Dietro queste espressioni che individuano i più comun

reati informatici, in realtà, si ritrovano, qualche volta, nuove tecniche e antichi obiettivi, qualche altra volta, invece, nuove tecniche e altrettanti nuovi obiettivi. La lista è particolarmente ampia e, ovviamente, in continua crescita. Qui di seguito, solo qualche esempio di condotta che mette a repentaglio diritti e sicurezza di individui, gruppi e nazioni, e che può costituire un reato informatico.

Cyberlaundering: è il fenomeno del riciclaggio che si manife-

sta secondo molteplici forme; la più classica è quella che preve- de il trasferimento di denaro proveniente da attività illecita in conti resi disponibili e, da qui, la bonifica stessa delle somme. Una volta ottenuta la disponibilità delle somme, infatti, si pos- sono predisporre, ad esempio, pagamenti a fronte di transazio- ni che sembrano lecite (si pensi alle vendite fittizie di immobili o alla costituzione di una società di copertura che commerci in oggetti d’antiquariato).

Ma le tecniche di riciclaggio nell’era digitale sono quanto mai varie. Sempre più spesso, per ripulire il denaro e per eludere le norme finanziarie in vigore nei diversi Paesi, alcune organizza- zioni si avvalgono di sistemi bancari paralleli (sotterranei), siste- mi clandestini che, nel caso cinese, hanno preso il nome di fei

chien (denaro volante). Nell’ipotesi di trasferimento del denaro

sporco dall’Italia alla Cina, la procedura è la seguente: deposito del denaro in un’agenzia italiana (che solitamente esercita atti- vità di cambio-valuta, o che si presenta come agente di viaggio, call center, ecc.), consegna contestuale al richiedente di una pass- word che funge da certificato di deposito, riconsegna del certifi- cato di deposito al destinatario del denaro che opera in Cina e, infine, molto semplicemente, prelievo del denaro, al netto della provvigione. Altrimenti detto, il sistema bancario clandestino si fonda su un metodo di compensazione che opera tra soggetti che hanno bisogno di esportare denaro e altri che, invece, hanno ne- cessità di importarlo, e si caratterizza per il fatto che il denaro

mo comma, ovvero distribuisce o divulga notizie o informazioni finalizza- te all’adescamento o allo sfruttamento sessuale di minori degli anni diciot- to, è punito con la reclusione da uno a cinque anni e con la multa da euro 2.582 a euro 51.645. […]”).

non è mai trasferito materialmente e i conti sono regolati tramite scritture e registri.

A questo, si aggiunga che il più grande mercato nero digitale del mondo e cioè Silk Road 3.0 – una piattaforma di e-commerce non indicizzata dai motori di ricerca e accessibile esclusiva- mente attraverso Tor (software gratuito che consente la naviga- zione del Web in assoluto anonimato) – rende possibile non sol- tanto l’acquisto di droghe, di armi, di kit fai-da-te per la costru- zione di bombe, ecc., ma anche il riciclaggio dei proventi delle attività illecite. Qui, infatti, le transazioni non avvengono in va- luta comune, bensì in bitcoin, ossia con una valuta elettronica che consente di garantire l’anonimato nell’operazione di compra- vendita online. Non è a caso che Ross Ulbricht – fondatore di Silk

Road – sia attualmente sotto processo, dovendo rispondere di

ben sette capi d’imputazione tra cui figura la pirateria informati- ca e il riciclaggio di denaro, e, se la difesa non riuscirà a provare che egli ha abbandonato l’amministrazione del portale subito do- po averlo fondato, dovrà scontare una pena che va da un minimo di 20 anni all’ergastolo.

La cornice legislativa nazionale antiriciclaggio è oggi rappre- sentata dal d.lgs. n. 231 del 21 novembre 2007 e dalle relative di- sposizioni di attuazione emanate dal Ministro dell’economia e delle finanze e, relativamente ai profili di contrasto del finanzia- mento del terrorismo e dell’attività di Paesi che minacciano la pace e la sicurezza internazionale, dal d.lgs. n. 109 del 22 giugno 2007, così come modificati dal più recente d.lgs. n. 90 del 25 maggio 2017 – recante Attuazione della direttiva (UE) 2015/849 (c.d. quarta direttiva antiriciclaggio) e del regolamento (UE) n. 2015/847 riguardante i dati informativi che accompagnano i tra- sferimenti di fondi.

Cybersquatting: il termine indica l’occupazione di uno o più

spazi virtuali – e cioè di uno o più domini web – presenti nell’im- maginario comune, ma non utilizzati da quelli che potrebbero es- serne i legittimi proprietari. Più in particolare, l’attività consiste nel registrare domini web riconducibili a marchi noti o a perso- naggi pubblici allo scopo di ricavarne un vantaggio economico.

Le tecniche del cybersquatter sono le seguenti: può registrare il dominio web – naturalmente laddove non sia stato registrato – per poi cercare di rivenderlo a chi ha, o ritiene di avere, un dirit-

to all’uso della denominazione corrispondente al dominio; può aspettare che la registrazione di un dominio web arrivi alla sua naturale scadenza – di solito la durata è di un anno dalla data di acquisto e deve essere rinnovata dietro pagamento di un ca- none –, per poi acquisirlo e provare a rivenderlo al precedente possessore che, di solito, ha tutto l’interesse a mantenere lo stesso indirizzo, così da essere raggiunto dai propri utenti su Internet. Per questo motivo, si sono sviluppati dei programmi in grado di indagare in Rete ed esaminare i registri web, alla ricerca di domi- ni in scadenza.

Negli Stati Uniti, dove i casi di furto di dominio sono tutt’altro che rari, il cybersquatting è regolato da una legge (Anticyber-

squatting Consumer Protection Act) approvata dal Congresso già

nel 1999 e che prevede pene pesanti per chi registra domini web riconducibili a marchi registrati con la sola intenzione di riven- dere quel dominio al proprietario del marchio stesso.

In Italia, i nomi a dominio sono soggetti sia alla disciplina sul diritto al nome (come tutelato dagli artt. 6, 7, 8 e 9 del codi- ce civile), sia alla disciplina dei marchi e dei segni distintivi del codice civile (artt. 2569 ss.) e del codice della proprietà industria- le. Con riferimento al codice civile, ciò vuol dire che Tizio può citare in giudizio Caio se quest’ultimo apre un sito col nome a dominio tizio.it, danneggiando in questo modo il vero Tizio. Con riferimento alla disciplina dei marchi e dei segni distintivi (codice civile e codice della proprietà industriale), ciò significa che il nome a dominio ha una sua propria valenza distintiva del- l’impresa che opera nel mercato e svolge anche una funzione pubblicistica. Di qui, l’equiparazione agli altri segni distintivi: “1. È vietato adottare come ditta, denominazione o ragione sociale, in- segna e nome a dominio di un sito usato nell’attività economica o di altro segno distintivo un segno uguale o simile all’altrui marchio se, a causa dell’identità o dell’affinità tra l’attività di impresa dei titolari di quei segni ed i prodotti o servizi per i quali il marchio è adottato, pos- sa determinarsi un rischio di confusione per il pubblico che può con- sistere anche in un rischio di associazione fra i due segni.
2. Il divieto di cui al comma 1 si estende all’adozione come ditta, denominazione o ragione sociale, insegna e nome a dominio di un sito usato nell’attività economica o di altro segno distintivo di un segno uguale o simile ad un marchio registrato per prodotti o servizi anche non affini, che goda nello Stato di rinomanza se l’uso del segno senza giusto motivo con-

sente di trarre indebitamente vantaggio dal carattere distintivo o dalla rinomanza del marchio o reca pregiudizio agli stessi” 13_.

Defacing: si tratta di quel fenomeno che in ambito informati-

co usa cambiare (de-facciare, ovvero sfigurare) illecitamente la home page di un sito web (la sua faccia, quindi), o modificarne, sostituendole, una, più o tutte le pagine interne. Com’è chiaro, tale pratica, vero e proprio atto vandalico, è attuata da persone non autorizzate – all’insaputa di chi gestisce il sito – per le mo- tivazioni più disparate (dalla dimostrazione di abilità a ragioni ideologiche, sino alle motivazioni economiche) e, di solito, sfrut- ta i bug presenti nel software di gestione del sito oppure nei siste- mi operativi sottostanti. Di rado, essa utilizza le tecniche di inge- gneria sociale, ma, in ogni caso, è una pratica illegale.

Come detto, le motivazioni possono essere le più varie, e quin- di il defacing può rappresentare: una sorta di ammonimento, co- sì da sottolineare al webmaster la vulnerabilità del sito; una simpatica burla alla quale si prestano soprattutto i giovani; un controllo occulto, svolto dalla polizia per sapere quanti utenti ac- cedono al sito, per identificarli e, qualche volta, per scoraggiarli, ad esempio facendo cadere la connessione dopo alcuni tentativi; una indiretta propaganda, svolta da chi cambia in parte o tutto il sito avversario, alfine di danneggiarlo e squalificarlo; un ricatto, e cioè, la minaccia di compiere reiterati defacing a scopo di estor- sione o altro; una truffa perpetrata da un cracker che, trasfor- mando la pagina in cui esiste un link per l’immissione di una car- ta di credito, reindirizza verso una pagina personale con l’intento di carpire le informazioni o anche prelevare denaro.

In Italia, il defacing si traduce in tre tipi di reato previsti dal codice penale, e cioè nei già citati accesso abusivo ad un sistema informatico (art. 615 ter), danneggiamento (art. 635 bis) e diffa- mazione (art. 595).

Pharming: il fenomeno rinvia alla tecnica usata per ottenere

l’accesso a informazioni personali e riservate, muovendo dalla circostanza che l’indirizzo di una pagina web nella forma alfanu- merica, digitato dall’utente nel proprio browser, è tradotto au- tomaticamente dai calcolatori in un indirizzo Ip numerico, che

serve al protocollo Ip per reperire nella Rete il percorso per rag- giungere il server web corrispondente a quel dominio.

A seconda di quale sia l’obiettivo (il Server DNS dell’Internet Service provider oppure il pc della vittima) le tecniche d’attacco sono diverse. Nella prima ipotesi, il cracker opera, con sofisticate tecniche di intrusione, delle variazioni modificando gli abbina- menti tra il dominio e il relativo indirizzo Ip. Accade così che gli utenti connessi a quel provider, pur digitando il corretto indirizzo URL, siano reindirizzati a loro insaputa ad un server apposita- mente predisposto per carpire le informazioni. Va da sé che que- sto server-trappola è reperibile all’indirizzo Ip inserito dal cracker e che il sito si presenta esteticamente del tutto simile a quello ve- ro. Nella seconda ipotesi, invece, il cracker opera, con l’ausilio di programmi (si pensi al Trojan horse) o tramite altro accesso di- retto, una variazione nel pc della vittima. Questo è possibile, ad esempio, nei sistemi Windows, modificando il file hosts presente nella directory C:\windows\system32\drivers\etc. Qui possono es- sere inseriti, o modificati, gli abbinamenti tra il dominio interes- sato e l’indirizzo Ip corrispondente. Accade così che la vittima che ha il file hosts modificato, pur digitando il corretto indirizzo URL, venga reindirizzata a sua insaputa verso un server appositamente predisposto per carpire le informazioni. Può, inoltre, accadere che, una volta modificati nel registro di sistema i server DNS pre- definiti, l’utente inconsapevolmente non utilizzi più i DNS del proprio Internet Service provider, bensì quelli del cracker, i cui abbinamenti (dominio-indirizzo Ip) sono stati manipolati.

Il pharming – quale pratica di clonazione delle pagine web – si traduce nel reato di frode informatica, di cui all’art. 640 ter c.p., che prevede che un soggetto, alterando in qualsiasi modo il funzionamento di un sistema informatico o telematico o inter- venendo senza diritto con qualsiasi modalità su dati, informa- zioni o programmi contenuti in un sistema informatico o tele- matico o ad esso pertinenti, procuri a sé o ad altri un ingiusto profitto con altrui danno. E qui, diversamente dalla truffa co- mune (ex art. 640 c.p.), non è necessario porre in essere artifici o raggiri, essendo sufficiente l’alterazione del sistema informa- tico con proprio profitto e altrui danno.

Phishing: il termine, ormai noto, indica l’uso di comunicazioni

sonali. Ad esempio, tramite e-mail, in apparenza proveniente dall’istituto di credito, si invita il destinatario a digitare i propri dati personali (numero di conto, codice di identificazione, ecc.), con la scusa di una verifica di sicurezza. In realtà, con quei co- dici, l’agente è in condizione di operare sul conto e, quindi, di effettuare operazioni e disposizioni patrimoniali di vario genere e a favore proprio o di altri.

Si tratta di un’attività illegale che sfrutta le tecniche in prece- denza dette di ingegneria sociale: oltre all’invio casuale di mes- saggi di posta elettronica, questa truffa può essere realizzata an- che mediante contatti telefonici o con l’invio di sms (short mes- sage system).

Di solito, l’e-mail invita il destinatario a cliccare un link, pre- sente nel messaggio, per evitare un addebito e/o per regolarizzare la sua posizione con l’ente o la società di cui il messaggio simula la grafica e l’impostazione.

Talvolta, l’e-mail contiene l’invito a cogliere una nuova oppor- tunità di lavoro, quale, ad esempio, quella di operatore finan- ziario. Così, fornendo le proprie coordinate bancarie, si riceve – a fronte di una certa percentuale – l’accredito di somme che do- vranno poi essere ritrasferite all’estero tramite sistemi di money trasfert. Com’è intuitivo, si tratta dell’attività di riciclaggio (pri- ma detta cyberlaundering) di denaro rubato con il phishing, at- tività questa di particolare interesse per il phisher, visto che, in tal modo, e cioè disperdendo il denaro già sottratto in molti conti correnti e ritrasferendolo in diversi Paesi, diventa quanto mai dif- ficile risalire all’autore, o agli autori, del reato, come pure rico- struire compiutamente il meccanismo illecito. A ciò si aggiunga che anche i tempi per la descrizione dei movimenti bancari pos- sono allungarsi di molto, spesso infatti serve una rogatoria e l’a- pertura di un procedimento in ogni Paese interessato.

Di tale fenomeno, si è occupato per la prima volta in Italia il Tribunale di Milano: la sentenza del 10 dicembre 2007 (confer- mata in Cassazione nel 2011) ha condannato i membri di una associazione transnazionale dedita alla commissione di reati di phishing; la sentenza del 29 ottobre 2008 ha condannato per ri- ciclaggio quei soggetti che – quali financial manager – si erano prestati alla attività di incasso e ri-trasferimento di denaro, frut- to del phishing a danno dei correntisti italiani.

Sniffing: come già detto all’inizio, si tratta dell’attività di in-

tercettazione dei dati che transitano in una Rete, che può avere sì degli scopi legittimi (ad esempio, l’analisi di problemi di comu- nicazione e/o l’individuazione di tentativi di intrusione), ma che qui rileva per i possibili scopi illeciti, quale l’intercettazione frau- dolenta di password o di altre informazioni sensibili.

Al di là delle diverse modalità (a secondo della Rete, ad esem- pio se Rete ethernet non-switched o ethernet switched) e delle va- rie funzionalità (intercettazione, memorizzazione, ordinamento e filtraggio dati, ecc.), lo sniffing pone diversi problemi, in gene- rale, rispetto alla privacy, in particolare, rispetto alle forme di ac- cesso e ascolto delle informazioni. Si consideri lo sniffing volto alla difesa del diritto d’autore. In questa ipotesi, infatti, l’acces- so avviene all’insaputa dell’utente a un computer di sua proprie- tà o ad una Rete che è proprietà di chi diffonde il software d’ac- cesso, ed invece per l’accesso e la perquisizione di un’abitazione o altra proprietà privata è richiesto un mandato della magistra- tura. Per di più, nelle indagini per violazioni del diritto d’au- tore, i dati forniti dall’Internet Service provider non identifica- no la persona, bensì l’utenza telefonica. E la mancata identifica- zione di chi commette materialmente il fatto esclude un nesso di causalità tra la connessione alla Rete peer-to-peer e la violazio- ne del copyright; in ogni caso non è una prova sufficiente per gli effetti penali previsti dalla legge poiché in ambito penale ser- ve un accertamento univoco e inequivocabile della persona e delle sue responsabilità.

Tra le prime decisioni in materia, è da segnalare l’ordinanza del Tribunale di Roma del 17 marzo 2008, nel caso Peppermint

e Techland. Come noto, la casa discografica tedesca e il produt-

tore di videogiochi polacchi si erano rivolti a una società svizze- ra specializzata in intercettazioni nelle reti peer-to-peer. Rileva- ti gli indirizzi Ip di quegli utenti che hanno scambiato file mu- sicali e giochi tramite le reti P2P, le società ottengono dai pro- vider italiani i nominativi corrispondenti, al fine di ottenere un risarcimento del danno per la violazione del diritto d’autore. Il Tribunale di Roma rigetta le richieste di procedere, affermando che le società non hanno alcun diritto di accedere ai dati perso- nali degli intercettati e che, quindi, i nominativi raccolti sono privi di valore probatorio, e non possono essere utilizzati in tri- bunale.

Anche il Garante per la privacy è intervenuto sul medesimo caso, con un provvedimento del 13 marzo 2008, affermando l’il- liceità del trattamento dei dati personali, poiché

“la direttiva europea sulle comunicazioni elettroniche vieta ai privati di poter effettuare monitoraggi, ossia trattamenti di dati massivi, capillari e prolungati nei riguardi di un numero elevato di soggetti. È stato, poi, vio- lato il principio di finalità: le reti P2P sono finalizzate allo scambio tra utenti di dati e file per scopi personali. L’utilizzo dei dati dell’utente può avvenire, dunque, soltanto per queste finalità e non per scopi ulteriori quali quelli perseguiti dalle società Peppermint e Techland (cioè il moni- toraggio e la ricerca di dati per la richiesta di un risarcimento del dan- no). Infine non sono stati rispettati i principi di trasparenza e correttez- za, perché i dati sono stati raccolti ad insaputa sia degli interessati sia di abbonati che non erano necessariamente coinvolti nello scambio di file”.

Spoofing: un fenomeno questo che è solito sfruttare le comu-

nicazioni elettroniche sotto la forma di richieste d’aiuto. I desti- natari della richiesta sono generalmente amici e conoscenti del- la vittima del furto di identità, i cui indirizzi sono ripresi dalla sua mailing list.

Come già detto, il furto di identità digitale 14 _{è stato introdot-}

14 _{Che in mancanza di una fattispecie incriminatrice specifica è stato ri-}

condotto dalla Cassazione nell’ambito del reato di cui all’art. 494 c.p.: “chiun- que, al fine di procurare a sé o ad altri un vantaggio o di recare ad altri un danno, induce taluno in errore sostituendo illegittimamente la propria all’altrui persona, o attribuendo a sé o ad altri un falso nome o un falso stato ovvero una qualità a cui la legge attribuisce effetti giuridici, è punito se il fat- to non costituisce un altro delitto contro la fede pubblica, con la reclusione fino a un anno”. Secondo la Suprema Corte, la condotta di chi crea e utilizzi account o caselle di posta elettronica, servendosi dei dati anagrafici di un ter- zo soggetto, inconsapevole, è in grado di indurre in errore un’intera platea di utenti, i quali, convinti di interloquire con un soggetto, si troveranno ad inte- ragire, invece, con una persona diversa da quella che a loro viene fatta crede- re, integrando così la fattispecie di reato prevista dalla norma. La tutela offer- ta dall’art. 494 c.p., infatti, interviene in presenza di inganni relativi “alla vera essenza di una persona o alla sua identità o ai suoi attributi reali”, pertanto, laddove questi siano collocati in Rete, tale tutela può ben oltrepassare la ri- stretta cerchia di un destinatario specifico, estendendosi agli utenti dei rap- porti telematici (Cass. Pen. n. 46674/2007). Tale orientamento, e cioè l’ap- plicabilità dell’art. 494 c.p., è stato riconfermato più di recente sia nell’ipotesi di sostituzione di persona mediante chat line (Cass. Pen. n. 18826/2013) sia in quella in cui è creato un preciso profilo su un social network al quale è asso- ciata una immagine reale della persona offesa (Cass. Pen. n. 25774/2014).

to con la l. n. 119 del 2014, che ha modificato l’art. 640 ter c.p., con l’inserimento di un terzo comma che prevede la pena della re- clusione da due e sei anni e la multa da 600,00 euro a 3.000,00 euro nel caso in cui il fatto sia commesso mediante furto o inde- bito utilizzo dell’identità digitale in danno di uno o più soggetti.

Esistono diversi tipi di spoofing, quel che tuttavia li accomu- na è il fatto di far credere alla vittima qualcosa di diverso: l’in- formazione falsa può riguardare un indirizzo Mac, un indirizzo Ip, e molto altro ancora, comprese le tecniche di spoofing de-