Netstrike, Denial of service (DOS) e Denial distribued of service (DDOS)

Con il termine si intende quella specie di attacchi che partendo da una serie di computer tende a bloccare il sito preso di mira bloccandone l'accesso mediante l'invio di una grande quantità di messaggi o di richieste.

Spesso vengono utilizzati, per la realizzazione dell'attacco, una serie di computer infattati in precedenza con gli strumenti analizzati in modo da nascondere la reale identità dell'autore dell'attacco.280

Parte 2

Accesso abusivo a un sistema informatico, art. 615 ter c.p.

2-1 La fattispecie penale

La fattispecie penale di accesso abusivo a un sistema informatico è stata introdotta nell'ordinamento giuridico italiano dall'art. 4 della legge 547/1993, trovando spazio all'interno del titolo XII del libro I del codice penale, subito dopo il reato di violazione di domicilio, sanzionato dall'art. 614 c.p. L'articolo recita: “Chiunque abusivamente si introduce in un sistema informatico o telematico protetto da misure di sicurezza ovvero vi si mantiene contro la volontà espressa o tacita di chi ha diritto di escluderlo, è punito con la reclusione fino a tre anni.”281

Secondo l’opinione della dottrina maggioritaria l’oggetto giuridico tutelato dalla norma è il c.d. domicilio informatico inteso come luogo ideale ove una persona esplica alcune facoltà intellettuali e manifesta la propria personalità, una sorta di espansione della mente del soggetto, con possibilità di escludere terzi non graditi. Secondo una linea di pensiero, il domicilio informatico dovrebbe essere oggetto di una maggior tutela rispetto al domicilio tradizionale, visto il carattere più “intimo” e personale. A conferma della natura mono-offensiva della norma in questione è la sua posizione all’interno del codice penale: l’art. 615 ter è collocato, infatti, tra i delitti contro la inviolabilità del domicilio, inteso come “espansione ideale dell’area di rispetto pertinente al soggetto interessato, garantito dall’art. 14 della

281F. LISI, G. MURANO, A. NUZZOLO, I reati informatici, MAGGIOLI EDITORE, 2004, cit. pg. 75

Costituzione e penalmente tutelata nei suoi aspetti più essenziali e tradizionali dagli artt. 614 e 615 del codice penale”, così come precisato dalla Relazione sul disegno di legge n. 2773, poi divenuta legge n. 547/93282_.

Altra parte della dottrina reputa che il reato in questione debba essere considerato plurioffensivo, ovvero che la condotta prevista dalla fattispecie aggredisca contemporaneamente beni giuridici diversi ed eterogenei. Nello specifico oggetto di offesa e di tutela penale sarà in primis il diritto alla riservatezza insieme a quello di protezione del domicilio informatico, per arrivare a diritti di carattere patrimoniale o a ledere interessi pubblici rilevanti, come quelli di carattere militare o relativi all’ordine pubblico e alla sicurezza.283

Il sostegno alla natura mono-offensiva del reato si può trovare, oltre nella collocazione sistematica della norma come analizzato prima, anche dalla giurisprudenza,284 _{che, unanime, sottolinea che per} l’integrazione della fattispecie non sia necessario che il soggetto agente prenda concretamente visione di dati o di informazioni riservate, essendo sufficiente il mero accesso in seguito alla violazione delle misure di sicurezza poste a difesa del sistema informatico. Nella costruzione letterale della norma il legislatore non ha operato alcun riferimento al titolare dei dati o alla natura dei dati presenti sul sistema informatico, rafforzando il convincimento che il legislatore non abbia inteso tutelare la privacy, ma, più esattamente, lo ius excludendi alios. Paradossalmente, infatti. la fattispecie potrà ritenersi integrata anche

282S. SBORDONI, Web, Libertà e Diritto, cit. pg.15.

283C. PECORELLA, Il diritto penale dell’informatica, CEDAM Editore, 2006, cit. pg. 359 e ss.

284A. C. AMATO MANGIAMELI, G. SARACENI, I reati informatici elementi di teoria generale e principali figure criminose, GIAPPICHELLI EDITORE, 2015, cit. pg. 49.

nel caso in cui il sistema dovesse risultare privo di dati sensibili, o, per assurdo, del tutto sprovvisto di dati285_.

Caratteristico di molti hackers è ottenere soddisfazione semplicemente per aver violato con dolo le misure di sicurezza di un sistema.

2-2 L'elemento oggettivo del reato

La norma in questione prende in considerazione due condotte: la prima è rappresentata dal vero e proprio accesso abusivo ad un sistema informatico o telematico, mentre la seconda è rappresentata dal mantenimento all'interno del sistema contro la volontà del titolare. La distinzione delle due condotte è dovuta all'esistenza della concreta possibilità che un soggetto acceda legittimamente a un sistema informatico o telematico, avendone avuto esplicita autorizzazione da parte del titolare, ma decida successivamente di trattenersi in maniera illecita.286

Nello specifico, la fattispecie penale in esame si ritiene integrata tutte le volte in cui un soggetto si trattiene all'interno di un sistema informatico o telematico oltre il limite temporale inizialmente stabilito dal titolare, oppure in quei casi in cui, pur rispettando il limite previsto, utilizzi il sistema per finalità diverse ed ulteriori a quelle per cui era stato permesso l'accesso, violando così un limite teleologico287_.

Per quanto riguarda il “tempus commissi delicti” bisognerà distinguere a seconda delle condotte previste dalla fattispecie: il vero e proprio accesso abusivo, che è un reato a consumazione instantanea, che si

285A. C. AMATO MANGIAMELI, G. SARACENI, cit. pg. 49.

286G. ZICCARDI, Informatica giuridica. Manuale Breve. Giuffrè editore, 2008, cit. pg. 261

perfeziona nel momento in cui il soggetto agente supera le misure di sicurezza e accede al sistema informatico o telematico, e il mantenimento all'interno del sistema. Più nello specifico, nell’ipotesi in cui il il soggetto agente violi un limite teleologico, adoperando il sistema per finalità ulteriori rispetto a quelle per cui era stato autorizzato l’accesso inizialmente, saremo di fronte a un reato a consumazione instantanea, mentre, nel caso in cui il reo dovesse decidere di trattenersi all’interno del sistema, il reato in questione sarà di tipo permanente. Con reato permanente si intende quella tipologia di reati che devono ritenersi integrati e consumati nel momento in cui il soggetto agente interrompe l’azione criminosa, e nel caso dell’art. 615 ter c.p., uscendo dal sistema informatico o telematico di sua volontà o per l’intervento di terzi. Nei reati permanenti, infatti, acquista rilevanza giuridica non solo la condotta criminosa del soggetto agente che realizza la lesione del bene ma anche e soprattutto quella successiva di mantenimento. Tale reato cessa nel momento in cui il reo mette fine alla sua condotta volontaria di mantenimento dello stato antigiuridico. L’oggetto materiale del reato può essere tanto un sistema informatico quanto un sistema telematico. Per sistema informatico si intende l’hardware, quindi gli elementi fisici che compongono l’elaboratore, il software e gli apparati che permettono di immettere dati ed informazioni o di estrapolarli. Con l’espressione sistema telematico si definisce una serie di componenti informatici collegati tra di loro attraverso tecnologie di comunicazione. 288

L’elemento soggettivo del reato è rappresentato dal dolo generico, ossia dalla coscienza e dalla volontà del soggetto agente di accedere abusivamente a un sistema informatico o telematico munito di misure

di sicurezza, non rilevandone il movente dell’accesso o le finalità che il reo intende perseguire289_.

2-3 Le misure di sicurezza a protezione del sistema informatico

Uno degli aspetti più importanti e centrali nell’analisi della fattispecie prevista dall’art. 615 ter c.p. è sicuramente quello in merito alle misure di sicurezza a protezione del sistema informatico.

La norma, infatti, subordina la rilevanza penale dell’accesso alla violazione delle misure di sicurezza; non sarà punito il semplice accesso non autorizzato, ma bensì l’accesso abusivo, ottenuto violando le misure difensive poste dal titolare del sistema. Per questo il reato in esame dovrà essere considerato come un reato a forma vincolata, difatti l’accesso a un sistema privo di misure di sicurezza non sarà punibile.290

Come sottolineato da parte della dottrina, il legislatore non ha voluto definire tecnicamente il concetto di misure di sicurezza, lasciando l’utente libero di disporre i mezzi che ritenga più adatti a proteggere il proprio domicilio informatico, consentendo così anche l’adeguamento del concetto misure di sicurezza all’evoluzione tecnologica.291

L’utilizzo del plurale nell’espressione misure di sicurezza, secondo dottrina e giurisprudenza, non deve essere preso alla lettera, rappresentando solamente un collegamento grammaticale. La fattispecie, quindi, dovrà ritenersi integrata anche nel caso in cui venga violata una sola misura di sicurezza, non rilevando né il numero né la qualità o complessità delle difese adottate dal titolare del sistema. La

289A. C. AMATO MANGIAMELI, G. SARACENI, cit. pg. 51 290A. C. AMATO MANGIAMELI, G. SARACENI, cit. pg. 50 291G. ZICCARDI, cit. pg. 262

fattispecie non richiede difatti un determinato coefficiente di efficacia delle misure di sicurezza, né fornisce alcun parametro tecnico per valutarne l’efficienza292_{. Sarà rilevante il fatto che il titolare abbia} dotato il sistema di almeno una misura di sicurezza e che la presenza di questa barriera potesse essere percepita all’esterno. La misura di sicurezza acquista valore simbolico, perché, grazie ad essa, il titolare manifesta la volontà di proteggere il proprio domicilio, escludendone l’accesso agli estranei.293

Le misure di sicurezza possono essere divise in due grandi categorie: digitali e non digitali. Le prime possono essere a loro volta divise in misure di sicurezza software, come una password d’accesso o un firewall, e misure di sicurezza hardware, quali firme con badge o un sistema per il riconoscimento biometrico. Le seconde possono essere adibite a proteggere il sistema, o i locali in cui è situato, nella sua estrinseca materialità. La configurabilità delle misure di sicurezza non digitali per l’integrazione del reato è stata oggetto di ampi dibattiti fra dottrina e giurisprudenza in materia: secondo il recente orientamento della Corte di Cassazione, il reato è da ritenersi integrato anche quando l’accesso al sistema informatico sia avvenuto forzando misure di sicurezza non digitali, quali, per esempio, la porta della stanza nella quale si trovava il sistema. Parte della dottrina segue un orientamento più restrittivo, facendo riferimento alle sole misure di sicurezza digitali poste a sicurezza del sistema informatico.294

La distinzione fra i due tipi di misure di sicurezza è utile anche per analizzare la configurabilità del tentativo: tale figura sarà senza dubbio ipotizzabile nel caso in cui l’agente provi a violare una misura di

292Sarà sufficiente anche la predisposizione di accorgimenti tecnici, informatici o logici anche inefficaci o non conformi al livello minimo inderogabile di protezione prescritto dall’art. 33 del d.lgs 196/2003.

293G. ZICCARDI, cit. pg. 262

sicurezza informatica, azione senza dubbio rispettosa dei requisiti di idoneità e non equivocità dell’azione richiesti dall’art. 56 c.p.; differentemente, sarà difficile ipotizzare un tentativo nel caso di violazione di una misura di sicurezza non informatica, in quanto sarà difficile stabile se il soggetto agente, per esempio, scassinando la porta d’accesso ai locali in cui era custodito il sistema informatico, abbia effettivamente voluto accedere successivamente al sistema, difettando dei requisiti previsti dall’art. 56 c.p.

Secondo un'altra corrente di pensiero, il tentativo, in caso di violazione di misure di sicurezza non informatiche, sarà ugualmente configurabile e in concorso con il reato di violazione di domicilio previsto dall’art. 614 c.p.295

2-4 Il problema del locus commissi delicti e la sua evoluzione giurisprudenziale

L’identificazione del locus commissi delicti e la conseguente individuazione del giudice competente a giudicare il reato, in rispetto del principio del giudice naturale previsto dall’art. 25 Cost., è stato fra gli aspetti che hanno generato più discussioni fra dottrina e giurisprudenza. Il criterio di identificazione del luogo in cui è stato commesso il reato ha, infatti, subito una serie di capovolgimenti giurisprudenziali, di cui l’ultima risalente a maggio 2015.296

La prima sentenza in materia è la n. 40303/13, nella quale la Suprema Corte ha inizialmente fissato il principio per il quale il locus commissi

295A. C. AMATO MANGIAMELI, G. SARACENI, cit. pg. 50

296M. BELLACOSA, Il luogo di consumazione del delitto di accesso abusivo a un sistema informatico o telematico: in attesa delle sezioni unite, Diritto Penale Contemporaneo, 2015