La rubrica #DigitalCrime, a cura di Paolo Galdieri, Docente di Diritto penale dell’informatica, si occupa del cybercrime dal punto di vista normativo e legale. Clicca qui per leggere tutti i contributi.
All’inizio del nuovo anno è stata resa pubblica la bozza del disegno di legge “in materia di reati informatici e di rafforzamento della cybersicurezza nazionale” sul quale è all’opera il Governo: diciotto articoli con cui l’esecutivo – negli ultimi tempi chiamato a prendersi carico, con riguardo ai reati commessi in rete, di una vera propria emergenza sociale – ha con decisione imboccato la strada della repressione della criminalità informatica, avvalendosi di un inasprimento del meccanismo sanzionatorio e di una sorta di “moral (penal) suasion” nei confronti dei c.d. criminal hacker.
Quanto al primo dei due strumenti valorizzati, nulla di nuovo: il fenomeno degli illeciti on line ha difatti assunto una dimensione globale che impone un adeguamento dei limiti edittali alla gravità esponenziale delle condotte poste in essere.
Chiaro è, sotto questo punto di vista, l’intento del Legislatore di operare una modifica degli articoli 615-ter (accesso abusivo a un sistema informatico o telematico), 615-quater (detenzione e diffusione abusiva di codici di accesso a sistemi informatici o telematici), 617-quater (intercettazione, impedimento o interruzione illecita di comunicazioni informatiche o telematiche), 617-quinquies (detenzione, diffusione e installazione abusiva di apparecchiature e di altri mezzi atti a intercettare, impedire o interrompere comunicazioni informatiche o telematiche) e 617-sexies (detenzione, diffusione e installazione abusiva di apparecchiature e di altri mezzi atti a intercettare, impedire o interrompere comunicazioni informatiche o telematiche) del codice penale, prevedendo un generale innalzamento delle pene per i pirati informatici, che arrivano, per l’ipotesi base di cui all’art. 615 ter c.p., sino a dodici anni «se dal fatto deriva la distruzione o il danneggiamento del sistema o la interruzione totale o parziale del suo funzionamento».
Proprio a quelli tra i pirati informatici che intendano poi adoperarsi per evitare che la loro attività delittuosa possa produrre danni ulteriori, collaborando in concreto con le autorità investigative, il d.d.l. spalanca le porte della c.d. legislazione premiale, prevedendo una considerevole diminuzione della pena irrogabile: “dalla metà ai due terzi”.
Ora non v’è chi non oda come in questa scelta di politica criminale riecheggino le note di altri testi normativi, compilati nelle ricorrenti fasi emergenziali della storia recente del nostro Paese e, in particolare, della prima disciplina sulla collaborazione con la giustizia degli appartenenti ad associazioni mafiose, dettata dal decreto-legge n. 8 del 1991, poi convertito nella legge n. 82/1991.
Con tali norme è stato introdotto nel nostro ordinamento un sistema premiale per i collaboratori di giustizia coinvolti nei delitti di stampo mafioso, analogamente a quanto disciplinato in passato con riguardo ai reati di terrorismo.
Del tutto lecitamente viene a questo punto da chiedersi quali possano essere state le ragioni profonde di una scelta siffatta, posto che la criminalità organizzata, come dianzi evidenziato, sta da tempo guardando al mondo digitale quale “nuova frontiera” del suo business e lo Stato si trova chiamato a rincorrerla con notevole affanno di mezzi e professionalità.
Non v’è dubbio alcuno sul fatto che la legislazione premiale in tema di collaborazione di giustizia applicata al fenomeno mafioso – e prima ancora al terrorismo degli ‘anni di piombo’ – abbia consentito di sferrare colpi decisivi alle consolidate strutture di criminalità organizzata.
Desta però qualche legittima perplessità questa sorta di “abdicazione ai tecnocrati”, figlia di un’oggettiva carenza strutturale di investimenti e risorse (anche umane) e nel contempo rivelatrice di un approccio tendenzialmente buonista nei riguardi del pirata informatico.
Il quale, come ogni buon pirata che si rispetti, ha adeguato la propria immagine ai nuovi tempi, passando con disinvoltura dal look trasandato del giovane nerd di qualche decennio fa, cinematograficamente celebrato nel film Wargames, a quello, ben più curato e redditizio, dell’ethical hacker.
Del resto, punti di contatto tra il tema della responsible disclosure (o vulnerability disclosure) ed il mondo del diritto non sono mancati, il più noto dei quali può farsi pacificamente risalire al caso deciso dal G.I.P. di Catania con il decreto del 15.07.2019, che dispose l’archiviazione di un’imputazione ex art. 615 ter c.p., scaturita dallo sviluppo di un progetto aziendale relativo ad un’applicazione per smartphone
In quell’evenienza l’imputato, “godendo di notevoli competenze tecniche”, si era introdotto abusivamente nel sistema aziendale, acquisendo informazioni che gli avevano consentito di individuare alcuni bugs dell’applicativo, dei quali si peritava di avvisare l’azienda affinché la stessa potesse porvi riparo.
Non avendo avuto riscontro, egli decideva di rendere successivamente noti al pubblico tali errori tecnici: ebbene il giudice ritenne di inquadrare tale fatto nella “metodologia comune della divulgazione responsabile” per assicurare la tutela dei consumatori e conseguentemente dispose l’archiviazione del procedimento.
Vero è, però, che l’art. 615 ter c.p. nulla dice in merito alle finalità sottese alla condotta tipizzata, descritta come mero ingresso e/o permanenza abusiva in un sistema informatico o telematico protetto da misure di sicurezza, da ritenersi consumata nel momento stesso in cui il sistema viene violato.
Dal che è legittimo ritenere che la fattispecie di accesso abusivo ad un sistema informatico o telematico, sia ascrivibile a qualsivoglia tipologia di hacker a prescindere dalle finalità – più o meno etiche – che egli si sia prefissato di raggiungere nel momento in cui ha deciso di introdursi abusivamente nel sistema.
Di certo, mai come nel caso dei reati informatici il Legislatore, al pari dell’uomo della strada, deve sperimentare una frustrante sensazione di impotenza nell’immaginarsi efficacemente pronto a fronteggiare un furto di dati o un serio danno ad un sistema.
Da qui, forse, l’idea che riuscire a contenere le conseguenze potenzialmente disastrose di un attacco informatico rappresenti un obiettivo di primaria importanza dal punto di vista politico-criminale: e allora, a quel punto, gli hacker è meglio tenerseli buoni.
