d) Le dinamiche inerenti la denuncia del crimine informatico.

Se, da un lato, buona parte degli interventi della Polizia delle Comunicazioni è promossa da specifiche richieste di singoli utenti (aziende o privati cittadini), dall'altro emerge un dato piuttosto significativo: una notevole discrepanza tra gli attacchi ai sistemi informatici statisticamente rilevati/denunciati (di numero relativamente esiguo) e quelli effettivamente portati a termine (in numero assai accentuato). Alla base di questo fenomeno vi sono diverse ragioni. Innanzitutto, può accadere che il soggetto colpito non sappia neppure di essere tale, non si accorga, cioè, di essere stato vittima di un'aggressione informatica. Chi commette l'illecito può essere un esperto del settore e, trattandosi, come spesso avviene, di un soggetto interno all'azienda, può essere a conoscenza di informazioni preziose, di tipo tecnico o organizzativo, che lo pongono in una situazione tale da impedire o prevenire qualsiasi rilevamento esterno. In questa ottica, un ruolo cruciale potrebbe essere svolto da una adeguata politica di sicurezza interna, contenendo o limitando la responsabilità di security manager impreparati - che devono, tra l'altro, aggiornarsi costantemente data la rapidità con la quale vengono sfruttate debolezze e falle dei sistemi e protocolli di comunicazione - ma anche la responsabilità del personale dipendente che può far saltare, per ignoranza o dabbenaggine, anche la più sofisticata predisposizione di misure di garanzia (basti pensare ai famosi post-it presenti sui monitor o sulle scrivanie che riportano, in bella mostra, login e password di accesso).

E’ singolare peraltro come in alcuni casi (neppure tanto sporadici!), è stata riscontrata nei sistemisti - sia di enti pubblici che di aziende private - una qualche forma di riluttanza nel considerare l'attacco subito come un fatto di reato e ciò, in particolare, quando l'illecita intrusione (c.d. hacking) non provoca danni apparenti. Normalmente, quindi, i predetti episodi sono sottovalutati e tollerati, considerati alla stregua di semplici bravate (o al limite di pericoli scampati). Tuttavia, in questi casi, spesso ci si trova davanti a veri e propri attacchi prodromici alla realizzazione di ulteriori reati di ben più rilevanti entità e dannosità. Pertanto, in ipotesi consimili, il sottovalutato accesso abusivo al sistema informatico o telematico (contemplato e sanzionato perltro dall’art. 615 ter c.p. cfr. supra para. 2.2.c)). seppur non ha causato alcun danno apparente, potrebbe essere facilmente utilizzato dall'autore (criminale) come "ponte" per entrare in altri sistemi, reali bersaglio ed oggetto di operazioni di cancellazione di dati o di altre condotte criminose.

Ora, se è vero che l'ipotesi delineata, ex art. 615 ter co.1 è perseguibile a querela della persona offesa, è altrettanto vero che quasi sempre il fatto è connesso con l'illecita acquisizione dei file di password, condotta che integra, come visto supra, il reato di cui all'art. 615 quater c.p. (“Detenzione e diffusione abusiva di codici di

accesso a sistemi informatici o telematici”) procedibile invece d'ufficio. Ciò impone

peraltro l'obbligo (almeno per i sistemisti di enti pubblici o incaricati di svolgere pubblici servizi) di denunciare i fatti ai sensi dell'art. 331 c.p.p.202, obbligo penalmente sanzionato ai sensi degli artt. 361 e 362 c.p. in caso di omissione203. D’altra parte, si deve tener presente che a volte le aziende colpite preferiscono non ricorrere alla querela/denuncia perché il fatto di aver subito un attacco è indice di vulnerabilità e, quindi, dal punto di vista del marketing, una cattiva presentazione per clienti attuali e potenziali. Il prezzo da pagare per la pubblicità del fatto può essere troppo alto quando in gioco ci sono reputazione e credibilità aziendali. Questo fenomeno interessa soprattutto certi tipi di imprese commerciali come banche, istituti finanziari, compagnie assicurative, società quotate in borsa, imprese specializzate in sicurezza informatica ecc. ecc., in altri termini tutti quei soggetti per i quali l'offerta di "sicurezza" costituisce una componente essenziale dell'attività esercitata. È un dato acquisito, inoltre, che, per la maggior parte di tali aziende, il ricorso alla magistratura non rappresenta il più delle volte una soluzione neanche a fronte di ricatti o estorsioni posti in essere da vere e proprie organizzazioni malavitose.

Accanto al cosiddetto "danno di immagine", un altro elemento può inoltre trattenere le aziende dalla denuncia: il timore di una responsabilità penale, nonché civile per eventuali danni cagionati a terzi. Deve essere chiarito, però, che in caso di attacco ad un sistema informatico, tali responsabilità sono solo quelle disciplinate dalla normativa sul trattamento e la tutela dei dati personali. La "legge sulla privacy" (art. 31 d. lgs.vo n°196 del 2003) prevede, infatti, l'obbligo giuridico per il responsabile del trattamento di adottare specifiche misure necessarie alla sicurezza dei dati, l'omissione delle quali (sia dolosa, sia semplicemente colposa) è sanzionata penalmente ed amministrativamente204. In base, poi, alla predetta legge, chiunque cagioni un danno ad altri per effetto di un trattamento non consono di dati personali è tenuto al risarcimento ai sensi dell'articolo 2050 del codice civile. Il trattamento di dati personali è quindi attività considerata "pericolosa" e comporta un'inversione dell'onere della prova (è il gestore a dover provare di "aver adottato tutte le misure

idonee a evitare il danno", art. 2050 c.c.).

Va sottolineato, d'altra parte, come sia in pratica facile sottrarsi alle suddette responsabilità: la legge richiede, infatti, la predisposizione di misure di sicurezza "minime" (per non dire ovvie e in alcuni casi anche ingenue ed ampiamente consolidatesi nella prassi di tutti gli operatori). Dette misure, individuate dagli artt. 33 e ss. del codice sul trattamento dei dati personali, consistono peraltro,

202

Art. 331 c.p.p.: "I pubblici ufficiali e gli incaricati di un pubblico servizio che, nell'esercizio o a causa

delle loro funzioni o del loro servizio, hanno notizia di un reato perseguibile d'ufficio, devono farne denuncia per iscritto ... senza ritardo al pubblico ministero o ad un ufficiale di polizia giudiziaria".

Diversamente rispondono dei delitti previsti dagli artt. 361 e 362 c.p.p. per "omessa denuncia di reato". Ex art. 333 c.p.p., il privato "che ha notizia di un reato perseguibile d'ufficio può farne denuncia. La legge determina i casi in cui la denuncia è obbligatoria".

203

Si tratta, rispettivamente, dei reati di omessa denuncia di reato da parte di pubblico ufficiale ovvero di un incaricato di pubblico servizio

204

fondamentalmente, nell’adozione di in un sistema di "codici identificativi" (password) per l'accesso al sistema e nell'impiego di idonei programmi di crittazione ed antivirus la cui efficacia ed aggiornamento debbono essere verificati con cadenza periodica.