c) I problemi di giurisdizione.

Come si accennava supra (para 4.1.c), nel cyberspazio, i tradizionali confini nazionali degli Stati, se vengono azzerati durante l'azione informatica posta in essere dal soggetto agente, riaffiorano successivamente, in tutta la loro problematicità, laddove si tenti di ricostruire il percorso a ritroso alla ricerca delle tracce digitali eventualmente lasciate dall’autore.

Di conseguenza, il più delle volte, gli investigatori che si imbattono in notizie di reati informatici (e correlative indagini) che presentano profili di “estraneità”235, si vedono costretti, di volta in volta, a richiedere agli Stati interessati, ai fini della ricerca della prova (digitale), una adeguata collaborazione tramite formali richieste di assistenza giudiziaria. Inoltre, accade assai di frequente che le stesse società che forniscono i servizi di comunicazione elettronica e che hanno i server in altri Stati, il più delle volte si dichiarino disposte ad una collaborazione che sia la più completa e celere possibile, salvo poi paventare e, successivamente, palesare non sempre chiari ostacoli giuridici promananti da normativa interne ai singoli Stati.

D’altra parte il Consiglio d'Europa, padre della Convenzione del 2001 sul cybercrime, già da tempo si è avventurato sui nuovi percorsi dettati dall'evoluzione tecnologica, affrontando i profili attinenti alla giurisdizione e alla necessità di una più stretta collaborazione con i fornitori di servizi di comunicazione elettronica quali unici detentori - molto spesso - delle evidenze informatiche utili ai fini investigativi. In tale nuova ottica l'imperativo categorico non è più quello dell'attuazione, bensì quello dell superamento e dell’ implementazione della Convenzione di Budapest236. Tornando al problema in precedenza adombrato, va aggiunto che, in relazione alla collaborazione da offrirsi da parte dai gestori dei servizi di comunicazione digitale, due sono le principali (contrapposte) impostazioni.

Da un lato, quella che privilegia il dato obiettivo del luogo di allocazione dei server interessati, spesso al di fuori degli Stati Membri dell'Unione Europea (è il caso assai frequente delle grandi corporation americane quali Google, Yahoo e Microsoft). Questa opinione dogmatica arriva a sostenere che, non essendoci server sul territorio

235

A volte poiché le società fornitrici del servizio di comunicazione elettronica hanno provveduto a registrarsi presso un paese estero, ovvero per la materiale dislocazione in un paese terzo dei loro server.

236

Fra i tanti si da qui atto, a scopo indicativo, di un importante documento elaborato nell’ambito del Consiglio d’Europa ed approvato ai margini della Octopus Interface – Cooperation against

Cybercrime, tenutasi a Strasburgo nell’aprile del 2008: “Guidelines for the cooperation between law enforcement and internet service providers against cyber crime” su cui cfr. para. 4.5.c) infra .

nazionale o comunque europeo, non potrebbero trovare applicazione le rispettive leggi nazionali (e comunitarie).

Di contro, si registra un’impostazione alternativa volta a ribadire - in linea con la giurisprudenza non solo comunitaria ma anche (come si vedrà infra) Statunitense - che ciò che conta è il luogo dove il servizio Web viene offerto, anche ai fini dell'applicazione della relativa legge.

La questione, fra l’altro – come si accennava in precedenza – ha un’accentuata rilevanza pratica prima ancora che giuridica. Si pensi, ad esempio, al fenomeno Skype o, più in generale, a tutti i sistemi di comunicazioni Voice over IP (VoIP) criptati. Lo stato dell'arte, come si è detto supra, consente agli investigatori - in fatto ed in diritto - di disporre con successo una intercettazione solamente quando è noto il luogo esatto dove si trova il computer dell'indagato: solo così sarà possibile interagire con esso, installando un trojan o eventualmente – ove non sia possibile accedere fisicamente al luogo ove si trova il computer - utilizzando tecniche di social

enginering237 al fine di implementare un’intercettazione ex art.266 bis c.p.p. non soltanto sul canale comunicativo telematico (cioè a valle) bensì sulle comunicazioni originate da, ovvero in transito per, il computer in uso al soggetto bersaglio dell’operazione di monitoraggio (a monte, quindi).

4.3.d) segue: l’intercettazione di caselle di posta elettronica.

237

Nel campo della sicurezza delle informazioni per ingegneria sociale (dall'inglese social engineering) si intende lo studio del comportamento individuale di una persona al fine di carpire informazioni. Questa tecnica è anche un metodo (improprio) di crittanalisi quando è usata su una persona che conosce la chiave crittografica di un sistema e viene usata anche dalla polizia. Un ingegnere sociale (social engineer) per definirsi tale deve saper fingere, sapere ingannare gli altri, in una parola saper mentire. Un social engineer è molto bravo a nascondere la propria identità, fingendosi un'altra persona: in tal modo egli riesce a ricavare informazioni che non potrebbe mai ottenere con la sua identità reale. Il social engineer comincia con il raccogliere informazioni sulla vittima per poi arrivare all'attacco vero e proprio. Durante la prima fase (che può richiedere anche alcune settimane di analisi), l'ingegnere cercherà di ricavare tutte le informazioni di cui necessita sul suo bersaglio: e- mail, recapiti telefonici, ecc. Superata questa fase, detta footprinting, l'ingegnere passerà alla fase successiva, cioè quella che gli permetterà di verificare se le informazioni che ha ricavato sono più o meno attendibili, anche telefonando all'azienda del bersaglio e chiedendo cortesemente di parlare con la vittima. La fase più importante, quella che determinerà il successo dell'attacco, è lo studio dello stile vocale della persona per la quale vuole spacciarsi (ad esempio cercando di evitare in tutti i modi l'utilizzo di espressioni dialettali e cercando di essere quanto più naturale possibile, sempre utilizzando un tono neutro e cortese). Molto spesso il social engineering viene utilizzato per ricavare informazioni su privati (phishing). Un esempio di azione di questo genere può essere una falsa e- mail, mandata da un aspirante ingegnere sociale fingendosi magari un amministratore di sistema, o un membro di qualche grosso ente. Vengono richiesti al malcapitato di turno nome utente e

password di un suo account, ad esempio quello di posta elettronica, con la scusa di fare dei controlli

sul database dell'azienda. Se la vittima cade nel tranello, il social engineer avrà ottenuto il suo obiettivo, ossia una breccia nel sistema della vittima. Tecniche sofisticate di “social engineering” che fanno ampio uso di strumenti informatici e, segnatamente, delle reti, sono: il crackeraggio; il

phishing; l’hackeraggio; il lamerage; lo script kiddie; la manipolazione; lo scam; il social Network Poisoning. Altre tecniche, meno sofisticate, ma ugualmente (empiricamente) sperimentate sono:

rovistare nella spazzatura in cerca di foglietti con appuntate delle password, o comunque in cerca di recapiti telefonici indirizzi, ecc; fare conoscenza con la vittima, fingendo di essere un incompetente informatico e chiedendo lumi all'esperto; spacciarsi per un addetto della compagnia che vende i programmi utilizzati, dicendo che è necessario installare una patch al sistema.

E’ noto come i più diffusi sistemi di posta elettronica siano offerti, a livello globale, da multinazionali americane. Le stesse, peraltro – per dire di ciò che accade non solo in Italia trattandosi, in realtà, di una questione dalla rilevanza mondiale - generano copiosi flussi di comunicazioni tra persone che, spesso, sono tutte presenti all’interno di un unico Stato diverso dagli Stati Uniti.

E’ in questo ambito che si verifica, sempre più spesso, quanto già prima indicato in relazione alla teoria che potremmo definire del "no server no law".

È infatti noto agli addetti ai lavori come, rispetto alle società di telecomunicazione nazionali, sia possibile richiedere - in esecuzione del provvedimento del Giudice che dispone l'intercettazione telematica - che la posta elettronica indirizzata alla e-mail intercettata venga reindirizzata ad un account appositamente creato dalla Polizia Giudiziaria: questo consente non solo un risparmio dei costi delle complessive operazioni di intercettazione238, ma anche soprattutto la possibilità di iniziarle in tempi ragionevolmente brevi (questione non di poco momento laddove sia addirittura in pericolo una vita umana).

Tuttavia, con riferimento a caselle di posta elettronica del tipo “@.com” questo meccanismo diventa spesso impossibile. infatti allorquando la Polizia Giudiziaria va a notificare ad esempio a Google o a Microsoft (entrambe aventi, quali filiali, una società di diritto italiano con sede in Milano) il decreto del Giudice che autorizza l'intercettazione, la tipica risposta che viene loro fornita suona più o meno in questi termini: "Spiacenti, i nostri server stanno in America.... quindi chiedete

l'intercettazione con una rogatoria!".

Singolare è il caso di Yahoo (società Statunitense avente però, una filiale di diritto italiano, con sede pure a Milano). Essa dispone di un software ad hoc – denominato

“Yahoo Account Management Tool” - che consente l'intercettazione delle caselle di

posta elettronica (ma con alcuni limiti, il tool infatti è accessibile da molteplici soggetti all’interno delle varie filiali europee di Yahoo con potenziale pregiudizio, quindi, alla riservatezza degli utenti e, di conseguenza, anche per le stesse indagini di polizia giudiziaria).

Ora, è interessante notare come sulla base del principio della “Net Citinzenship” (cittadinanza di rete), l’utente può scegliere (anche inconsapevolmente) - al momento della registrazione di una e-mail “@yahoo” – a quale legislazione sottoporre la sua casella di posta elettronica e solamente ove abbia scelto quella italiana (yahoo.it, anziché yahoo.com), il richiamato software ne consentirà l'intercettazione immediata ove necessaria ai fini investigativi ed autorizzata con provvedimento dell'Autorità Giudiziaria.

Analoghe considerazioni valgono relativamente ai dati prodotti dal traffico

telematico e più precisamente rispetto all’ordine di esibizione dei c.d. file di log (su cui si veda il para 4.1.f) supra).

238

Diversamente, occorrerebbe dapprima richiedere i tabulati telefonici del numero utilizzato per la connessione ad Internet (per verificare quale sia il gestore che la fornisce) e successivamente pianificare, d'intesa con il gestore, l'azione di collocamento delle c.d. sonde (tecnicamente necessarie per intercettare il traffico utile): nel complesso tali operazioni possono durare anche una intera settimana!

Nonostante la tendenza attuale sia nel senso della massima collaborazione possibile degli ISP (soprattutto da parte dei colossi americani delle comunicazioni) con le Autorità inquirenti dei diversi Stati, si continua tuttavia, ancor oggi, a registrare una

policy di difficile comprensione circa il fondamento giuridico in virtù della quale

vengono forniti i dati richiesti dalle Autorità solamente laddove l'IP interessato rientri nel range assegnato a Paesi Membri UE (diversamente, viene indicato la sola localizzazione dell'IP richiesto corredata dalla annotazione circa l'impossibilità di comunicare i relativi dati ad Autorità Giudiziarie diverse da quelle dello Stato interessato).