WEB CRIMES: SICUREZZA INFORMATICA E CRIMINI INFORMATICI IN ITALIA

Web Crime - sicurezza informatica e crimini informatici

WEB CRIMES: nascita e cause

Internet rappresenta inequivocabilmente l’innovazione principe, l’emblema e il portento del XXI secolo. Uno strumento tecnico di una portata comunicativa e sociale di forza e dimensioni tali che la storia non ha mai visto precedentemente, un’invenzione che sta trasformando e trasformerà ancora l’economia, la cultura e l’universo comunicativo dell’umanità tanto drasticamente quanto l'invenzione della stampa di Gutenberg mutò la società nel periodo del Medio Evo.

La rivoluzione Web portata alla luce da Tim Berners-Lee, oltre alle evidenti implicazioni positive, manifesta tuttavia la necessità di analizzare e conoscere attentamente anche gli aspetti e gli utilizzi negativi che di tale strumentazione si possono fare. In primis la nascita e la diffusione di un nuovo tipo di reati, detti web crimes, per cui sono sorte così nuove forme di criminalità. A seguito delle prime prese d’atto durante gli anni ’80 di questi fenomeni in alcuni Paesi, tra i primi USA, Olanda, Svezia e Norvegia, i web crimes, per i loro particolari aspetti ed implicazioni, vengono a racchiudersi in una specifica categoria, detta criminalità informatica.

Alla base si pone la possibilità di sfruttare in varie modalità l’anonimato offerto dal Web. Da una parte esso è garanzia essenziale nel “cyberspazio” di diritti fondamentali, quali la riservatezza e la libertà di espressione, dall’altra capacità di poter partecipare, comunicare e delinquere sulla rete senza rivelare la propria identità, una questione rilevante in settori importanti di ogni agenda sulla sicurezza, come la lotta al terrorismo, alla pedopornografia su Internet, alle frodi online e all’hacking di dati e informazioni sensibili.

Quali sono dunque le principali tipologie conosciute di web crimes da cui guardarsi?

Come si struttura la normativa italiana in merito?

Quali sono i rischi per imprese e consumatori?

WEB CRIMES: classificazione

In materia di classificazione e analisi dei web crimes giocano un ruolo fondamentale i provvedimenti dell’Unione Europea (in particolare di Commissione Europea e “Committee of Experts on Crime in Cyberspace”) e le leggi di recepimento nei singoli Stati membri1.

Generalmente per una definizione corretta dei web crimes è necessario distinguere in primo luogo i reati perpetrati per mezzo di sistemi informatici e telematici dai reati realizzati contro i medesimi sistemi; in secondo luogo i reati commessi su Internet (o reati informatici - telematici propri) dai reati commessi mediante Internet (o reati informatici - telematici impropri).

La “Convenzione sul Cybercrime”, firmata a Budapest il 23 novembre 2001, distingue i web crimes in varie tipologie:

  • illegal access” (accesso illegale all’intero computer system o ad una parte di esso, con violazione delle misure di sicurezza, al fine di ottenere dati);

  • illegal interception” (intercettazione di computer data da o verso un computer system);

  • data interference” (danneggiamento, detenzione, deterioramento, alterazione e soppressione di dati);

  • system interference” (grave intralcio senza diritto al funzionamento di un computer system per mezzo di trasmissione, danneggiamento, eliminazione, deterioramento, alterazione o soppressione di computer data);

  • misuse of device” (produzione, vendita e distribuzione di dispositivi, anche nella forma di programmi informatici, creati per commettere i reati rientranti nelle precedenti categorie, creazione di password e codici di accesso tali da permettere l’intrusione in un intero computer system o in una parte del medesimo);

  • computer-related forgery” (contraffazione e falsificazione di dati, spacciati per autentici, con l’intento di usarli a fini illegali);

  • computer-related fraud” (soppressione, alterazione e detenzione di computer data con intenti fraudolenti atti a creare un beneficio, anche economico, a vantaggio del reo).

Più in generale i web crimes si collegano strettamente al concetto di cibercriminalità, definibile come insieme degli atti criminali commessi contro reti di comunicazioni elettroniche e sistemi di informazione o avvalendosi di tali reti e sistemi. Gli esempi concreti e le pratiche di web crimes rilevate nel corso degli anni sono numerosissime e comprendono numerose tipologie di reato, ai fini della semplificazione è possibile racchiudere i crimini informatici in 3 macrocategorie di web crimes:

  1. Web crimes “tradizionali” attraverso le reti elettroniche (cosiddetti impropri), come la frode informatica, la falsificazione d’identità e documenti, il phishing, il furto d’identità, lo spam commerciale volto alla truffa, i programmi spia (spyware) e i software maligni (malware, più comunemente noti come virus);

  2. Web crimes “propri” delle reti elettroniche, ovvero quelli contro i sistemi di informazione e le strutture hardware informatiche, ad esempio il denial of service, la distruzione o l’alterazione di architetture, informazioni e banche dati informatiche;

  3. Web crimes “nuovi”, attraverso le reti elettroniche, riferiti alla pubblicazione sul web (domini internet o social network frequentemente) e diffusione di contenuti e pratiche illegali, come materiale pedopornografico o di incitamento al razzismo, propaganda e sostegno alle organizzazioni terroristiche, compravendita di merci o materiali sotto forma di contrabbando (es. armi o sostanze stupefacenti), la pirateria informatica e le violazioni dei diritti d’autore, fenomeni di stalking e ricatto a sfondo sessuale/sentimentale via web (diffusi col nome di sexting), reati di informazione o procedibili a querela per lesione dell’onore personale (es. ingiuria, calunnia, diffamazione).

WEB CRIMES: la normativa penale italiana

A livello penale le principali tipologie di web crimes previste dal Codice Penale italiano sono2:

Frode informatica (art. 640-ter C.P.) “Chiunque, alterando in qualsiasi modo il funzionamento di un sistema informatico o telematico o intervenendo senza diritto con qualsiasi modalità su dati, informazioni o programmi contenuti in un sistema informatico o telematico o ad esso pertinenti, procura a sé o ad altri un ingiusto profitto con altrui danno, è punito con la reclusione da sei mesi a tre anni e con la multa da cinquantuno euro a milletrentadue euro.

La pena è della reclusione da uno a cinque anni e della multa da trecentonove euro a millecinquecentoquarantanove euro se ricorre una delle circostanze previste dal numero 1) del secondo comma dell'articolo 640, ovvero se il fatto è commesso con abuso della qualità di operatore del sistema.

La pena è della reclusione da due a sei anni e della multa da euro 600 a euro 3.000 se il fatto è commesso con furto o indebito utilizzo dell'identità digitale in danno di uno o più soggetti.

Il delitto è punibile a querela della persona offesa, salvo che ricorra taluna delle circostanze di cui al secondo comma o un'altra circostanza aggravante”.

Il reato rappresenta un’estensione dell’art. 640 del C.P. relativo al reato di truffa, e consiste fondamentalmente nel trarre in inganno un elaboratore elettronico, al fine di ricavarne un guadagno economico (per sé o per altri complici) a danno di un soggetto terzo (solitamente il detentore dell’elaboratore elettronico).

Tipologie di web crimes che ricadono all’interno di questo reato sono principalmente il Phishing e l’utilizzo di Dialer.

Il Phishing si definisce come il tentativo di estorcere dati sensibili e personali (es. PIN di una carta di credito) attraverso una richiesta esplicita al possessore di questi, normalmente il reato viene iterato mediante posta elettronica inviando e-mail del tutto simili a quelle istituzionali, in cui vengono inseriti link a pagine web dove è previsto l’inserimento dei dati personali. Spesso le motivazioni addotte sono ripristini tecnici, conferma dei conti, scadenza di contratti o simili. I link portano a portali “emulati” del corretto sito in questione, ove se i dati vengono inseriti questi saranno contestualmente sottratti dal truffatore.

I Dialer sono regolari software che tuttavia possono essere truccati, una volta installati erroneamente nella versione truffa proposta, per dirottare la connessione internet dell’utente verso un numero telefonico, spesso di tariffazione internazionale o speciale, o pagine/servizi a pagamento, tramite i quali i WebMaster possano così tariffare costi all’insaputa dell’utente, a scapito di crediti cellulari o di bolletta delle utenze internet/telefoniche. 

 

Accesso abusivo a un sistema informatico o telematico (art. 615-ter C.P.) “Chiunque abusivamente si introduce in un sistema informatico o telematico protetto da misure di sicurezza ovvero vi si mantiene contro la volontà espressa o tacita di chi ha il diritto di escluderlo, è punito con la reclusione fino a tre anni.

La pena è della reclusione da uno a cinque anni:

1) se il fatto è commesso da un pubblico ufficiale o da un incaricato di un pubblico servizio, con abuso dei poteri, o con violazione dei doveri inerenti alla funzione o al servizio, o da chi esercita anche abusivamente la professione di investigatore privato, o con abuso della qualità di operatore del sistema;

2) se il colpevole per commettere il fatto usa violenza sulle cose o alle persone, ovvero se è palesemente armato;

3) se dal fatto deriva la distruzione o il danneggiamento del sistema o l'interruzione totale o parziale del suo funzionamento, ovvero la distruzione o il danneggiamento dei dati, delle informazioni o dei programmi in esso contenuti.

Qualora i fatti di cui ai commi primo e secondo riguardino sistemi informatici o telematici di interesse militare o relativi all'ordine pubblico o alla sicurezza pubblica o alla sanità o alla protezione civile o comunque di interesse pubblico, la pena è, rispettivamente, della reclusione da uno a cinque anni e da tre a otto anni.

Nel caso previsto dal primo comma il delitto è punibile a querela della persona offesa; negli altri casi si procede d'ufficio”.

Il sistema informatico viene qui visto dunque come un “luogo”, una vera e propria estensione del domicilio, e il reato di accesso abusivo informatico quindi analogo alla violazione di domicilio privato. Per subire un accesso abusivo un sistema deve essere protetto da una forma di sicurezza, logica (credenziali e password) e/o fisica (vigilanza, allarmi, porte blindate) a dimostrazione dell’intenzione alla fonte di tutelare i dati ivi contenuti. Il reato in questione reprime l’accesso e la permanenza irregolare su un sistema, mentre i danni di conseguenza arrecati sono da figurarsi in altre tipologie di reato.

 

Detenzione e diffusione abusiva di codici di accesso a sistemi informatici o telematici (art. 615-quater C.P.) “Chiunque, al fine di procurare a sé o ad altri un profitto o di arrecare ad altri un danno, abusivamente si procura, riproduce, diffonde, comunica o consegna codici, parole chiave o altri mezzi idonei all'accesso ad un sistema informatico o telematico, protetto da misure di sicurezza, o comunque fornisce indicazioni o istruzioni idonee al predetto scopo, è punito con la reclusione sino a un anno e con la multa sino a cinquemilacentosessantaquattro euro.

La pena è della reclusione da uno a due anni e della multa da cinquemilacentosessantaquattro euro a diecimilatrecentoventinove euro se ricorre taluna delle circostanze di cui ai numeri e del quarto comma dell'articolo 617 quater”.

L’articolo punisce la detenzione non autorizzata di codici di accesso a sistemi informatici (es. password, PIN, riconoscimenti vocali, impronte digitali) e la loro illecita diffusione, dal momento in cui gli stessi siano utilizzati al fine di garantire un illecito profitto a danno altrui.

 

Diffusione di programmi diretti a danneggiare o interrompere un sistema informatico (art. 615-quinquies C.P.) “Chiunque, allo scopo di danneggiare illecitamente un sistema informatico o telematico, le informazioni, i dati o i programmi in esso contenuti o ad esso pertinenti ovvero di favorire l’interruzione, totale o parziale, o l’alterazione del suo funzionamento, si procura, produce, riproduce, importa, diffonde, comunica, consegna o, comunque, mette a disposizione di altri apparecchiature, dispositivi o programmi informatici, è punito con la reclusione fino a due anni e con la multa sino a euro 10.329”.

Il reato punisce la distribuzione di malware (virus, spyware, worm, trojan horse ecc.) che possono essere utilizzati a finalità di danneggiare o interrompere un sistema informatico. Non è importante la finalità di utilizzo degli stessi nella fattispecie di questo articolo, è sufficiente dimostrare che il software “maligno” sia volto appunto a danneggiare un sistema, dunque il reato è perseguibile solo in presenza di dolo da parte del reo (es. i worm, soprattutto quelli mediante posta elettronica, sono malware che possono propagarsi all’insaputa dell’utente).

 

Intercettazione, impedimento o interruzione illecita di comunicazioni informatiche o telematiche (art. 617-quater C.P.) “Chiunque fraudolentemente intercetta comunicazioni relative a un sistema informatico o telematico o intercorrenti tra più sistemi, ovvero le impedisce o le interrompe, è punito con la reclusione da sei mesi a quattro anni.

Salvo che il fatto costituisca più grave reato, la stessa pena si applica a chiunque rivela, mediante qualsiasi mezzo di informazione al pubblico, in tutto o in parte, il contenuto delle comunicazioni di cui al primo comma.

I delitti di cui ai commi primo e secondo sono punibili a querela della persona offesa.

Tuttavia si procede d'ufficio e la pena è della reclusione da uno a cinque anni se il fatto è commesso:

1) in danno di un sistema informatico o telematico utilizzato dallo Stato o da altro ente pubblico o da impresa esercente servizi pubblici o di pubblica necessità;

2) da un pubblico ufficiale o da un incaricato di un pubblico servizio con abuso dei poteri o con violazione dei doveri inerenti alla funzione o al servizio, ovvero con abuso della qualità di operatore del sistema;

3) da chi esercita anche abusivamente la professione di investigatore privato”.

Installazione di apparecchiature atte ad intercettare, impedire o interrompere comunicazioni informatiche o telematiche (art. 617-quinquies C.P.) “Chiunque, fuori dei casi consentiti dalla legge, installa apparecchiature atte a intercettare, impedire o interrompere comunicazioni relative a un sistema informatico o telematico ovvero intercorrenti tra più sistemi, è punito con la reclusione da uno a quattro anni.

La pena è della reclusione da uno a cinque anni nei casi previsti dal quarto comma dell'articolo 617 quater”.

Falsificazione, alterazione o soppressione del contenuto di comunicazioni informatiche o telematiche (art. 617-sexies C.P.) “Chiunque, al fine di procurare a sé o ad altri un vantaggio o di arrecare ad altri un danno, forma falsamente ovvero altera o sopprime, in tutto o in parte, il contenuto, anche occasionalmente intercettato, di taluna delle comunicazioni relative a un sistema informatico o telematico o intercorrenti tra più sistemi, è punito, qualora ne faccia uso o lasci che altri ne facciano uso, con la reclusione da uno a quattro anni.

La pena è della reclusione da uno a cinque anni nei casi previsti dal quarto comma dell'articolo 617 quater”.

Gli artt. del C.P. in questione puniscono i web crimes inerenti la falsificazione, l’alterazione, l’intercettazione e l’impedimento delle comunicazioni informatiche. Essi riguardano le corrispondenze in cui destinatario/i e mittente/i sono ben definiti, pertanto in cui vigono confidenzialità, segretezza e libertà d’informazione/comunicazione, che sarebbero da tali condotte alterate.

 

Danneggiamento di sistemi informatici e telematici (art. 635-bis) “Salvo che il fatto costituisca più grave reato, chiunque distrugge, deteriora, cancella, altera o sopprime informazioni, dati o programmi informatici altrui è punito, a querela della persona offesa, con la reclusione da sei mesi a tre anni.

Se il fatto è commesso con violenza alla persona o con minaccia ovvero con abuso della qualità di operatore del sistema, la pena è della reclusione da uno a quattro anni”.

L’art. estende la fattispecie del reato di danneggiamento (art. 635) normandola specificatamente per i casi in cui esso è volto a sistemi informatici e telematici, vista la natura “immateriale” degli stessi. Rendere infruibile in tutto o in parte, creare guasti o annullare totalmente un sistema informatico o telematico comporta l’incorrere nel presente reato. I successivi artt. 635 ter-quater-quinquies costituiscono aggravanti e casi particolari rispetto a questo reato informatico.

 

Frode informatica del soggetto che presta servizi di certificazione di firma elettronica (art. 640-quinquies C.P.) “Il soggetto che presta servizi di certificazione di firma elettronica, il quale, al fine di procurare a sé o ad altri un ingiusto profitto ovvero di arrecare ad altri danno, viola gli obblighi previsti dalla legge per il rilascio di un certificato qualificato, è punito con la reclusione fino a tre anni e con la multa da 51 a 1.032 euro”.
 

Fattispecie particolare di frode informatica di recente istituzione, questo reato riguarda chi utilizza in maniera illecita ai fini di truffa dispositivi di firma elettronica.

 

Falsità in Documenti informatici (art. 491-bis C.P.) “Se alcuna delle falsità previste dal presente capo riguarda un documento informatico pubblico avente efficacia probatoria, si applicano le disposizioni del capo stesso concernenti gli atti pubblici”.

L’art. allarga la fattispecie di falsità sia materiale sia ideologica anche ai contenuti e alle formattazioni dei documenti digitali. Quando dunque un documento informatico viene deliberatamente falsificato si applicano le stesse pene di cui agli artt. relativi alla falsità in atti delle scritture private e degli atti pubblici.

WEB CRIMES: i reati informatici in azienda

In maniera conscia o inconscia sono numerose le problematiche in cui si può incorrere qualora i web crimes sopra elencati vengano commessi in azienda.

Il D.lgs. 231/2001 “Responsabilità amministrativa delle società e degli enti” norma la responsabilità degli enti per gli illeciti amministrativi dipendenti da reato. Secondo questa regolamentazione rientrerebbero, nel concetto di “ente”, tutti i soggetti forniti di personalità giuridica, le società e le associazioni anche prive di personalità giuridica, rimanendone esclusi lo Stato, gli enti pubblici territoriali, gli altri enti pubblici non economici e gli enti che svolgono funzioni di rilevanza costituzionale. Viene prevista la responsabilità amministrativa dell’Ente per i reati-presupposto commessi nel suo interesse o a suo vantaggio da:

  • persone che rivestono funzioni di rappresentanza, amministrazione o direzione dell’ente o di sua unità organizzativa dotata di autonomia finanziaria e funzionale;

  • persone che esercitano, anche di fatto, la gestione ed il controllo dell’ente o di sua unità organizzativa autonoma;

  • persone sottoposte alla direzione o alla vigilanza di uno dei soggetti di cui ai punti precedenti.

Viene, tuttavia, esclusa la responsabilità dell’ente nel caso in cui le persone (che ricoprono incarichi “apicali” ovvero soggette “all’altrui direzione”) abbiano agito nell’interesse esclusivo proprio o di terzi.

Dunque se i web crimes prima citati venissero commessi in azienda, è importante conoscere che essa può essere chiamata a risponderne in termini amministrativi, soprattutto con confische, sequestri e sanzioni pecuniarie.

La L. 48/2008 "Ratifica ed esecuzione della Convenzione del Consiglio d'Europa sulla criminalità informatica, fatta a Budapest il 23 novembre 2001, e norme di adeguamento dell'ordinamento interno" rafforza la responsabilità delle aziende in termini di web crimes, in particolare le aziende possono essere chiamate a rispondere per la maggior parte dei reati informatici commessi dai suoi vertici e dipendenti.

La L. 48/2008, infatti, estende in maniera esplicita la responsabilità amministrativa degli enti alla quasi totalità dei web crimes prima elencati e sanzionati dal C.P. italiano. Ciò che può preoccupare le aziende poi non è solo l’estensione di tale responsabilità a tutti i delitti informatici, ma la circostanza che la stessa possa essere imputata anche nelle ipotesi in cui non venga rintracciato l’autore materiale del reato. Ne consegue che la mancata individuazione del soggetto attivo del reato, non infrequente in materia di criminalità informatica, possa non far comprendere esattamente all’organo giudicante le motivazioni dello stesso e quindi determinare un’attribuzione di responsabilità anche quando l’autore del reato abbia agito per fini esclusivamente personali e non nell’interesse del suo datore di lavoro.

L’azienda ritenuta responsabile è soggetta oltre che all’esborso di ingenti somme di danaro a sanzioni interdittive quali:

  • l’interdizione dall’esercizio dell’attività;

  • la sospensione o la revoca delle autorizzazioni, licenze o concessioni funzionali alla commissione dell’illecito;

  • il divieto di contrattare con la pubblica amministrazione, salvo che per ottenere le prestazioni di un pubblico servizio;

  • l’esclusione da agevolazioni, finanziamenti, contributi o sussidi e l’eventuale revoca di quelli già concessi;

  • il divieto di pubblicizzare beni o servizi.

Per prevenire tali problematiche e responsabilità le aziende si devono dotare di opportuni strumenti di controllo verso l’interno e l’esterno, oltreché fare formazione ai propri dipendenti addetti in materia. Per contrastare efficacemente i web crimes è opportuno conoscerli e diffonderne la conoscenza.


1 Riferimenti normativi: Recommendation No. R. (89)9 sulla criminalità informatica; Recommendation No. R.(95)13 sulle procedure da seguire a vari livelli nei casi di crimini commessi nell’ambito dell’Information Technology; Budapest Convention on Cybercrimes 23 novembre 2001; Decisione Quadro 2005/222/GAI; Comunicazioni della Commissione Europea: “Creare una Società dell’Informazione più sicura incrementando la Sicurezza delle Infrastrutture dell’Informazione e mediante la lotta alla Criminalità Informatica” e “Sicurezza delle reti e sicurezza dell’informazione: proposta di un approccio strategico europeo” (gennaio 2001), “Comunicazione verso una politica generale di lotta contro la cibercriminalità” (maggio 2007), “Lotta alla criminalità nell'era digitale: istituzione di un Centro europeo per la lotta alla criminalità informatica” (marzo 2012).

2 Particolare riferimento si fa alle leggi: L. 547/1993 “Modificazioni ed integrazioni alle norme del codice penale e del codice di procedura penale in tema di criminalità informatica”; L. 48/2008 "Ratifica ed esecuzione della Convenzione del Consiglio d'Europa sulla criminalità informatica, fatta a Budapest il 23 novembre 2001, e norme di adeguamento dell'ordinamento interno".