Verso la definizione giuridica di un concetto nebuloso? La sicurezza informatica nella proposta di direttiva sulla sicurezza delle reti e dell’informazione

La proposta di direttiva formula un’espressa definizione della sicurezza informatica68. In effetti, quest’ultima, di per sé presa, si risolve in un’espressione di sintesi incapace di esprimere contenuti giuridici immediatamente identificabili69. L’Unione colloca la sicurezza in generale tra gli obiettivi della sua azione e ne impone uno standard elevato, da raggiungere attraverso l’adozione di “misure di prevenzione e

lotta contro la criminalità (…) e, se necessario, il ravvicinamento delle legislazioni penali” (art. 67 TFUE) 70.

Il termine sicurezza isolatamente considerato evoca una condizione e, al tempo stesso, un sentimento, che si ricollega alla percezione di essere esenti da situazioni pericolose o rischiose, o comunque, come capacità di prevenire, fronteggiare, o attenuare evenienze spiacevoli. Nell’ambito dell’informatica, essa designa “l’insieme

delle tecniche e dei dispositivi, sia software sia hardware, mediante i quali si attua la

protezione di dati e sistemi informatici”71.

Secondo l’art. 3 n. 2 della proposta di direttiva, la sicurezza informatica consiste nella “capacità di una rete o di un sistema informativo di resistere, a un determinato

livello di riservatezza, a eventi imprevisti o dolosi che compromettano la disponibilità, l’autenticità, l’integrità e la riservatezza dei dati conservati o trasmessi e dei relativi

servizi offerti o accessibili tramite tale rete o sistema informativo”72. In sostanza, essa

mira alla conservazione del sistema, della sua funzionalità e all’integrità dei dati in essa contenuti. Il grado di sicurezza si valuta in base alla capacità di resistenza agli attacchi esterni: tale caratteristica è nota come resilienza. Procedendo con l’ausilio dell’analisi semantica, in informatica quest’ultima caratteristica indica la “capacità di un sistema di

adattarsi alle condizioni d’uso e di resistere all’usura in modo da garantire la

disponibilità dei servizi erogati”73. Essa implica una certa dose di flessibilità da ricavare

mediante l’adozione di adeguate misure tecniche e tecnologiche, che comunque non possono oltrepassare il limite del rispetto della riservatezza. Quest’ultimo diritto fondamentale circoscrive il perimetro della capacità adattativa del sistema.

68

Si noti che si è cercato, fino a questo punto, di evitare il più possibile, soprattutto in taluni passaggi chiave, il ricorso al sintagma ‘sicurezza informatica’ prima di averlo contestualizzato. A tal fine, si è preferito utilizzare le parole della proposta di direttiva: ‘sicurezza delle reti e dell’informazioni’.

69 _{S. W. BRENNER - L. CLARKE, Distributed security, cit., ritengono che la sicurezza}

informatica sia troppo sfumata ed effimera per permettere una regolamentazione legislativa effettiva. Tuttavia, ricordano che sicurezza inadeguata si traduce in ciò che gli economisti chiamano esternalità negativa, ossia in un costo. Se questa esternalità fosse addossata a carico dei singoli utenti, ad avviso degli Autori, l’utilizzo della Rete diverrebbe molto costoso e sarebbe pertanto destinata a cadere in declino.

70 _{“Art. 67 TFUE.}

1. L'Unione realizza uno spazio di libertà, sicurezza e giustizia nel rispetto dei diritti fondamentali nonchè dei diversi ordinamenti giuridici e delle diverse tradizioni giuridiche degli Stati membri.”

71 _{Enciclopedia giuridica Treccani, «sicurezza» (voce), disponibile al seguente link:}

http://www.treccani.it/enciclopedia/sicurezza/

72 _{Art. 3, n. 2 proposta di direttiva COM (2013) 48 final – 2013/0027 (COD).} 73

Wikipedia, “resilienza” (voce), disponibile al seguente link: http://it.wikipedia.org/wiki/Resilienza

La citata definizione fornisce altresì le coordinate interpretative utili per fare chiarezza in merito alle implicazioni penalistiche e di politica criminale circa la qualifica della sicurezza informatica come bene giuridico meritevole di protezione. Secondo la proposta di direttiva, misura della sicurezza informatica è la compromissione della disponibilità, autenticità, integrità e riservatezza dei dati. A ben vedere, la nozione rimanda alle quattro macro-aree di tutela in cui si è soliti distinguere gli attacchi a sistemi informatici e telematici, fin dal primo intervento del legislatore italiano del 1993 e ribadite dalla Convenzione di Budapest74: 1) i reati che tutelano la riservatezza dei dati informatici e delle comunicazioni elettroniche (artt. 615-ter; art. 615-quater; 615-quinquies, a tutela del domicilio informatico; art. 617-quater; 617-

quinquies, 617-sexies a tutela della interferenza illecita nelle comunicazioni private); 2)

i reati che tutelano l’integrità dei dati informatici e delle comunicazioni elettroniche (artt. 635-bis, 635-ter, 635-quater, 635-quinquies, sul danneggiamento d’informazioni, dati e programmi); 3) i reati che proteggono la veridicità dei dati informatici (art. 491-

bis documento informatico e 495-bis falsa dichiarazione o attestazione al certificatore di

firma digitale sull’identità o qualità personali proprie o di altri); 4) più in generale, i c.d. reati ad alta tecnologia, ossia quei reati che sono commessi mediante l'utilizzo dello strumento informatico o telematico e che sono suscettibili di arrecare grave nocumento e intaccare la fiducia nei sistemi di comunicazione virtuale (ad esempio, la frode informatica, il riciclaggio di capitali, al terrorismo via internet, etc.).

In secondo luogo, emerge l’attualissimo problema del potenziale conflitto tra sicurezza e riservatezza, che investe la scelta delle misure tecniche e tecnologiche75. La sicurezza delle reti e delle informazioni è un’esigenza indispensabile per la preservazione dell’ambiente virtuale ove trovano nuovi spazi di affermazione quegli stessi diritti fondamentali, tra i quali la riservatezza, che si pone come suo limite.

Dietro il tema del conflitto di principi si cela quello scontro tra valori che costituisce l’emblema del tempo presente, caratterizzato dal pluralismo etico delle odierne società aperte e multietniche76.

74 _{Convenzione del Consiglio d’Europa sulla lotta al cybercrime, 23 novembre 2001, Budapest.} 75 _{Si pensi al caso Snowden, (ex tecnico della CIA) che ha rivelato pubblicamente l’esistenza e i}

dettagli di diversi programmi di sorveglianza di massa del governo statunitense e britannico, fino ad allora tenuti segreti o al recente scandalo dei Trojan horses in grado di intercettare le telefonate effettuate attraverso Skype, all’insaputa degli utenti impiegati dalle autorità di polizia tedesche e giustificati per esigenze di sicurezza.

76

G. ZAGREBELSKY, Il diritto mite, Torino, 1992, 13, il quale precisa che “ciascun principio e

ciascun valore, se intesi nella purezza di un loro concetto assoluto, si risolverebbero nell’impossibilità di ammetterne altri”. L. BEDUSCHI, Rassegna delle pronunce della Corte EDU del triennio 2008 – 2010 in tema di art. da 8 a 11 Cedu, la quale sottolinea come gli artt. 8 - 11 CEDU presentino clausole

derogatorie, che consentono di bilanciare questi diritti ogni qualvolta sia ravvisabile “uno scopo

legittimo” che lo giustifichi. Su: http://www.europeanrights.eu/public/commenti/Beduschi_- _rassegna_Corte_EDU_art._8_-_11_Cedu_-_dpc.pdf. In giurisprudenza: Corte europea dei diritti dell’uomo, Grande Camera, 4 dicembre 2008, C- 30562/04 e 30566/04, S. e MARPER c. Regno Unito, in

Riv. it. dir. pen. proc., Milano, 2009, 346 ss.; Corte europea dei diritti dell’uomo, 17 giugno 2009, C-

8. Le molteplici declinazione del diritto fondamentale alla riservatezza: dal