NUOVE PROBLEMATICHE DELLE INTERCETTAZIONI NEL CONTESTO DELLA TECNOLOGIA DIGITALE

UNIVERSITÀ DI PISA

DIPARTIMENTO DI GIURISPRUDENZA

Corso di Laurea Magistrale in Giurisprudenza

Tesi di

Laurea

NUOVE PROBLEMATICHE DELLE

INTERCETTAZIONI NEL CONTESTO DELLA

TECNOLOGIA DIGITALE

Il relatore:

Chiar.mo Prof. Enrico MARZADURI

Il candidato:

Vittoria DE IULIIS

Indice sommario

Introduzione: Processo penale e tecnologia digitale……….IV

Capitolo I

INTERCETTAZIONI, TECNOLOGIA E GARANZIE DI LIBERTÀ: PROFILI COSTITUZIONALI E COMUNITARI.

1.1. Princìpi costituzionali sulla segretezza ed inviolabilità delle comunicazioni………1 1.2.1. Dubbi di legittimità costituzionalità nel Codice Rocco: la sentenza 34/1973 della Corte Costituzionale………...6

1.2.2. Legittimità costituzionale sulla normativa vigente…………12 1.3. Fonti sovranazionali……….16

Capitolo II

L’INFORMATICA NEL SISTEMA PENALE: PROFILI

SOSTANZIALI E RELATIVE PROBLEMATICHE.

2.1. Introduzione: l’informatica come protagonista delle comunicazioni, inquadramento nell’ordinamento penale nazionale ed europeo……….25 2.2. Il Cybercrime………..29

2.2.3. Sicurezza informatica, cyberterrorismo e cyberwarfare…..36 2.3 Le fonti: dalla L. 23 dicembre 1993 n.547 alla Convenzione del Consiglio d'Europa sulla criminalità informatica, fatta a Budapest il 23 novembre 2001, ratificata con Legge 18 marzo 2008, n. 48…………45

Capitolo III

LE CONSEGUENZE PROCESSUALI DELLA PROVA DIGITALE

3.1 La prova digitale e la cd. Digital Forensics………..62

3.1.2. Le fasi della Digital Forensics e la disciplina della Data Retention……….68

3.2. Informatica e indagini preliminari………...83

3.3 Informatica e dibattimento………..92

Capitolo IV

4.2. La disciplina italiana: inscrizione nella disciplina delle intercettazioni………99

4.3 Le Sezioni Unite e il c.d. Trojan………..115

4.4. Progetti normativi in fieri………121

BIBLIOGRAFIA……….130

Introduzione

PROCESSO PENALE E TECNOLOGIA DIGITALE

L’ingresso della tecnologia digitale nel processo penale rappresenta ormai un dato di fatto ineludibile, ma assai problematico per il giurista: quel che offre oggi la scienza informatica apre, infatti, una serie di scenari le cui implicazioni giuridiche attendono ancora di essere definite.

La sola “certezza” dell’interprete al riguardo risiede unicamente nella circostanza che “deve” occuparsene con maggior scrupolo, se si vuole, poiché il diritto positivo annovera gli strumenti informatici tra gli unici “mezzi di ricerca delle prove” sottratti al principio generale del male captum bene retentum, cui, al contrario, rimane invece assoggettato il sistema degli altri mezzi di acquisizione delle prove contemplati dal codice di rito.

Lo scrupolo esegetico si impone poi perché lo strumento informatico di ricerca della prova (c.d. captatore informatico, in gergo Trojan), calato nel contesto delle investigazioni penali ha

un ambito operativo potenzialmente illimitato e in taluni casi non disciplinato dal diritto positivo, ma da un diritto giurisprudenziale o “vivente”.1, da subito foriero di censure da parte dei “pratici”, per le incertezze applicative.

Il captatore informatico, secondo la Suprema Corte è sì legittimo, ma sotto il profilo operativo, stante la sua diffusività non è possibile limitarne gli ambiti e gli spazi, sicché solo a posteriori potrà essere verificato se siano stati violati gli ambiti oggettivi e soggettivi legislativamente preclusi. La verifica di legittimità, necessariamente ex post, del suo impiego, invece di intervenire a garanzia dei diritti in via prioritaria, si presta ad una utilizzazione indiscriminata dello strumento che rende incerta la verifica di legittimità della stessa.2

La tecnologia si impone anche sul risultato di quanto si possa

1 _{Cass., ss. uu., 26.4.2016, n. 26889, in Cass. Pen. 2016, 10, 3546 nota di} W.NOCERINO, Le Sezioni Unite risolvono l’enigma: utilizzabilità del captatore

informatico nel processo penale; ivi, 11, 4139, nota di F. CAJANI, Odissea del captatore informatico – Trojan’s Odissy); Foro it. 2016, 9, II, 491, nota s.t. di

P.DI STEFANO); Guida al diritto 2016, 34, 76, nota di G. AMATO, Reati di criminalitàorganizzata: possibile intercettare conversazioni o comunicazioni con un

captatore informatico.

2 _{In al senso le critiche a Cass., ss. uu., 26.4. 2016 (nt. 1), da parte della} Giunta Unione delle Camere Penali Italiane, 4 maggio 2016, in ucpi.it

tecnicamente captare: il materiale digitale. Anche una comunicazione, al giorno d’oggi può essere considerata “materiale digitale”3, senza trascurare che oltre al metodo di comunicazione è mutata anche la forma di essa. Gli stessi fatti previsti come reati sono cambiati nelle modalità di attuazione se si pensa che l’autore possa essersi servito solo di una strumentazione informatica e una connessione a internet. È lecito quindi domandarsi quale sia la risposta dell’ordinamento ai quesiti che l’informatica lascia irrisolti.

3 _{Se la comunicazione avviene tramite sistema Voice over IP (Voce}

tramite protocollo Internet)

http://www.garzantilinguistica.it/ricerca/?q=VoIP, accesso in data 3.3.2017

Capitolo I

INTERCETTAZIONI, TECNOLOGIA E GARANZIE

DI LIBERTÀ: PROFILI COSTITUZIONALI E

COMUNITARI.

SOMMARIO: 1. Princìpi costituzionali sulla

segretezza ed inviolabilità delle comunicazioni.1.2.1. Dubbi di legittimità costituzionalità nel Codice Rocco: la sentenza 34/1973 della Corte Costituzionale. 1.2.2. Legittimità costituzionale sulla normativa vigente. 1.3. Fonti sovranazionali.

1.1. Princìpi costituzionali sulla segretezza ed inviolabilità delle comunicazioni.

L’articolo 15 Cost., com’ è noto, sancisce il diritto involabile alla libertà di corrispondenza o di ogni altra forma di comunicazione che si differenzia per peculiari caratteri di specialità dagli altri diritti costituzionali fondamentali inerenti alla libertà personale (art. 13 Cost.) e al domicilio (art. 14 Cost.).

L’art. 15 Cost. presenta, infatti, la cd. doppia riserva, di legge e di giurisdizione, la prima è a sua volta da ritenersi “assoluta”,

perché riguardante i diritti inviolabili, e “semplice”, poiché legge determina garanzie che il giudice deve rispettare nel procedere nell'emanazione dell'atto limitativo. Per quanto concerne la riserva di giurisdizione, essa può ritenersi assoluta in quanto esclude la possibilità di giustificare l’esercizio di poteri preventivi dell’autorità di pubblica sicurezza alla stregua di quanto è invece previsto dagli artt. 13 e 141.

La legittima compressione di questi ultimi può infatti avvenire anche senza provvedimento autorizzatorio dell’autorità giudiziaria nei casi di “necessità e urgenza”; la limitazione della libertà di corrispondenza non può invece essere mai limitata senza la preventiva autorizzazione del magistrato ed esclusivamente nei casi previsti dalla legge.

Sin dai primi progetti della Costituente si può notare come il problema dell’interferenza nelle comunicazioni private fosse fortemente avvertito dalle sottocommissioni di redazione della

1 _{C. PANNACCIULLI, Profili costituzionali delle intercettazioni di comunicazioni tra}

inadeguatezza del legislatore e discrezionalità del giudice in AIC n°3/2012, pubblicato il

Carta Costituzionale. In particolare la stesura dell’attuale art. 15 Cost. ha subito numerose discussioni durante i lavori preparatori2. Si può osservare come, all’art. 8 del Progetto del Primo Comitato di redazione, la libertà personale, la libertà di domicilio e il controllo della corrispondenza erano disciplinati in un unico articolo, ponendo così sullo stesso piano questi tre diritti, autorizzando le forze di polizia ad intervenire in casi di necessità e urgenza per poi comunicarlo all’autorità giudiziaria entro quarantotto ore.3

2 _{Costituzione della Repubblica Italiana illustrata con i lavori preparatori} Vittorio Falzone, Filippo Palermo, Francesco Cosentino del segretariato generale della Camera dei Deputati; Adunanze plenarie del 24/1/1947 e del 23/3/1947.

3 _{La formulazione dell’art. 8 del Progetto di Costituzione, I sottocommissione,} comitato di Redazione, discusso e approvato nella seduta del 10 aprile 1947, era inizialmente: La libertà personale è inviolabile.

Non è ammessa forma alcuna di detenzione, di ispezione e perquisizione personale o del domicilio, di sequestro e controllo della corrispondenza, né qualsiasi altra restrizione della libertà, se non per atto dell’autorità giudiziaria e nei soli casi e modi previsti dalla legge. In casi eccezionali di necessità e urgenza, indicati tassativamente dalla legge, la polizia può prendere misure provvisorie di sicurezza, che devono essere comunicate entro quarantotto ore all’autorità giudiziaria; e se questa non la convalida nei termini di legge, sono revocate e restano prive di ogni effetto.

E’ punita ogni violenza fisica e morale a danno delle persone comunque sottoposte a restrizioni di libertà.

Successivamente, la Commissione dei Settantacinque volle dedicare un articolo a ciascuna delle tre inviolabilità e, per l'ultima, approvò una formulazione normativamente diversa dalle altre due, in quanto non contemplava l'autorizzazione ai «provvedimenti provvisori» di polizia nei casi di necessità e di urgenza4_.

Alla luce dei lavori preparatori sembra potersi escludere che si sia voluto stabilire nella Costituzione un divieto per il legislatore alla parificazione delle tre classiche inviolabilità ai fini dei provvedimenti provvisori adottabili dalle autorità di pubblica sicurezza con le garanzie di cui al terzo comma dell'art. 13. Comunque l'articolo in esame riguarda la «libertà» e la «segretezza» della corrispondenza e di ogni altra forma di

4 _{L’art. 9, del progetto, redatto dalla Commissione dei Settantacinque recita: “La}

libertà e la segretezza di corrispondenza e di ogni forma di comunicazione sono garantite. La loro limitazione può avvenire soltanto per atto motivato dell'autorità̀ giudiziaria, nei casi stabiliti dalla legge.”

comunicazione5. La decisione di isolare in un'unica norma le garanzie e i diritti sulle forme di comunicazione è anche dovuta alla memoria degli abusi commessi durante il fascismo, cosicché il disposto dell’art. 15 Cost. costituisca uno dei diritti più forti dell’ordinamento in modo da precludere interventi limitativi da parte della polizia giudiziaria6_.

A ciò si aggiunga la considerazione che la limitazione della libertà di corrispondenza e della relativa segretezza, non solo restringe i diritti e le garanzie dell’indagato, ma va a incidere anche sulla libertà di corrispondenza di soggetti terzi (ad esempio, familiari o interlocutori occasionali). In tal senso parte di dottrina ha definito le intercettazioni un espediente “odioso” e “inevitabilmente ingiusto”, perché nel nostro ordinamento si

5 Come ebbe rilevato l'on. Condorelli, può̀ considerarsi implicitamente ammesso il sequestro della corrispondenza in occasione di ispezioni e perquisizioni personali o domiciliari legalmente eseguite. Per la lettura della corrispondenza sequestrata occorrerà̀ l'autorizzazione motivata dell'autorità giudiziaria, se il legislatore riterrà̀ di non ammettere i «provvedimenti provvisori». Cfr. nota 2.

esclude che una confessione possa essere estrapolata coattivamente proprio a causa del principio “nemo tenetur se detegere”, mentre il modus operandi delle captazioni di comunicazioni va spesso nella direzione di cercare dichiarazioni autoaccusatorie7.

Tanto impone una preventiva disamina della portata dei diritti costituzionali appena citati, onde conseguire una meno imprecisa valutazione delle norme processuali interessate dal presente lavoro.

1.2.2. Dubbi di legittimità costituzionalità nel Codice Rocco: la sentenza n. 34/1973 della Corte Costituzionale.

La disciplina delle intercettazioni ha sempre destato sospetti di legittimità costituzionale, soprattutto con riguardo all’art. 226, ultimo comma, codice previgente (d’ora innanzi c.p.p. 1930) che nella fase degli atti preliminari dell'istruttoria, riconosceva agli ufficiali di polizia giudiziaria, la facoltà di accedere agli uffici o impianti di pubblico servizio per trasmettere comunicazioni o

7 _{V. nota6,1.}

assumere informazioni.

La norma sopra richiamata fu ritenuta in conflitto con l’art. 15 Cost., ma la Corte Costituzionale con una storica sentenza8 del 19739 _{respinse l’eccezione di illegittimità dell’ultimo comma}

dell’art. 226 cit., limitandosi a fissare le garanzie minime per effettuare le intercettazioni (in allora solo telefoniche) conformemente al dettato costituzionale.

La Corte pose in rilievo che nel precetto costituzionale erano – e lo sono tutt’ora – protetti due distinti interessi: il primo riguardante la libertà e la segretezza nelle comunicazioni, l’altro, l’esigenza di prevenire e reprimere i reati: sotto tale ultimo profilo, la Corte rilevò che l’art. 226 c.p.p. 1930, era stato già riformato nel 195510, proprio per armonizzarlo con l’art. 15

8 _{Corte Cost., 4.4.1973, n. 34, in Giur. cost., 1973, 316, nota di V. GREVI,}

Insegnamenti, moniti e silenzi della Corte Costituzionale in tema di intercettazioni telefoniche.

9 _{Occorre contestualizzare il delicato momento storico: in quegli anni vi fu} particolare sensibilità sul tema della segretezza delle comunicazioni con riguardo al caso “S.I.F.A.R.”

10 _{Prima della L. 18 giugno 1955, n. 517 il terzo comma dell’art. 226 era del} seguente tenore: “Gli ufficiali di polizia giudiziaria, per i fini del loro servizio, possono anche accedere agli uffici o impianti telefonici di pubblico servizio per

Cost.11.

Per quanto concerne le garanzie minime fissate dai giudici costituzionali, il rispetto del precetto recato dall’art. 15 non solo trovava raffronto nell’obbligo di motivazione del decreto di autorizzazione dell’autorità giudiziaria, ma in primo luogo erano richieste anche le garanzie che attengono alla predisposizione materiale dei servizi tecnici necessari, al fine di esercitare un controllo necessario ad assicurare l’utilizzazione delle intercettazioni unicamente nei casi autorizzati dalla legge; in secondo luogo l’attuazione delle garanzie di ordine giuridico che riguardavano il controllo sulla legittimità del decreto di autorizzazione e i limiti entro i quali il materiale raccolto poteva essere utilizzato.

trasmettere, intercettare o impedire comunicazioni, prenderne cognizione o assumere altre informazioni”.

11 _{Con lo stesso art. 7 L. 18 giugno 1955, n. 517, era stato introdotto un quarto} comma, così formulato: “Per intercettare o impedire comunicazioni telefoniche o prenderne cognizione gli ufficiali di polizia giudiziaria devono munirsi di autorizzazione dell’autorità giudiziaria più vicina, che la concede con decreto motivato.”. Tale quarto ultimo comma è stato abrogato dall’art. 5 L. 8 aprile 1974 n. 98, in conseguenza dell’introduzione degli artt. 226 bis, 226 ter, 226 quater e 266 quinquies.

Motivava la Corte evidenziando il

principio secondo il quale attività compiute in dispregio dei fondamentali diritti del cittadino non possono essere assunte di per sé a giustificazione ed a fondamento di atti processuali a carico di chi quelle attività costituzionalmente illegittime abbia subito” ed aggiungeva che “l’ordinamento processuale non contiene e specificatamente in ordine alle intercettazioni illegittime, alcuna norma che ostacoli o menomi l’effettiva vigenza di questo principio.

L’anno successivo all’emanazione della sentenza ora richiamata, con la L. 8 aprile 1974 ,n. 98, vennero introdotti nel c.p.p. 1930 gli artt. 226 bis, 226 ter, 226 quater e 226 quinquies, che informati dei principi fissati dalla Consulta l’anno precedente, dettavano regole precise sull’acquisizione, autorizzazione, esecuzione e divieti in materia di intercettazioni.

L’analisi di tali nuove norme portò autorevole dottrina12, con riguardo in particolare all’art. 226 quinquies c.p.p. 1930, a sostenere la legittima utilizzabilità delle informazioni acquisite

mediante strumenti di registrazione audiovisive, laddove fossero state ottenute mediante riprese svolte al di fuori del domicilio in senso stretto. In altri termini sarebbero state lecite le riprese audiovisive avvenute in luoghi che permettono “l’accesso” dell’esterno, cioè la possibilità di vedere fatti e situazioni al di fuori del perimetro domiciliare senza alcuna violazione dello stesso. A sostegno di questa tesi deponeva l’avverbio “indebitamente”, recato dall’art. 615 bis primo comma, che implica la legittimità di riprese audiovisive con “visuale libera”, senza che ciò comporti una illecita intrusione nel perimetro domiciliare.

Con la riforma dell’anno successivo alla sentenza era stato introdotto nel cpp 1930 l’art. 226-bis13 che predeterminava precise categorie di reati al di fuori delle quali il magistrato non avrebbe potuto autorizzarle. Questa impostazione normativa con il relativo “katalog” è stata confermata nell’omologo art. 266 c.p.p. attuale.

13 _{Inserito nel c.p.p. 1930 dall’art. 5, l . 8 aprile 1974, n. 98, Tutela della riservatezza}

La dottrina più attenta non ha mancato di rilevare come il legislatore per essere perfettamente coerente con il dettato costituzionale debba imporre altresì al magistrato un valutazione “qualitativa” dell’utilizzazione di questo mezzo di ricerca della prova, “grazie al quale possono essere apprezzate le peculiarità dell’imputazione nella prospettiva della maggiore o minore utilità delle intercettazione per il relativo accertamento probatorio” 14_{.Se la normativa attuale, mediante l’individuazione}

di categorie specifiche di reati di maggiore allarme sociale, sembra aver superato problemi di costituzionalità inerenti all’esigenza di proporzione fra lo strumento investigativo e le finalità specifiche dell’ indagine, non pare avere tuttavia risolto il “problema della delimitazione dei soggetti passivi di un’intercettazione.[…] Pervero, se il giudice, è chiamato a motivare” sul requisito dell’assoluta indispensabilità del mezzo di ricerca della prova ai fini della prosecuzione delle indagini, egli “non potrà non prendere in considerazione il rapporto tra il

14 _{Cfr. E.MARZADURI,“Relazione”, in Associazione tra gli studiosi del processo} pennale, Le intercettazioni di conversazioni e comunicazioni, Atti del Convegno Milano, 5-7 ottobre 2007, Milano 2009, 255.

titolare dell’utenza intercettata ed i contenuti dell’attività investigativa, per giustificare il coinvolgimento di chi non è raggiunto da indizi di colpevolezza”15A questi problemi si affianca quello del vero e proprio vuoto normativo inerente alla questione dell’ingerenza audiovisiva nell’altrui domicilio: persiste, come avremo modo di approfondire infra, un assai problematico quid iuris ove tale ingerenza avvenga in ambito processuale avvalendosi di dotazioni informatiche di ultima generazione.

1.2.3. Legittimità costituzionale sulla normativa vigente

L’entrata in vigore delle norme del Nuovo codice non ha escluso i dubbi di costituzionalità in materia di intercettazioni, giacché a partire dai primi anni novanta furono rimesse alla Consulta diverse questioni, poi ritenute infondate.

La Corte costituzionale è stata chiamata a pronunciarsi nell’ambito delle intercettazioni16 in ordine a regole sulla

15 _{MARZADURI, nota 14, 260.}

16 _{G. M. FLICK, “La giurisprudenza
della corte costituzionale nell’ultimo} decennio in tema di intercettazioni” in Elaborazione per l’incontro di studio
fra la

localizzazione degli impianti utilizzabili per l’esecuzione delle operazioni di intercettazione17_{; intercettazioni ambientali}18_{, in}

particolare, all’interno di abitazioni o altri luoghi di privata dimora19 _{e riprese visive}20 _{(c.d. videoregistrazioni) finalizzate}

all’accertamento e alla repressione dei reati dove occorrerà soffermarsi data l’attinenza con problematiche attuali.

I temi delle ultime due pronunce, ancorché risalenti nel tempo, sono significativi, poiché le delicate questioni trattate si ripropongono anche con riguardo alle intercettazioni telematiche, posto che a mutare sono i mezzi tecnici, ma le garanzie e le tutele costituzionalmente garantite rimangono le medesime.

Per quanto riguarda il profilo delle intercettazioni ambientali all’interno di abitazioni private, occorre precisare che nel nostro

corte costituzionale italiana ed i tribunali costituzionali di spagna e portogallo, Lisbona,

1-4 ottobre 2006, www.cortecostituzionale.it consultato il 31/10/2016. 17 _{Corte Cost. ord. n. 304 del 2000, n. 259 del 2001, n. 209 e n. 433 del 2004.} 18 _{Corte Cost. ord. n. 472 del 2002, ord. n. 472 del 2002.}

19 _{Corte Cost. ord. n. 304 del 2000 e n. 251 del 2004.} 20 _{Corte Cost. sent. n. 135 del 2002.}

ordinamento, ex art. 266, secondo comma c. p. p. , ne è consentita l’intrusione solo se all’interno delle abitazioni private vi è fondato sospetto che lì si stia consumando un’attività criminosa. Questa tipologia di intercettazione, secondo quanto ritenuto dai giudici a quibus, confliggerebbe con quanto disposto dagli artt. 14 e 15 e sotto un duplice profilo. In primo luogo, è bene precisare che l’inserimento delle microspie atte a captare conversazioni, è operato di regola dalla polizia giudiziaria, che per introdurre dette apparecchiature deve necessariamente introdursi all’interno del domicilio altrui, all’insaputa di chi vi dimora. In secondo luogo, anche qualora non vi sia l’intrusione fisica, il diritto di libertà di domicilio verrebbe parimenti violato con la consegna di determinati oggetti a mezzo posta contenenti subdolamente celate apparecchiature idonee all’ascolto.

Quel che viene in rilievo è come le predette libertà debbano venire estese non soltanto al perimetro domiciliare in senso

stretto21, ma anche in senso più ampio: l’individuo ha il diritto di opporsi qualora terzi pongano in essere comportamenti atti a prendere cognizione visiva o sonora di quanto accada nella sfera intima domiciliare22_.

Seguendo tale impostazione, le intercettazioni ambientali ricadrebbero sempre nel raggio di tutela degli artt. 14 e 15. Il dubbio di costituzionalità nascerebbe dal fatto che la normativa disciplina solo i casi e non i modi in cui l’intercettazione debba essere effettuata, e avuto riguardo alla lettera della norma, effettivamente manca un’indicazione espressa sulle modalità di captazione.

Ad oggi non vi è stata pronuncia nel merito, poiché quando investita, la Corte ritenne che le questioni erano manifestamente infondate23_.

21 _{Cit. “Inteso come diritto all’esclusività della presenza umana in determinati} luoghi in cui si svolge la vita intima dell’individuo, e comprendente la duplice facoltà di ammissione e di esclusione dei terzi da un certo spazio fisico” v. G. M. FLICK, nota n. 8, 8.

Da ultimo, rimane da analizzare il profilo delle cd. videoregistrazioni la cui “modernità”, frutto dell’evoluzione tecnologica di per sé, pur consentendo una maggiore intrusione rispetto ai tradizionali mezzi di intercettazione, non confligge con il dettato costituzionale se correttamente utilizzata nell’ambito dei casi e delle autorizzazioni previste dalla legge24_.

In particolare la legittimità delle riprese visive risulta legittima se all’interno delle stesse vi siano comportamenti di tipo comunicativo25.

1.3. Fonti sovranazionali

A livello comunitario e sovranazionale l’esame della disciplina può essere effettuato sulla base del principio della riservatezza e dei casi e modi di ingerenza nella stessa. Le norme di riferimento sono: l’art. 8 C.e.d.u., l’art. 7 della Carta dei diritti fondamentali dell’Unione europea l’art. 12 della Dichiarazione Universale

24 _{v. nota n. 12, Corte Cost. sent. n. 135 del 2002.}

25 _{L.FILIPPI, “Intercettazioni, tabulati e altre limitazioni alla segretezza delle} comunicazioni”, in G. SPANGHER, A. MARANDOLA, G. GARUTI, L. GALB

(diretto da), Procedura penale teoria e pratica del processo, vol. I, soggetti atti prove , (a

Diritti Umani di Parigi e l’art. 17 Patto internazionale dei diritti civili e politici di New York.

Dalle norme di diritto internazionale si evince come il principio della riservatezza risalti nel momento in cui i beni interessati siano quello del domicilio della corrispondenza. Dal combinato disposto dell’art. 7 della Carta dei diritti fondamentali dell’Unione europea 26e dell’art. 8della Convenzione27 , si ricava che la protezione del domicilio e delle comunicazioni è funzionale al rispetto della vita privata e, di per sé, la nozione di vita privata implica il diritto alla riservatezza inteso anche, in senso lato, come diritto a non vedere appresi illecitamente da terzi dati e notizie relativi alla propria sfera privata. La Corte Edu, nella propria giurisprudenza non definisce tale diritto alla riservatezza in termini espliciti, ricavandosi la portata del diritto

26 _{Cfr. Commento sub art. 7, in F.POCAR,M.C.BARUFFI, Commentario breve ai}

trattati dell’Unione europea, Padova, 2014, 1678.

27 _{Cfr. Commento sub art. 8, in S.BARTOLE,B.CONFORTI,G.RAIMONDI, in}

Commentario alla Convenzione europea per la tutela dei diritti dell’uomo e delle libertà fondamentali, Padova 2001, 308-309, 312-313; Cfr. sub art. 8, in S.BARTOLE,P.

DE SENA,V.ZAGREBELSKY, Commentario Breve alla Convenzione europea per la

in parola dagli argomenti esposti nelle sentenze sul tema, ogni qualvolta l’oggetto del contendere sia la violazione della sfera privata dei cittadini.

Una singola definizione di riservatezza è stata data da uno Stato membro, infatti secondo la Corte costituzionale tedesca essa è intesa come “libertà dell’individuo di determinare in perfetta autonomia le modalità di costruzione della propria sfera privata, comprese le singole informazioni che andranno a comporla28”. Dalla pronuncia appena citata si evince come la riservatezza consti della volontà dell’individuo volta ad escludere gli altri dalle situazioni che pone in essere e che vive anche al di fuori del ristretto ambito del proprio domicilio29.

La definizione ben si coniuga con una riformulazione del diritto all’intimità che non è volto a tutelare una intimità determinata “bensì il diritto a possederla”, a tal fine disponendo di un potere

28 _{D.B.R. n.43 del 1983.}

29 _{A.GAITO,S.FURFARO, “Intercettazioni: esigenze di accertamento e garanzie} della riservatezza”, in Principi europei del processo penale, A.GAITO (a cura di), Roma 2016, 363 ss.

giuridico sulla pubblicità dell’informazione riguardante la sfera riservata della propria persona e della propria famiglia.

Ciò che esso garantisce è il segreto sulla nostra sfera di intimità e pertanto vieta che siano i terzi, privati o pubblici poteri, a decidere quali siano i confini della nostra vita privata.

Spetta perciò ad ogni individuo riservare uno spazio, più o meno ampio a seconda della sua volontà che sia protetto dalla curiosità estranea quale che sia il contenuto di tale spazio30_.

Diversamente da quanto stabilito dalla nostra costituzione, dove si tutela la corrispondenza e la relativa segretezza31_{, nelle fonti}

comunitarie è riconosciuto un più ampio diritto alla riservatezza, infatti la Corte Europea afferma che rientra nella previsione della norma dell’art. 8 C.e.d.u. qualsiasi limitazione al rispetto della

30 _{S.T.C. n. 186 del 2001, Preysler c. Iglesias.}

31 _{Nell’art. 15 Cost si tutela la segretezza ma non la riservatezza, cfr. F.} BRICOLA, Prospettive e limiti della tutela penale della riservatezza, in Riv. it. dir. e proc. pen., 1967, 1079 s. e V.MANTOVANI, Diritto alla riservatezza e libertà di manifestazione del pensiero con riguardo alla pubblicità dei fatti criminosi, in Arch. giur., 1968, 40 s.

vita privata32.

Le fonti normative sovranazionali citate dovrebbero indurre il legislatore nazionale a predisporre una disciplina interna adeguata rispetto all’ampia portata dei diritti di domicilio e corrispondenza dato che si traducono nella sfera intima della dignità umana e i principi ricavati dalle norme in oggetto sono posti a fondamento dell’intera costruzione giuridica dei diritti umani33_.

La tutela e la garanzia di questi diritti deve però essere bilanciata non solo con l’avanzamento della tecnologia, ma anche con le esigenze di sicurezza sociale interna e internazionale, di fatti sia l’art. 8 C.e.d.u., sia l’art. 17 del Patto prevedono un’ingerenza da parte del legislatore interno, ingerenza che deve essere rispettosa dei principi sopra esposti34_.

I principi poc’anzi esaminati si vedono applicati in diverse

32 _{Corte Edu 15.5.2000, Khan c. UK; Corte Edu 25.3.1998, Kopp c. Svizzera.} 33 _{PAPISCA, Art. 12 – Diritto alla Privacy, in www.unipd-centrodirittiumani.it} accesso in data 28.2.2017.

decisioni della Corte europea35, in particolare questa afferma che rientra nella previsione della norma dell’art. 8 C.e.d.u. qualsiasi limitazione al rispetto della vita privata.

Ogni intromissione riveste di per sé riveste la caratteristica di ingerenza della pubblica autorità nella sfera privata anche quando di essa non sia fatto un uso processualmente rilevante; secondo i giudici europei la tutela si dovrebbe estendere fino a comprendere l’acquisizione, con qualsiasi mezzo, di ogni elemento della vita umana, e non si intendono solo le intercettazioni, e quindi un mero ascolto, ma anche tutti i dati esteriori.

Dalle pronunce si evince che gli stati membri non hanno piena e incondizionata libertà nella individuazione delle ragioni che legittimano l’intrusione dello stato nella sfera di riservatezza: essa risulta giustificata solo quando esigenza di sicurezza nazionale, ordine pubblico, prevenzione dei reati, e benessere economico lo impongano. Pertanto la legge nazionale deve

35 _{Corte Edu 15.5.2000 Khan c. Regno unito; Corte EDU Kopp c. Svizzera;} Corte Edu 2.8.1984, Malone c. Regno Unito.

prevedere i casi e i modi dell’invasione, avere caratteristiche tali da poter consentire l’immediata apprensione, conoscenza dei limiti di legittimazione ai fini di consentire il controllo; inoltre, essa deve essere chiara nella forma espressiva e specifica sia nella previsione delle situazioni legittimante l’intromissione sia nella predisposizione di controlli rigorosi. Le caratteristiche di accessibilità, conoscibilità e previsione della regola interna che legittima l’intrusione e stabilisce la tutela, costituiscono la base concreta del controllo secondo la Corte europea.

Infine, i moniti dei giudici europei attengono, come predetto, anche ai casi e i modi delle ingerenze nella riservatezza, in particolare secondo le decisioni sovranazionali l’ingerenza è tuttavia legittima solo quando il soggetto abbia la possibilità di verifica effettiva non solo sulla necessità dello strumento invasivo della sua sfera privata, ma soprattutto sul sistema predisposto dall’ordinamento interno contro gli abusi36.

Secondo la corte l’invasività e l’assoluta clandestinità del mezzo

di invasione deve essere minuziosamente disciplinata dalla legge, non soltanto in relazione ai casi nei quali essa può essere attuata, ma anche nel modo attraverso il quale i dispositivi di intercettazione possono essere introdotti o utilizzati37_{. Stando}

alle prescrizioni della Corte l’art. 8 C.e.d.u. sarebbe violato tutte le volte in cui la disciplina legislativa non preveda che le intercettazioni possano essere effettuate mediante l’utilizzo di strumenti di pubblica autorità e quando essa non preveda concretamente le modalità di captazione.

Prendendo atto dell’orientamento giurisprudenziale europeo si può affermare come sia distante invece dalle decisioni nazionali, sia in ordine alla legittimità costituzionale, sia per quanto riguarda il più recente orientamento della Suprema Corte di Cassazione38_.

37 _{Corte Edu, 25.5.1985, Silver e altri c. Regno Unito.}

38 _{Cass., SS. UU., 26.4.2016, n. 26889, in Cass. Pen. 2016, 10, 3546 nota di W.} NOCERINO, Le Sezioni Unite risolvono l’enigma: utilizzabilità del captatore

informatico nel processo penale; ivi, 11, 4139, nota di F. CAJANI,Odissea del captatore

informatico – Trojan’s Odissey); Foro it. 2016, 9, II, 491, nota s.t. di P. DI

organizzata: possibile intercettare conversazioni o comunicazioni con un captatore

informatico.

Capitolo II

L’INFORMATICA NEL SISTEMA PENALE:

PROFILI SOSTANZIALI E RELATIVE

PROBLEMATICHE

SOMMARIO: 2.1. Introduzione: l’informatica

come protagonista delle comunicazioni,

inquadramento nell’ordinamento penale nazionale ed europeo. 2.2. Il Cybercrime. 2.2.3. Sicurezza informatica, cyberterrorismo e cyberwarfare. 2.3 Le fonti: dalla L. 23 dicembre 1993 n.547 alla

Convenzione del Consiglio d'Europa sulla criminalità informatica, fatta a Budapest il 23 novembre 2001, ratificata con Legge 18 marzo 2008, n. 48.

2.1. Introduzione: l’informatica protagonista delle

comunicazioni: inquadramento nell’ordinamento penale nazionale ed europeo.

Non è retorico affermare che tempo e progresso tecnologico hanno mutato e reso obsoleti il nostro modo di comunicare: l’informatica, è un dato di fatto, ha preso il sopravvento nelle trasmissioni di qualsiasi tipo, ma tutti i relativi congegni elettronici possono favorire intrusioni odiose nella nostra

privacy. Gli hacker1_{, sono di quotidiana esperienza, siano essi}

“privati” siano organi dello Stato autorizzati per ragioni di giustizia a “violare” il fondamentale diritto alla segretezza della corrispondenza (art. 15, Cost.).

Abbiamo pertanto due scenari da analizzare nell’ordinamento penale attuale: da un lato l’attività d’indagine giudiziaria di raccolta delle prove nel processo penale mediante l’utilizzazione delle tecnologie informatiche (di cui parleremo più avanti); dall’altro il comportamento di “utenti” della rete, gli hackers, appunto, che, mediante l’utilizzazione dei sistemi informatici online pongono in essere comportamenti criminosi meglio noti come cybercrimes.

1 _{C.SARZANA DI S.IPPOLITO,Informatica, internet e diritto penale,Milano 2010,} 83,“Si tratta di amatori […] in possesso di conoscenze, spesso molto elevate, nel settore dell’informatica, profondamente interessati all’esame dei sistemi e alla possibilità di penetrare in essi, generalmente a titolo di sfida. […] Il loro comportamento varia in realtà da atteggiamento puro e semplice di sfida o curiosità all’acquisizione ed elaborazione di dati e informazioni anche personali sino a giungere, in qualche caso a forme di vandalismo”.

In relazione a tale ultimo aspetto, va subito evidenziato che, in base all’assetto normativo attuale, è difficile dare una definizione, di reato informatico: bisognerebbe, infatti, distinguere, in base all’art. 14, 2° co., lett. b, L. 18 marzo 2008, n.°48, tra reato impropriamente informatico e reato propriamente informatico, dove nella prima nozione rientra la commissione di un qualsiasi fatto previsto come reato

mediante un dispositivo informatico; nella seconda nozione

rientra invece il reato commesso contro un sistema informatico allo scopo di danneggiare, accedere abusivamente a dati, ledere l’integrità e la disponibilità dei dati o tenere condotte inerenti a falsificazione di a documenti informatici. E proprio la normativa di riforma, prescrive che le norme della Convenzione di Budapest debbano essere applicate ad entrambe le categorie di reati.

Alla luce del celere progresso tecnologico, alcuni autori2 ritengono tuttavia che non si possa catalogare empiricamente

2 _{G.CORASANITI, Cybercrime, responsabilità degli enti e prova digitale, Padova} 2009, 16-17, inG. Corasaniti, G. Corrias Lucente(a cura di); M.DE PAOLIS,

questo genere di comportamenti in specie diverse poiché i beni giuridici protetti sono molteplici – fra tutti il più ampio diritto alla riservatezza – ed è lo stesso codice penale che non opera alcuna distinzione al riguardo: nel nostro codice vi è nessuna “ripartizione” per tipi di reati di informatici, ma solo singole fattispecie, espressamente contemplate, in forza del principio di tassatività (art. 25, 2° co., Cost. e art. 2 c.p.) cui è informato l’ordinamento.

Per verificare come l’informatica influenzi l’apparato investigativo giudiziario, sia dal punto di vista della protezione e delle garanzie spettanti all’indagato, sia dal punto di vista della repressione dei reati, occorre poi integrare le norme domestiche con quelle sovranazionali sul Cybercrime, altrimenti il quadro normativo sarebbe monco oltreché giuridicamente inaccettabile3.

Diritto dell’Internet, manuale operativo – casi legislazione e giurisprudenza, in G.

Cassano, G. Vaciago, G. Scorza (a cura di), Padova 2013, 509. 3 _{SARZANA DI S.IPPOLITO, nota 1, 188.}

2.2 Il Cybercrime.

Preliminare alla trattazione della disciplina positiva sono doverose alcune premesse, per così dire, “storiche”. Al riguardo, bisogna partire dagli anni ottanta del secolo scarso, dove negli Stati Uniti viene positivamente contemplata una nuova figura criminale: l’hacker. Si trattava di soggetti che penetravano abusivamente nei sistemi delle banche dati militari e di istituti creditizi, allo scopo o di carpire informazioni o, nel caso di banche, per operare furti di moneta elettronica. Di per sé l’hacker, se non commette reati, nella percezione sociale non ha più un’accezione negativa, perché è ritenuto solo un soggetto dotato di notevoli capacità tecnologiche. Piuttosto, la sua connotazione negativa, cioè di soggetto che a fini fraudolenti danneggia o accede abusivamente a un sistema è stata sostituita dal c.d. Cracker4.

Nel 1983 l’OCSE elaborò una prima lista di reati informatici mirata ad armonizzare a livello internazionale le leggi del diritto penale (e processuale) per combatter il problema degli abusi informatici; a seguire, nel 1986 venne pubblicata una prima relazione, nota come “Computer Related Crime: Analysis Of Legal Policy” dove veniva esaminata la normativa esistente e sulla base di quella venivano delineate una serie di proposte di riforma nelle quali veniva raccomandato di predisporre un elenco basilare degli abusi informatici che gli Stati aderenti avrebbero dovuto punire5.

In quegli anni la dottrina penale e sociologica statunitense approfondisce lo studio di questi comportamenti tecnologici socialmente pericolosi coniando una specifica terminologia: “computer crime, computer related crime, crime by computer, internet crime”, fino ad arrivare all’ormai nota denominazione “cybercrime” adottata anche dal Consiglio d’Europa. Specifici

5 _{CORASANITI, nota 2, 2.}

aggettivi: digital, electronic, virtual, affiancheranno sostantivi della terminologia processual penalistica classica come, ad esempio, “evidence”6.

Sempre negli anni ’80, il Governo americano fece elaborare alla SRI International7 _{un manuale}8 _{che illustrava le tecniche}

di attacco informatico, aggi sempre più sofisticate. Ne ricordiamo alcune assai frequentemente considerate nelle aule di giustizia: l’Asynchronous Attacks9_{, i Computer Viruses}10_{, il}

Data Diddling11, il Data Leakage12,il Denial of service

6 _{J.CLOUGH, Principles of Cybercrime, Cambridge 2015, 4.}

7_{Organizzazione statunitense che opera nel settore della tecnologia sotto vari} aspetti, le sue competenze sono spesso utilizzate dalle agenzie governative americane. https://www.sri.com (Accesso in data 24/04/2017).

8 _{SRIINTERNATIONAL, Computer crime: criminal justice resource manual. National} Criminal Justice Information and Statistics Service, Law Enforcement Assistance Administration, U.S. Dept. of Justice, Washington DC, 1979, 9-25.

9 _{Taking advantage of an operating system characteristic that allows dynamic} rendering of functions performed.

10 _{Set of computer instructions that propagates copies or versions itself into} computer programs or data when it is executed.

11 _{The unauthorized changing of data before or during their input to a} computer system. Examples are forging or counterfeiting documents and exchanging valid computer tapes or cards with prepared replacements. 12 _{Unauthorized, covert removal or obtaining of copies of data from a}

(DOS) and Denial distribued of Service (DDOS)13_{, il Trojan}

Horse14_{, la Logic Bomb}15_{, il Piggybacking and Tailgating}16_{, il}

computer system.

13 _{DOS renders websites and other online resources unavailable to intended}

users. DDOS attacks are launched from multiple connected devices that are distributed across the Internet.

14 _{Computer instructions secretly inserted in a computer program so that} when it is executed in a computer, unintended acts are performed.

15 _{Computer instructions residing in a computer (usually within a Trojan} horse program) that, when executed, determines conditions or states of a computer system that facilitates or triggers the perpetration of an unintended act.

16 _{A method of gaining unauthorized physical access to guarded areas when} control is accomplished by electronically or mechanically locked doors; also a method oftapping and using a data communications line when it is in standby mode.

Salami Techniques17_{, lo Scavenging and Reuse}18_{, il}

Superzapping19_{, e il Trap Doors}20_.

Secondo la dottrina anglosassone21, le attuali caratteristiche del cybercrime consistono nell’essere: “organized, financially motivated, technologically sophisticated and transnational”, e si ritiene che tuttora vi sia “fertile ground for offending” e “some key features of digital technology that facilitate crime and hamper law enforcement”. Queste ultime, sono da

17 _{The unauthorized, covert process of taking small amounts (slices) of} money or other- wise numeric value from many sources in and with the aid of a computer.

18 _{A covert, unauthorized method of obtaining information that may be left} in or around a computer system after the execution of a job. Included here is physical search (of trash barrels for carbon copies, for example) and search for residual data within the computer storage areas, temporary storage tapes, and the like.

19 _{The unauthorized use of utility computer programs that computer access} controls to cause loss of confidentiality, integrity, or availability of data in a computer or its services. The name derives from an IBM utility program called "Superzap".

20 _{A function, capability, or error in a computer program or equipment that} facilitates compromise or unintended acts in a computer system.

individuare in: scale, accessibility, anonymity, portability, global reach, absence of capable guardians.

Ai fini di una migliore intelligenza della terminologia sopra citata, è opportuno precisare22 _{che il termine scale esprime un}

concetto di quantità: le persone con accesso a internet sono circa tre miliardi (il che significa approssimativamente il 40% della popolazione mondiale23); ciò implica un’alta probabilità di vittime di cyber criminali.

Per quanto riguarda la accessibility si intende l’estrema facilità di utilizzazione dei mezzi tecnoogici di accesso alla rete, attraverso la quale possibile anche reperire, gratuitamente, guide su tecniche di hacking o utenti della stessa che insegnino ad attuare o a commissionare piani di cyber crime. L’anonymity, invece, implica il vantaggio per l’autore del reato informatico di poter nascondere la propria identità

22 _{Riproduco, qui di seguito, traducendo dall’inglese e sintetizzando, le} definizioni date da J. CLOUGH, loc. ult. cit.

23 _{International Telecommunications Union, ICT facts and figures: the world in}

mediante un server proxy24_{. Sotto il profilo processuale questa}

pratica potrebbe creare problemi sull’individuazione della giurisdizione competente del reato informatico. Tanto consentirebbe, tra l’altro di pianificare l’attacco informatico tenendo conto degli ordinamenti con leggi che non prevedono tali fatti come reati o li ppuniscano con ene assai più blande.

La “portability”, è la capacità di memorizzare ingenti quantità di informazioni in hard drive (nel concetto sono ricomprese le comuni “chiavette”) di ridottissime dimensioni.

Con “global reach” si vuole sottolineare l’esigenza di creare una disciplina armonizzata e condivisa dagli ordinamenti a livello internazionale onde superare i ostacoli dei localismi normativi al fine di una più efficace repressione dei reati in argomento.

24 _{I server proxy, sono dei computer remoti che si interpongono fra un} dispositivo di accesso alla rete e i siti visitati, oscurando la reale posizione geografica dell’utente, attribuendo a quest’ultimo un indirizzo informatico (il c.d. IP, Internet Protocol address) diverso da quello proprio dell’utente. Cfr. http://www.treccani.it/enciclopedia/server/ (Accesso in data 26/04/2017).

Infine, vi è la problematica dell’“absence of capable guardians”, che si potrebbe interpretare come una mancanza di competenze informatiche da parte delle Autorità preposte alla repressione dei reati informatici. Questa circostanza aumenta il rischio che il criminale informatico percepisca le proprie azioni come “obiettivamente” non punibili.

2.2.3. Sicurezza informatica, cyberterrorismo e

cyberwarfare.

Alle spiegazioni terminologiche appena date, devono aggiungersi le successive per meglio illustrare l’attuale esigenza di sicurezza ed i rimedi approntati contro comportamenti forieri anche di cyberterrorismo e di cyberwarfare.

Con cyberterrorismo25 si intende la sincresi dei termini cyberspazio e terrorismo, ricomprendendo nel concetto

25 _{Termine coniato da Barry Collin nel 1980, ricercatore dell’Institute for}

attacchi premeditati, politicamente motivati, contro sistemi informatici, a svantaggio di taluni obiettivi riconducibili a Stati con cui non si è in stato di guerra dichiarata. Occorre peraltro distinguere26 tra “cyberterrorismo” e “utilizzo di Internet a scopi terroristici”: per quanto concerne il primo, si può usare la definizione data dalla NATO27, come “attacco informatico che utilizza o sfrutta reti di computer o di comunicazioni sufficienti per causare la distruzione o interruzione, per generare paura o per intimidire una società in un obiettivo ideologico”; il secondo sintagma esprime il reclutamento e la mera presenza di gruppi terroristici in rete.28

Quanto al cyberwafare, esso è l’insieme di attività “suscettibili di arrecare danni agli interessi di un paese attraverso la violazione delle sue infrastrutture telematiche”29.

26 _{BOSCO, nota n. 2, 666.}

27 _Cfr. http://www.nato.int/docu/review/2011/11-september/Cyber-Threads/IT/index.htm (Accesso in data 26/04/2017).

28 _{BOSCO, loc. ult. cit..}

29 _{Cfr. Dipartimento delle Informazioni per la Sicurezza (Dis) e il Comitato} Parlamentare per la sicurezza della Repubblica (Copasir) http://www.parlamento.it/documenti/repository/commissioni/bicamerali

Con riguardo ai cybercrime, il concetto di sicurezza sembra coinvolgere i seguenti fattori: l’autenticità, la disponibilità, l’integrità, il non ripudio e la riservatezza30.

La prima consente al destinatario dell’informazione di poter verificare l’identità del mittente, avendo la garanzia e la certezza della sorgente e dei contenuti pervenuti; la seconda consiste nel rispetto delle norme che impongono la conservazione storica dei dati e la reperibilità della continuità dei processi; la terza permette di avere la garanzia che ogni dato immesso nel sistema informatico sia stato modificato nelle sole legittime modalità e che dette informazioni non siano manomesse da soggetti non autorizzati; la quarta fa sì che il mittente di un informazione non possa negare la paternità di quanto inviato, così anche il destinatario; infine, l’ultima, assai rilevante, consiste nella garanzia che i dati siano

/COMITATO%20SICUREZZA/Doc_XXXIV_n_4.pdf (Accesso in data 26/04/2017, allegato 2, 53).

preservati da accessi e utilizzi impropri, tali informazioni dovranno essere protette in tutte le fasi dell’elaborazione (trasmissione, memorizzazione, conservazione).

A tal riguardo è opportuno richiamare l’avvertimento dell’Istituto superiore delle Comunicazioni e delle Tecnologie dell’Informazione31 che ritiene la sicurezza essere tale quando sia in grado di resistere ad eventi imprevisti, atti dolosi che possano compromettere le caratteristiche sopra descritte32.

Da tanto deriva che la sicurezza informatica ha come obiettivi: il controllo del diritto di accesso alle informazioni; la protezione delle risorse da danneggiamenti volontari e

31 _{Istituto Superiore delle Comunicazioni e delle Tecnologie}

dell’Informazione (ISCOM) opera nell’ambito del Ministero dello Sviluppo Economico - Comunicazioni quale Direzione Generale prettamente

coinvolta in ambiti tecnico-scientifici.

http://www.isticom.it/index.php/presentazione (Accesso in data 26/04/2017).

32 _{Istituto Superiore delle Comunicazioni e delle Tecnologie} dell’Informazione (ISCOM), La sicurezza delle reti dall’analisi del rischio alle

strategie di protezione,

http://www.isticom.it/documenti/news/pub_002_ita.pdf, 41, (Accesso in data 26/04/2017).

involontari; la protezione delle informazioni mentre esse siano in transito sulla rete; la verifica dell’identità dell’interlocutore33_.

Tanto premesso, da un punto di vista empirico, le minacce derivanti dal cyber – spazio vengono suddivise in quattro principali categorie: il mero cybercrime che consiste nello sfruttamento della rete per reati come la truffa, il cd. Identity Theft, l’accesso abusivo a sistema telematico finalizzato alla sottrazione indebita di informazioni o di proprietà intellettuale; il cyberterrorismo dove l’uso della rete è finalizzato a scopi terroristici, spesso per reclutare proseliti, raccogliere finanziamenti ai fini di attacchi veri e propri; il cyberwarfare dove si prospettano conflitti tra Nazioni che combattono attraverso l’abbattimento di firewall34 militari estrapolando informazioni ai fini attività belliche; infine, il

33 _{BOSCO,nota n. 2, 657-659.}

34 _{Part of a computer system or network which is designed to block}

unauthorized access while permitting outward communication.

https://en.oxforddictionaries.com/definition/firewall, (Accesso in data 19/04/2017).

cyber espionage che è un insieme di attività volte a sfruttare le potenzialità della rete per spiare e sottrarre segreti industriali a fini di concorrenza sleale o superiorità strategica.

Le modalità di attacco informatico finora descritte sono oggi attuate per lo più tramite l’uso del deep web35 _{noto anche}

come la “parte sommersa” dell’internet, dove i soggetti che vi navigano sono protetti da un sistema di triangolazione dei

35_{M.C.COLOMBINI, La ricerca e l’analisi nel deep web: i black market, in Sicurezza} e Giustizia, n. IV del 2015 “Il Deep Web (Web sommerso o invisibile) è l’insieme delle risorse informative del World Wide Web non raggiugibili dai comuni motori di ricerca. Secondo Wired, il Web è costituito da oltre un trilione di pagine, mentre Google ne indicizza solo tre miliardi. La struttura dell’intero World Wide Web è spesso paragonata a quella di un iceberg, di cui solo una minima parte è visibile sopra il pelo dell’acqua. Poiché vi sono implementate numerose sotto-reti con accessi regolamentati da diversi livelli di sicurezza, esso è rappresentato tramite livelli successivi o strati, dal più esterno (quello visibile a chiunque) a quelli più interni e difficilmente accessibili.”, in https://www.sicurezzaegiustizia.com/wp-content/uploads/2016/01/SeG_IV_MMXV_COLOMBINI.pdf, 41. (Accesso in data 28/04/2017).

server36 che dona loro un impenetrabile anonimato. Questa peculiarità, chiaramente, dà ampio spazio al perpetrarsi di condotte penalmente rilevanti con notevoli difficoltà circa l’individuazione del loro autore. Più nello specifico, la crescita nell’utilizzo del deep web, soprattutto per talune transazioni illecite (come ad esempio il traffico di armi e di droga), ha facilitato la formazione e l’espansione di organizzazioni criminali, poiché l’accesso al web sommerso è effettuato

mediante alcuni protocolli non convenzionali, quali TOR37 o I2P38, che garantiscono, un anonimato impenetrabile.

37 _{COLOMBINI,nota36,“Una delle più̀ popolari vie di accesso al Deep Web} è TOR, un protocollo e una rete di tunnel virtuali che permette a chiunque di nascondere la propria identità̀ e migliorare la privacy e la sicurezza su Internet. Il progetto Tor (acronimo di The Onion Router) è nato nel 1995 per merito della Marina Militare degli Stati Uniti allo scopo di garantire che le conversazioni governative (ordini e disposizioni d’impiego) non fossero intercettate da entità̀ nemiche o da servizi d’intelligence stranieri. Sviluppato dal 2002 dalla Electronic Frontier Foundation sponsorizzata dalla US Naval Research

Laboratory, è ora gestito da The Tor Project, un’associazione senza scopo di

lucro.

TOR non solo permette di accedere ai servizi bloccati dai provider1 Internet locali, ma ospita servizi nascosti che permettono agli utenti di pubblicare siti web e altri servizi senza dover rivelare la posizione attuale del sito e proteggere gli utenti dall’analisi del tra co attraverso una rete di router2 (i c.d. Onion routers), che rendono il tra co anonimo. Il funzionamento della rete Tor è concettualmente semplice: i dati che appartengono a una qualsiasi comunicazione non transitano dire amente dal client3 al server4, ma passano attraverso i server Tor che agiscono da router costruendo un circuito virtuale cri ografato5 a strati (a cipolla). In ne, tramite il protocollo “onion” fornito da Tor, è possibile accedere ai cosidde i “pseudo-domini di primo livello” .onion, altrimenti invisibili ai comuni browser.

38 _{COLOMBINI,nota 36,} “Una seconda e più̀ occulta via di accesso al Deep Web è I2P, un’altra rete anonima, che implementa un maggior grado di sicurezza rispetto a TOR: ogni applicazione client ha un router I2P che costruisce “tunnel” in entrata e in uscita: una sequenza di peer che passano messaggi in una direzione (verso e dal client, rispettivamente). A sua volta, quando un client vuole inviare un messaggio ad un altro client, lo invia attraverso un tunnel in uscita, dire o verso uno dei tunnel in entrata dell’altro client, fino a raggiungere la destinazione. Ogni utente della rete decide la lunghezza dei tunnel, determinando così un compromesso tra anonimato, latenza e velocità di gestione, in accordo con le proprie necessità. All’interno

Ciò rafforza la comune esigenza di trovare un equilibrio normativo a livello sovranazionale che tuteli la sicurezza delle reti e delle informazioni, nonché il più ampio diritto alla privacy. A tal riguardo è da segnalare uno stretto coordinamento fra le agenzie governative competenti di varie Nazioni, imposto dalla dimensione transnazionale rete.

Gli obiettivi comunemente perseguiti sono: la prevenzione degli attacchi informatici, la rilevazione dell’attacco, il contrasto dell’attacco nel momento in lo stesso sia in corso e il ripristino della regolarità di funzionamento dei sistemi violati.

Negli anni gli Stati hanno avvertito l’esigenza di dare un preciso quadro giuridico ai comportamenti inerenti allo spazio cibernetico e così nel 2001 il Consiglio d’Europa è

della rete I2P, non vi sono limiti al modo in cui le applicazioni possono comunicare, e i contenuti inviati sono criptati tramite tre strati di crittografia: la «garlic» (verifica la consegna del messaggio al destinatario), la crittografia tunnel (tutti i messaggi che passano attraverso un tunnel vengono crittografati dal gateway tunnel al tunnel), e la crittografia del livello di trasporto tra router.”.

pervenuto all’approvazione della Convenzione di Budapest sulla criminalità informatica39.

2.3. Le fonti: dalla L. 23 dicembre 1993 n.547 alla Convenzione del Consiglio d'Europa sulla criminalità informatica, fatta a Budapest il 23 novembre 2001, ratificata con Legge 18 marzo 2008, n. 48.

Alcuni anni dopo i primi studi in materia effettuati dall’OCSE, anche l’Italia avvertì l’esigenza di dare un più preciso assetto normativo alle problematiche in esame.

Nel 1988 l’allora Ministro della giustizia Vassalli istituì una Commissione40 che doveva elaborare lo schema di disegno di legge volto a riformare il codice penale; nel relativo progetto era previsto che si dovessero integrare nuove fattispecie volte

39 _{CORASANITI, nota 2, 2.}

40 _{Commissione presieduta dal prof. A. Pagliaro e composta dai professori} F. Bricola, F. Mantovani, T. Padovani e A. Fiorella. https://www.giustizia.it/giustizia/it/mg_2_7_6_1.page (Accesso in data 26/04/2017).

alla repressione della criminalità informatica. In particolare, ci si concentrò sui reati contro la riservatezza delle comunicazioni e quindi a elaborare nuove norme in tema di accesso abusivo ai sistemi informatici contro la volontà espressa o tacita del titolare dello ius excludendi, nonché della cognizione fraudolenta di comunicazione telematica, della rivelazione del suo contenuto e della intercettazione o interruzione delle suddette comunicazioni. Nel 1992 la Commissione consegnò al Ministro lo schema normativo (con relazione illustrativa)41_{, poi trasformato in disegno di legge,}

che, tuttavia, non fu mai presentato in parlamento.

Quasi contemporaneamente a questo tentativo di riforma, nel 1989, il Guardasigilli Vassalli nominò un’altra Commissione42 per riformare il codice penale; nel febbraio 1991 la Commissione completò i lavori e nel marzo del 1993

41 _{Pubblicata in Documenti e giustizia n.3, maggio 1992.}

42 _{Commissione presieduta dal dott. P. Callà, all’epoca direttore generale} degli Affari Penali e composta dai professori C. Sarzana di S. Ippolito, V. Frosini, M. Petrone, L. Russi e dai cons. P. Brignone, G. Cavallari e F. Giampietro poi sostituito dal giudice G. Buttarelli.

il disegno di legge venne sottoposto al Senato e successivamente portato all’esame della Camera.

Nel giugno del 1993 o stesso progetto venne presentato alla Commissione Giustizia che sollevò le seguenti problematiche di ordine metodologico. In primo luogo, si pose il dilemma se modificare il codice penale o emanare una legge penale ad hoc. La Commissione scelse la prima alternativa, anche se fu osservato che, stante la particolarità della materia, sarebbe risultato complicato creare un titolo ad hoc dell’intera materia “informatica” nel codice penale. Ciò in quanto il reato informatico viola beni giuridici già raggruppati per categorie (persona, patrimonio ecc.) e quindi altro non è che una modalità di aggressione degli stessi beni43. In secondo luogo vi era la necessità di adeguare le leggi italiane alle direttive del Consiglio d’Europa; quest’ultimo aveva proposto due liste di reati informatici una delle quali facoltativa.

Restava poi insoluto il problema del coordinamento delle norme processuali, proprio a seguito dell’introduzione di

queste nuove fattispecie soprattutto in materia di intercettazioni; la Commissione fece notare al riguardo come le norme processuali vigenti sarebbero risultate incomplete ove non integrate in relazione alle nuove figure di reato informatico. In esito a tali rilievi venne così promulgata la legge n. 547/199344, che introdusse e modificò nel codice penale gli artt.: 392 “Esercizio arbitrario delle proprie ragioni con violenza sulle cose.” dove fu aggiunto un terzo comma che prevede, “Si ha, altresì, violenza sulle cose allorché un programma informatico viene alterato, modificato o cancellato in tutto o in parte ovvero viene impedito o turbato il funzionamento di un sistema informatico o telematico”; il 420 “Attentato a impianti di pubblica utilità.”, che nella formulazione attuale reca la seguente norma, “Chiunque commette un fatto diretto a danneggiare o distruggere impianti di pubblica utilità, è punito, salvo che il fatto costituisca più grave reato, con la reclusione da uno a quattro anni.”; l’inserimento del 491- bis “Documenti informatici.”,

“Se alcuna delle falsità previste dal presente capo riguarda un documento informatico pubblico o privato, si applicano le disposizioni del capo stesso concernenti rispettivamente agli atti pubblici e le scritture private. A tal fine per documento informatico si intende qualunque supporto informatico contenente dati o informazioni aventi efficacia probatoria o programmi specificamente destinati ad elaborarli"; 615 – ter “Accesso abusivo a un sistema informatico o telematico.”; 615 – quater “Detenzione e diffusione abusiva di codici d’accesso a sistemi informatici o telematici.”; 615 – quinquies che nel 1993 era rubricato come “Diffusione di programmi diretti a danneggiare o interrompere un sistema informatico45.” modificato con la L. 48/2008 in “Diffusione di apparecchiature, dispositivi o programmi informatici diretti a danneggiare o interrompere un sistema informatico o

45 _{La prima formulazione era la seguente: “Chiunque diffonde, comunica o} consegna un programma informatico da lui stesso o da altri redatto, avente per scopo o per effetto il danneggiamento di un sistema informatico o telematico, dei dati o dei programmi un esso contenuti o a esso pertinenti, ovvero l'interruzione, totale o parziale, o l'alterazione del suo funzionamento, è punito con la reclusione sino a due anni e con la multa sino a lire 20 milioni”.

telematico.”; nell'art. 616 “Violazione, sottrazione e soppressione di corrispondenza”, il quarto comma è stato sostituito; 617 – quater “Intercettazione, impedimento o interruzione illecita di comunicazioni informatiche o telematiche.”; 617 – quinquies “Installazione di apparecchiature atte a intercettare, impedire o interrompere comunicazioni informatiche o telematiche.”; 617 – sexies “Falsificazione, alterazione o soppressione del contenuto di comunicazioni informatiche o telematiche.”; Al 621 “Rivelazione del contenuto di documenti segreti.” è stato aggiunto un secondo comma, il 623-bis. “Altre comunicazioni e conversazioni.” è stato sostituito; di nuovo inserimento anche il 635 – bis che nel 1993 era rubricato come “Danneggiamento di sistemi informatici e telematici.” poi modificato nel 2008 in “Danneggiamento di informazioni, dati e programmi informatici.”; il 640 “Frode informatica.”, e nel codice di rito l’art. 266-bis rubricato “Intercettazione di comunicazioni informatiche.” e modificato l’art. 268 “Esecuzione delle operazioni.”, dopo il