assume la personalità di altri per scoprire un reato. Si ha «attribuzione di un falso nome» quando si assume un’identità diversa dalla propria. Nome è qui inteso in senso ampio e comprende, oltre al nome di battesimo ed al cognome, anche la paternità, la maternità, il luogo e la data di nascita. Non è necessario che l’identità che ci si attribuisce sia quella di altri, potendo essere immaginaria, per un caso di “furto di identità” recentissimo v. la recentissima Cass. 46674/2007, che ha confermato la condanna di un uomo che aveva utilizzato un indirizzo e-mail intestandolo in apparenza ad una propria conoscente. Per MANZINI, ad integrare il reato basta anche il semplice mutamento di una vocale o consonante del proprio nome (es.: dire di chiamarsi «Lelio» mentre il vero nome è «Lello»).

In proposito ai reati commessi con l’uso dei computers, tra i lavori più recenti, cfr. C. SARZANA DI SANT’IPPOLITO, Informatica, Internet e diritto penale, 2a ed., Milano, 2003; L. PICOTTI, Reati informatici, voce dell’Enciclopedia giuridica Treccani, Roma, 1999, XXVI; C. PARODI-A. CALICE, Responsabilità penali e Internet - Le ipotesi di responsabilità penale nell’uso dell’informatica e della telematica, Milano, 2001; D. AMMIRATI, Internet e legge penale, Torino, 2001; G. PICA, Reati informatici e telematici, voce del Digesto pen., Torino, aggiornamento 2000, 521; C. PECORELLA, Il diritto penale dell’informatica, Padova, 2000; S. RESTA, I «computer’s crimes» tra informatica e telematica, Padova, 2000; G. PICA, Diritto penale delle tecnologie informatiche - «Computer’s crimes» e reati telematici, Torino, 1999. La sezione V penale della Cassazione (sentenza del 19 dicembre 2003, in Foro it., 2005, parte II, col. 660) afferma che tra i reati suddetti è sempre possibile il concorso in quanto «trattasi di delitti diversi».

La questione, tutt’altro che pacifica, è già stata oggetto di indagine in dottrina e giurisprudenza, in particolare in relazione alla configurabilità del concorso di reati tra accesso abusivo a sistema informatico o telematico e frode informatica. In particolare Trib. Lecce, ord. 12 marzo 1999 (Foro it., 1999, II, 608, con osservazioni di A. FANELLI) escluse che la condotta di accesso abusivo alla rete telefonica allo scopo di effettuare chiamate intercontinentali in danno del gestore di rete, condotta costituente il reato di frode informatica, potesse integrare anche il reato di accesso abusivo ad un sistema informatico o telematico, in quanto, per essere l’interesse tutelato dall’art. 615 ter c.p., costituito dalla riservatezza individuale connessa al regolare funzionamento dei sistemi informatici, nessuna lesione a tale bene si potrebbe verificare quando chi effettua telefonate abusive lo faccia a scopo di lucro e non acquisisca informazioni personali o comunque riservate. Tale ordinanza fu annullata dalla Suprema corte (Cass. 4 ottobre 1999, Piersanti, id., 2000, II, 133, con osservazioni di A. FANELLI, e Dir. informazione e informatica, 2001, 492, con nota di G. CORRIAS LUCENTE, e Cass. pen., 2000, 2994, con note di S. ATERNO e L. CUOMO), la quale affermò la piena configurabilità del «concorso formale» tra il reato di frode informatica e quello di accesso abusivo ad un sistema informatico o telematico, osservando che «l’oggetto della tutela del reato di cui all’art. 615 ter c.p. è costituito dal c.d. ‘domicilio informatico’, da intendersi come spazio ideale (ma anche fisico in cui sono contenuti i dati informatici) di pertinenza della persona, il quale deve essere salvaguardato al fine di impedire non solo la violazione della riservatezza della vita privata, ma qualsiasi tipo di intrusione anche se relativa a profili economico-patrimoniali dei dati». Criticamente rispetto al principio affermato dalla Suprema corte e partendo dall’assunto che la norma penalistica sull’accesso abusivo sia sostanzialmente finalizzata a tutelare la riservatezza personale, sulle colonne di questa rivista si osservò che «— in casi [...] in cui non sussiste un’effettiva lesione di beni giuridici autonomi, per avere la condotta determinato il pregiudizio di interessi puramente patrimoniali — l’accesso abusivo ad un sistema informatico dovrebbe considerarsi un ante factum non punibile rispetto al reato di frode informatica, costituendo lo strumento comunemente utilizzato per la commissione di tale più grave reato» (così FANELLI, op. ult. cit., 135).

Ancora il Tribunale di Lecce, tuttavia, con pronuncia del 19 gennaio 2000 (Foro it., Rep. 2002, voce Violazione di domicilio, n. 9, e, per esteso, Corti Bari, Lecce e Potenza, 2001, II, 3), sposò l’orientamento della Cassazione ed affermò la configurabilità del concorso formale di reati tra l’accesso abusivo a sistema informatico e la frode informatica. E ciò, anche perché la dottrina prevalente non aveva mancato di evidenziare come la fattispecie di accesso abusivo ad un sistema informatico o telematico sia finalizzata ad evitare, non solo la violazione della riservatezza della vita privata, bensì qualsiasi tipo di intrusione in un sistema protetto, anche se lesiva soltanto di profili economico-patrimoniali (così, tra gli altri, M. NUNZIATA, Il delitto di «accesso abusivo ad un sistema informatico o telematico», Bologna, 1996). In questo senso, di recente, Cass. 14 ottobre 2003, Muscia, Foro it., 2004, II, 582.

Difatti se una volta entrato, il wardriver dovesse “divertirsi” a distruggere quello che trova, mandare “in tilt” il sistema, o anche solo parte di esso, incorrerà nella sanzione prevista per il danneggiamento, se invece dovesse utilizzare l’IP della rete per inviare mail o per commettere altri reati sarà responsabile sia della sostituzione di persona sia del reato compiuto a mezzo rete wireless di altri. Un’ulteriore attività si potrebbe concretizzare anche nell’inserimento di codici malvagi (malware-virus) condotta che rientra nella previsione normativa dell’art. 615 quinques c.p. Oppure, ipotizzando che il soggetto utilizzi la banda per scaricare o diffondere in rete materiale pedopornografico o comunque materiale protetto dal diritto d’autore, si troverà a rispondere dei reati disciplinati dagli artt. 600 ter e quater del codice penale, oppure dall’art.171 della legge sul diritto d’autore. Per la giurisprudenza può ricorrere il delitto di accesso abusivo ad un sistema informatico (art. 615 ter c.p.) anche senza effrazione delle misure protettive (siano esse interne o «esterne» al sistema) purché la condotta dell’agente risulti rivestita da altri connotati (anche tra loro eterogenei) che la rendano «abusiva»; tra gli indici che in tal caso dovranno essere vagliati al fine di ritenere o meno il reato, vi sono la natura e le finalità dell’accesso, l’idoneità dell’intervento a ledere o a porre in pericolo gli obiettivi ai quali era strumentale la protezione del sistema e dei dati in esso residenti, nonché l’esistenza o meno per l’agente, tenuto conto delle di lui eventuali funzioni rivestite in seno all’organizzazione titolare del sistema protetto, di divieti o limiti a conoscere o a utilizzare i contenuti dell’area informatica visitata, che siano stati violati mediante la realizzata condotta (Trib. Gorizia, 19 febbraio 2003, in Riv. pen., 2003, 891, con nota di A. TARLAO; Trib. Bologna, 22 dicembre 2005, Foro it., Rep. 2006, Violazione di domicilio, n. 15. Cfr. altresì Cass., V sez. pen., 6 febbraio 2007, Il delitto di accesso abusivo ad un sistema informatico, che è reato di mera condotta, si perfeziona con la violazione del domicilio informatico, e quindi con l’introduzione in un sistema costituito da un complesso di apparecchiature che utilizzano tecnologie informatiche, senza che sia necessario che l’intrusione sia effettuata allo scopo di insidiare la riservatezza dei legittimi utenti e che si verifichi una effettiva lesione alla stessa, Foro it., Rep. 2007, voce Violazione di domicilio, n. 7).

Un discorso a parte merita la cd. forzatura della rete, quando questa è protetta (ad esempio con il sistema di cifratura WEP o WPA). In tal caso il wardriver si troverà, per il solo fatto di averla violata superando le misure di sicurezza, nella posizione di chi è entrato abusivamente nel “domicilio informatico” altrui. Si applicherà a tale ipotesi l’art. 615 ter. Una volta entrato, il wardriver potrebbe porre in essere tutte le azioni che sono state descritte, per cui si troverebbe a rispondere di tutti i reati consumati. Insomma la condotta del wardriver deve essere valutata sempre in concreto secondo una scala di infrazioni che potrebbero andare dall’accesso abusivo alle altre ipotesi di reato che in base alla volontà dello stesso soggetto saranno poste in essere.

Taluno potrebbe pensare che, il semplice sfruttamento di una rete non protetta altrui rileverebbe ai fini penalistici né più né meno di un furto di energia elettrica. In effetti, il soggetto che sfrutta la rete wireless altrui non protetta, nei fatti, sfrutta la banda lasciandola depotenziata al titolare. Tuttavia, tale condotta non sembra accomunabile al furto di energia elettrica per il generale divieto di analogia vigente in materia penale secondo il dettato dell’art. 14 delle disposizioni preliminari al codice civile. Anche se una parte della dottrina (cfr. FIANDACA-MUSCO, Diritto penale, Parte generale, Bologna, 2006, 97) ritenga possibile invece un ricorso all’analogia in “bonam partem”, cioè favorevole al reo, in materiapenale, semprechè non si tratti di estendere analogicamente le leggi eccezionali.