Chi è il cyber-criminale? Dalla condotta all’elemento psi cologico

Le tante modalità con le quali si sviluppano di solito i crimi- ni informatici, mostrano subito le particolari doti di cui è forni- to il soggetto criminale.

Alcuni studi hanno rilevato che il cyber-criminale ha un’istru- zione medio-alta, ha grandi capacità di premeditazione, organiz- zazione, preordinazione, è un esperto di sistemi, in grado di ac- cedere a reti informatiche protette, più in particolare di accedere al sistema e di adattarlo alle proprie esigenze. Le sue conoscenze, decisamente approfondite, che talvolta si accompagnano ad una ridotta percezione del significato illegale della sua condotta, cau- sata dall’apparente separazione mondo reale/mondo virtuale, lo rendono un formidabile utilizzatore di software, capace di na- scondere le tracce del proprio passaggio, o della propria presen- za, e capace di sfruttare al meglio ogni tipo di vulnerabilità.

Se, per un verso, la Rete ha fatto sì che sia superata in un cer- to senso la contrapposizione tra professionista del crimine e non, visto che alcune forme di abuso e di illecito sono commesse da soggetti che prima della rivoluzione informatica non sarebbero stati dediti al crimine e, comunque, sarebbero rientrati nella ca- tegoria dei c.d. insospettabili, avviando così una sorta di demo- cratizzazione sia del crimine sia delle motivazioni per le quali viene commesso, per l’altro verso, però, il cyber-criminale è a

suo modo un malvivente di serie A e perciò differente da ogni al- tro che, non avendo dimestichezza con metodi e tecniche infor- matiche, si colloca in una posizione inferiore. Il cyber-criminale, in genere, opera in solitudine, e mentre diffonde ad esempio un malware (si pensi a Evgeniy Bogachev, mago delle botnet) vede accrescere la propria autostima nella pratica di un gioco che deve considerare oltre che eccitante, anche estremamente redditizio.

È per questo che la repressione della criminalità informatica ha richiesto, e richiede, una specializzazione della polizia giudi- ziaria, la quale deve ormai tenere conto di relazioni e abitudini umane profondamente mutate, di una scena del crimine che può essere anche informatica, di una attenuazione della percezione del crimine causata dalla sostituzione del faccia-a-faccia con l’in- terfaccia, di una entrata nella categoria dei criminali di soggetti che, prima della rivoluzione informatica, erano estranei al mon- do dell’illegalità.

7.1. Le considerazioni sin qui svolte hanno una loro rilevan-

za anche alla luce dei c.d. elementi psicologici (soggettivi) del reato, che il nostro ordinamento individua nel dolo, nella colpa e nella preterintenzione. Come noto, infatti, nessuno può essere punito per la propria azione od omissione, prevista dalla legge come reato, se non l’ha commessa con coscienza e volontà, e nessuno può essere punito per un fatto preveduto dalla legge co- me delitto, se non l’ha commesso con dolo, salvi i casi di delitto preterintenzionale o colposo espressamente previsti dalla legge (art. 42 c.p.). Il legislatore distingue così il delitto in doloso (“o secondo l’intenzione, quando l’evento dannoso o pericoloso, che è il risultato dell’azione od omissione e da cui la legge fa dipen- dere l’esistenza del delitto, è dall’agente preveduto e voluto come conseguenza della propria azione od omissione”), preterintenzio- nale (“o oltre l’intenzione, quando dall’azione od omissione deri- va un evento dannoso o pericoloso più grave di quello voluto dal- l’agente”), e colposo (“o contro l’intenzione quando l’evento, an- che se preveduto, non è voluto dall’agente e si verifica a causa di negligenza o imprudenza o imperizia, ovvero per inosservanza di leggi, regolamenti, ordini o discipline”) (art. 43 c.p.).

Anche per i reati informatici è richiesta la sussistenza del do- lo, e cioè che il soggetto si sia rappresentato il fatto costituente reato e che egli abbia voluto che lo stesso si realizzasse, oppure

l’esistenza della colpa, come accade nell’uso incauto delle nuove tecnologie.

L’accertamento del dolo, tuttavia, è reso più complesso nei casi di reati informatici, anche per le circostanze che si può agi- re senza vedere i risultati della propria azione, si può agire ce- landosi dietro l’anonimato, si può agire senza poter controllare la diffusività della propria condotta, con effetti qualche volta non voluti e non prevedibili.

L’agire a distanza, ad esempio, fa sì che la vittima diventi in- visibile, incorporea, come lo è, del resto, tutto ciò che la circonda nel cyberspace, e fa anche sì che il soggetto agente – non veden- do immediatamente gli effetti della propria condotta – sia age- volato nella sua stessa azione proprio in quanto la vittima che intende colpire è invisibile e astratta. Allo stesso modo, l’agire nella realtà virtuale – celando la propria identità e creandone una apocrifa – fa sì che condotte penalmente rilevanti si sviluppino in modo più deciso e ardito. In entrambi i casi è legittimo chiedersi se tutto ciò debba essere valutato in sede di accertamento della colpevolezza e comunque in che misura lo si debba valutare.

Va altresì considerato che il soggetto di solito commette un reato dopo aver utilizzato il computer a fini ludici e che, anzi, il reato spesso riproduce le finalità e le dinamiche del gioco mede- simo. Anche di qui, la circostanza che in questo ambito è diffusa la criminalità giovanile. Del resto, uno dei canali di diffusione del- le conoscenze informatiche è stato quello dei videogiochi, e co- me accade qualche volta nel gioco si può sviluppare una dipen- denza da equiparare a psicopatologie comportamentali, si pensi all’Internet Addition Disorder e all’Internet Related Psicopatology. Simili tratti, ovvero criminalità informatica giovanile e dipenden- za da cyberspace, possono incidere, ora in senso restrittivo ora in senso estensivo, sulla portata delle disposizioni relative ai sog- getti che il nostro ordinamento considera totalmente o parzial- mente non imputabili, per via dell’immaturità psichica (del mi- nore: artt. 97 e 98 c.p.), del vizio di mente (artt. 88 e 89 c.p.), per gli effetti negativi che l’uso delle sostanze stupefacenti e alcoli- che producono nella mente umana (artt. 91 ss. c.p.). E non è un caso proprio quest’ultimo riferimento, visto che in modo analo- go all’uso di sostanze stupefacenti e alcoliche si parla ormai da tempo di abuso e di disintossicazione da Internet, e persino di Lsd elettronica e di app video-droga.

Al di là delle ipotesi riferite, che l’accertamento del dolo non sia affatto agevole, è provato già dalla previsione dell’art. 615

quinquies c.p., riguardante la diffusione di apparecchiature, di-

spositivi e programmi diretti a danneggiare o interrompere un sistema informatico. Se è punibile quel produttore di software, che perfettamente consapevole dell’esistenza di difetti e dei rischi di alterazione di funzionamento del sistema, distribuisce nono- stante tutto il programma, non altrettanto potrebbe dirsi per co- loro che forniscono programmi del tipo virus, soltanto per la creazione di anti-virus. Né sembra penalmente responsabile chi – effettuando gli ordinari interventi di manutenzione software e contraendo inconsapevolmente un virus della specie ancora sco- nosciuta alla diagnostica – contagi con lo stesso virus il sistema di elaborazione dati di altri durante un altro intervento di ma- nutenzione. E non è penalmente responsabile, poiché il diritto penale non ricostruisce l’imputabilità sulla base del solo rapporto di causalità e secondo i criteri della responsabilità oggettiva.

Non meno difficoltà incontra l’accertamento della colpa nei reati informatici. Si pensi, a tal proposito, a eventi, anche tragici, nei quali è coinvolta la stessa vita umana, provocati in generale da un inadeguato funzionamento del sistema, in particolare da un errore del sistema, verificatosi ora nella fase di programmazione e ora in quella di esecuzione. In ogni caso, si tratta di capire che tipo di sistema è e che grado di incognite di funzionamento ha, poiché se si dovesse trattare dei c.d. sistemi esperti, allora il catti- vo funzionamento potrebbe essere determinato da cause insite nel motore inferenziale oppure nella base di conoscenza, la responsa- bilità, quindi, ricadrebbe su figure diverse e occorrerebbe, inoltre, rinviare a più persone per il lavoro di equipe che solitamente vie- ne intrapreso. Quando, poi, il cattivo funzionamento del sistema riguarda la fase di esecuzione, anche qui si tratta di capire se sia l’operatore il vero responsabile, in quanto ha seguito procedure sbagliate o ha inserito dati errati, o non lo sia piuttosto colui che ha fornito le istruzioni e i dati a fondamento dell’attività stessa.

Spesso il mal funzionamento del sistema, laddove penalmente rilevante, rinvia a carenze di gestione (ad esempio, cattiva manu- tenzione, mancato controllo, inidonee misure di sicurezza), che comunque violano gli obblighi di perizia e di diligenza e che, quin- di, integrano responsabilità per colpa dei preposti alla gestione stessa.

7.2. Il dolo e la colpa, come pure la preterintenzione, devono

misurarsi con i nuovi mezzi e con la dimensione del virtuale che è un reale in potenza. I parametri tradizionali, infatti, non sono per certi versi sufficienti, soprattutto se si considera che pro- grammi sempre più sofisticati consentono di simulare il reale in modo perfetto, si ha così una confusione-sovrapposizione di pia- ni, con la convinzione, in capo al soggetto agente, che quanto compiuto nel cyberspace non sia reale e non colpisca affatto di- ritti e interessi altrui. E i programmi altamente sofisticati assai spesso operano, per le loro connessioni e per la loro diffusività in modo imprevedibile, così che gli effetti potrebbero non esse- re quelli intenzionalmente voluti, e, per l’appunto, andare oltre l’intenzione del soggetto agente.

Ulteriore circostanza è che per alcuni reati informatici sem- bra mancare la consapevolezza dell’antigiuridicità, intanto per- ché alcuni soggetti (l’hacker tradizionale o l’hacker rivoluziona- rio) non percepiscono come illegali i loro atti, e in secondo luo- go perché le norme penali sono giunte in ritardo a disciplinare un settore sviluppatosi senza regole e sviluppatosi così forse proprio grazie alla loro assenza.

La motivazione della condotta illecita è presa in esame ai fi- ni della quantificazione della pena, allo stesso modo è dai moti- vi a delinquere che si desume la capacità a delinquere, parame- tro questo che, insieme alla gravità del reato, è valutato dal giu- dice ai fini della graduazione della pena da irrogare nel caso concreto.

Un compito particolarmente delicato attende quindi il giudi- ce, specie se si considera che le motivazioni di per sé possono aprire la strada a diverse valutazioni, qualche volta persino op- poste. Ad esempio, l’agire per fini ludici dell’hacker tradizionale potrebbe essere letto a favore del reo, di qui una diminuzione di pena, o al contrario, considerato come quell’agire per futili mo- tivi previsto dalla norma (art. 61, punto 1, c.p.), di qui un au- mento di pena. L’aver agito, poi, per fini quali la libertà, l’egua- glianza, l’identità, e così via, dell’hacker rivoluzionario, potreb- be essere letto a favore del reo, poiché la sua condotta può inte- grare quei motivi di particolare valore morale o sociale (art. 62, punto 1, c.p.), di qui l’attenuante, o invece può essere letto esat- tamente all’opposto, di qui l’aggravante.