I nuovi reati informatici e i rischi per le imprese

Ha pochi mesi la nuova legge che ratifica la convenzione di Budapest sul cybercrime, che implica pesanti conseguenze per le aziende che non adottino misure preventive al loro interno.

Sanzioni più pesanti per i reati informatici; estesa la responsabilità delle imprese; maggiori tutele per i dati personali; possibilità per le forze dell'ordine di chiedere al provider il congelamento dei dati telematici per sei mesi.

Ecco alcune delle novità che la Legge 18 marzo 2008, n. 48 (pubblicata in Gazzetta Ufficiale 4 aprile 2008, n. 80) introduce nel nostro ordinamento.
Il provvedimento ratifica la Convenzione del Consiglio d'Europa di Budapest sulla criminalità informatica, che il nostro paese aveva sottoscritto nel 2001.

In questo modo anche l'Italia si aggiunge alla ormai lunga lista di Paesi che hanno adottato nel loro ordinamento le disposizioni previste dalla Convenzione, che è molto precisa in tema di frode informatica, accesso abusivo al sistema informatico, pedopornografia, illecite intercettazioni di dati telematici ed in generale nei confronti di tutti i temi più discussi in ambito cybercriminalità e che sono stati affrontati, pur accompagnati da mille controversie, dalle normative italiane.

Una conseguenza che riveste particolare importanza è sicuramente l'estensione della responsabilità amministrativa della persone giuridiche ai reati informatici, pertanto aumenta la responsabilità delle imprese nel caso non adottino misure preventive idonee ad evitare che gli addetti interni della società commettano reati informatici: per l'azienda si determina così una responsabilità patrimoniale anche di rilevante entità.
i reati informatici di cui le aziende possono essere chiamate a rispondere

• Attentato a impianti di pubblica utilità compreso il danneggiamento o la distruzione di sistemi informatici o telematici di pubblica utilità;

• Falsità in un documento informatico pubblico o privato;

• Accesso abusivo ad un sistema informatico o telematico;

• Detenzione e diffusione abusiva di codici di accesso a sistemi informatici o telematici;

• Diffusione di apparecchiature, dispositivi o programmi informatici diretti a danneggiare o interrompere un sistema informatico o telematico;

• Intercettazione, impedimento o interruzione illecita di comunicazioni informatiche o telematiche;

• Installazione di apparecchiature atte ad intercettare, impedire o interrompere comunicazioni informatiche o telematiche;

• Danneggiamento di informazioni, dati e programmi informatici;

• Danneggiamento di informazioni, dati e programmi informatici utilizzati dallo Stato o da altro ente pubblico o comunque di pubblica utilità;

• Danneggiamento di sistemi informatici o telematici;

• Truffa del certificatore di firma elettronica.

Abbiamo a questo punto interpellato due esperti per approfondire l'impatto e le conseguenze pratiche delle nuove disposizioni di legge: il Maggiore della G.d.F. Mario Leone Piccinni e Giovanni Ziccard, Professore di Informatica Giuridica di Milano.

Mario Leone Piccinni, Maggiore della Guardia di finanza

Con la ratifica della Convenzione, vengono individuati “nuovi crimini”. Potrebbe indicarci quali sono.
Con la ratifica della Convenzione di Budapest sul crimine informatico, il legislatore ha di fatto introdotto nel sistema normativo nazionale, sanzioni più pesanti per i reati informatici, prevedendo norme maggiormente incisive nel contrasto alla pedopornografia on line e sanzioni anche a carico delle società. In definitiva, il legislatore ha introdotto importanti varianti al Codice Penale, al Codice di Procedura Penale, al Codice della Privacy ed al Dlgs nr. 231/2001.
Con l'art. 495 bis c.p., il furto di identità o l'uso di false generalità nei confronti di chi deve certificare l'identità del titolare di una firma elettronica, viene sanzionato con la pena della reclusione fino ad un anno.
Sono previste sanzioni anche per il certificatore di firma elettronica che si rende responsabile del mancato rispetto delle regole normative relative al rilascio dei certificati.
Con l'articolo 640 quinquies, è stato introdotto il reato di truffa del certificatore di firma elettronica qualificata, una nuova fattispecie di frode informatica, commessa da colui che presta servizi di certificazione di firma elettronica.
L'art. 615 quinquies del Codice Penale amplia le condotte considerate illecite, dapprima circoscritte in maniera esclusiva al software, anche alle altre “apparecchiature e dispositivi”, utilizzati al fine di recare danno ad un sistema informatico o telematico. Costituirà reato, previsto e punito dall'art. 615 quinquies quindi, oltre che il procurarsi malware e virus, anche la creazione, il commercio, ecc., di dongle, skimmer ecc., laddove tali strumenti siano strumentali ad un utilizzo illegale finalizzato al danneggiamento o alterazione di un sistema informatico, ovvero di dati e programmi in esso racchiusi.
A differenza di quanto avveniva con la precedente formulazione normativa, quindi, dove per la configurazione del reato era richiesto quantomeno la diffusione, con la nuova norma, per la configurazione dell'illecito è sufficiente anche la mera detenzione di malware. Il Legislatore ha, inoltre, operato un generale riordino delle fattispecie di “danneggiamento informatico”, operando una differenziazione tra danneggiamento di dati, programmi e informazioni e danneggiamento di sistemi informatici.

È stata estesa per i reati informatici la responsabilità amministrativa delle persone giuridiche. Quale impatto avrà questa disposizione nelle imprese e quali sono le metodologie che i responsabili aziendali devono mettere in atto per tutelarsi?
Estremo interesse riveste l'estensione ai reati informatici della responsabilità amministrativa degli enti, di cui al Dlgs nr. 231 del 2001.
Vengono introdotte norme più severe, che prevedono onerose sanzioni di tipo patrimoniale, nei confronti di quelle imprese che non pongono in essere idonee misure di prevenzione dei crimini informatici commessi da personale inquadrato nell'organico societario.
Il legislatore ha quindi introdotto provvedimenti normativi volti a garantire una maggiore responsabilizzazione delle persone giuridiche, novellando il Dlgs. 231/2001, attraverso la previsione di illeciti amministrativi per i reati commessi nell'interesse o a vantaggio dello stesso ente, da soggetti ubicati in posizione di vertice o inquadrati quali dipendenti.
Si tratta, in ogni caso, di responsabilità che non assorbono l'eventuale responsabilità amministrativa prevista del Dlgs. 301/2001, ma di sanzioni pecuniarie ed interdittive che ad essa si sommano ed affiancano.
La sanzione penale che va applicata in caso di violazioni, viene determinata sulla base di un duplice criterio di calcolo, ovvero per numero di quote e per valore delle stesse.
Il numero di quote che il giudice deciderà di deliberare sarà differente a seconda della gravità dell'illecito, del grado della responsabilità dell'ente e dell'impegno palesato da quest'ultimo nella eliminazione o riduzione degli esiti negativi del reato; il valore di ogni singola quota varia a seconda della portata economica e del patrimonio dell'ente.
Oltre alle sanzioni pecuniarie, l'art. 24 bis inserito nell'impianto normativo preesistente del Dlgs. nr. 301/2001, prevede la possibilità di comminare all'ente sanzioni di tipo interdittivo, che variano a seconda del tipo di reato commesso e che vanno dalla revoca delle autorizzazioni, licenze o concessioni funzionali alla commissione del fatto costituente reato, all'interdizione dall'esercizio dell'attività, alla sospensione o al divieto di fare propaganda di beni o servizi.
Sostanzialmente, la nuova previsione normativa impone alle imprese di fare propri schemi di gestione interna validi ed efficaci ma che siano soprattutto in grado di evitare, in modo analogo a quanto accaduto con il noto caso Parmalat, che amministratori, dirigenti e dipendenti con ruoli di responsabilità all'interno della struttura societaria, possano rendersi responsabili di reati, commessi mediante le strutture aziendali, a vantaggio dell'ente stesso.
L'esposizione degli enti a simili responsabilità risulta, di fatto, talmente forte da poter determinare sanzioni pecuniarie elevatissime e la cessazione dell'attività dell'azienda
è consigliabile, quindi, che gli apicali delle imprese pongano maggiore sforzo organizzativo e rivedano i processi di gestione interna dei sistemi informatici e fare in modo che, concretamente, i livelli di sicurezza certificati nell'ambito delle policy aziendali, trovino riscontro, nella realtà, nei processi gestionali e produttivi quotidianamente adoperati.
Dal punto di vista tecnico, sarebbe opportuna la redazione di security policies basate su documenti dotati di stime in grado di eliminare anche il solo rischio della commissione di reati informatici.
Va evidenziato, infine, come la disciplina del Dlgs. 301/2001 e quindi le sanzioni previste dal nuovo art. 24 bis della legge di ratifica, non siano applicabili allo Stato, agli enti pubblici territoriali e non economici ed agli enti che svolgono funzioni di rilievo costituzionale (ad esempio, partiti politici, ordini professionali, imprese individuali, sindacati).

Altro caposaldo emerso dalla ratifica sono le misure di collaborazione e cooperazione tra le forze di polizia. Come si attuerà questo nella pratica?
La Convenzione rappresenta, di fatto, il primo accordo internazionale in materia di crimini commessi attraverso il web o altre reti informatiche che si pone l'obiettivo primario di realizzare una politica comune fra gli Stati membri, mediante l'adozione di una normativa adeguata, che renda realizzabile un'efficace e coordinata opera di contrasto al crimine informatico.
Dal punto di vista pratico, l'armonizzazione delle normative nazionali dovrebbe concretizzarsi in una più stretta e rapida cooperazione giudiziaria a livello internazionale, con la conseguente auspicabile accelerazione dei tempi necessari ad esperire rogatorie internazionali e la possibilità per le varie forze di polizia che svolgono indagini finalizzate al perseguimento dei crimini correlati all'area informatica, di “parlare” lo stesso linguaggio tecnico-giuridico.

Questione della data retention, così dibattuta durante il governo Prodi con in Decreto Pisanu. Cosa cambia?
Nell'ambito di determinate finalità di “investigazioni preventive”, (di cui all'art. 226 del decreto legislativo n. 271 del 1989, in materia di lotta al terrorismo), il nuovo impianto normativo apporta modifiche di rilievo alle misure di sicurezza ed ai tempi di conservazione dei dati del traffico telematico, prevedendo, di fatto, un'estensione del potere delle forze di polizia nel reperimento dei dati presso gli operatori.
Su disposizione della forza di polizia che esegue indagini preventive ovvero su richiesta di autorità straniere, operatori ed internet service providers, saranno obbligati a conservare e proteggere i dati relativi al traffico telematico per 6 mesi e saranno tenuti al rilascio immediato delle informazioni ed al mantenimento del segreto sugli ordini ricevuti.
Per gli operatori inadempienti, la legge prevede sanzioni detentive fino a 3 anni di carcere.
In ogni caso, la richiesta di data retention preventiva deve essere convalidata dal pubblico ministero entro le quarantotto ore successive alla sua esecuzione.
Ci sono altre implicazioni interessanti per lo sviluppo delle indagini introdotte dalle nuove norme?
Dal punto di vista delle indagini, la Legge di ratifica comporta soprattutto l'adozione di nuovi metodi investigativi sulle digital evidence.
Tra le più importanti innovazioni introdotte rientrano, senza dubbio, quelle riguardanti le ispezioni ed il sequestro di dati informatici che hanno chiarito determinate procedure utilizzate in tema di investigazioni telematiche e portato disciplina in un settore da sempre regolato dalla mera “prassi investigativa”.
Sono state apportate importanti modifiche agli articoli 247 (perquisizione) e 244 (ispezione) del Codice di Procedura Penale, determinando l'obbligo per la polizia giudiziaria di attuare accorgimenti tecnici finalizzati a garantire il mantenimento dei dati originali e ad impedirne l'alterazione.
Tutto ciò dovrebbe significare il rispetto di standard fissati dalla computer forensics, la cui inosservanza dovrebbe voler dire annullamento del valore di prova di molte operazioni di polizia.
Viene inoltre estesa alle perquisizioni in ambito informatico la possibilità per la polizia giudiziaria di procedere ugualmente all'acquisizione delle prove violando le misure di sicurezza qualora essa non sia in possesso delle password.
Infine, di estrema importanza risulta la disposizione normativa la quale prevede che le indagini in materia di reati informatici e di pedopornografia debbano essere affidate agli uffici del pubblico ministero presso il tribunale del capoluogo del distretto di corte d'appello; una novità che rende auspicabile la creazione di appositi “pool” di magistrati inquirenti specializzati.

Giovanni Ziccardi, Professore di Informatica Giuridica all'Università degli Studi di Milano

Quali sono gli ambiti su cui impatta la ratifica della convenzione sul cybercrime?
Le questioni di diritto disciplinate dal testo della cosiddetta convenzione di Budapest sui cybercrimes impattano essenzialmente su due ambiti: il diritto sostanziale e il diritto processuale. Semplificando, riguardano i “nuovi”, o leggermente modificati, reati informatici che verranno introdotti anche nel nostro ordinamento e gli aspetti più processuali dedicati alla computer forensics, alle intercettazioni di comunicazioni e di flussi di dati telematici e alle modalità di acquisizione della fonte di prova in formato digitale.
Per ben comprendere lo spirito del disegno di legge italiano di recepimento conviene, comunque, riferirsi, in prima battuta, al testo del documento “originale”, ovvero la Convenzione sul cybercrime del Consiglio d'Europa, adottata a Budapest l'8 novembre 2001 e aperta alle firme in data 23 novembre 2001. Si tratta di un documento, vale la pena ricordarlo, che “interessa” anche soggetti extra europei: si pensi che tra i sottoscrittori non appartenenti al Consiglio d'Europa vi sono anche Stati Uniti, Canada e Giappone.
La Convenzione, entrata in vigore il 1 luglio 2004 una volta intervenute le cinque ratifiche previste, si propone obiettivi certamente importanti: l'idea è quella di armonizzare il diritto penale sostanziale in materia di cybercrime e reati collegati, di dare a tutti gli Stati il potere e gli strumenti necessari per l'investigazione e la repressione della criminalità informatica e per l'accertamento di quei reati per i quali la prova sia in formato elettronico e, infine, di organizzare un sistema internazionale di cooperazione veloce ed efficace.

Potrebbe illustrare nello specifico quali saranno i cambiamenti più significativi per quanto riguarda il nostro ordinamento?
Innanzitutto, verrà riordinato l'elenco delle fattispecie previste dal nostro ordinamento che si possono considerare come reati informatici. Questo riordino verrà fatto sia riprendendo e modificando alcune ipotesi di reati informatici previsti dalla vecchia legge (che, lo ricordiamo, risale al 1993!) sia prevedendo nuovi tipi di reato più “adatti” all'evoluzione tecnologica e che nel 1993 ancora non si potevano prevedere.
Interessante il fatto che scopo della convenzione sia anche quello di far sì che ogni Stato abbia più o meno, pur nella particolarità dei singoli ordinamenti, gli stessi tipi di reati informatici previsti e puniti anche negli altri paesi: ciò permetterà, essenzialmente, una maggiore chiarezza (ciò che sarà “reato informatico” in uno Stato lo sarà anche in un altro) e una facilità nelle coinvolgono che riguardano più Stati (come è noto molti crimini, se basati su Internet, permettono un passaggio “indolore” attraverso i confini e coinvolgono molto spesso sistemi informatici collocati in diversi punti geografici). Un cambiamento interessantissimo al panorama attuale sarà poi un adattamento della disciplina processuale affinchè siano previste modalità per assicurare una tempestiva assicurazione dei dati elettronici archiviati suscettibili di essere alterati o modificati. Da un punto di vista tecnologico è fondamentale la prescrizione secondo cui, subito dopo il sequestro del computer, debba essere effettuata una copia per mantenere l'integrità dei dati rilevanti.
Passando dal panorama internazionale al panorama italiano, ovvero a come verranno modificati il nostro codice penale e il nostro codice di procedura penale su questi temi, interessante il fatto che il recepimento dell'accordo internazionale porterà ad un ritocco degli istituti della perquisizione e della ispezione. Saranno allargate le attività ispettive prevedendo che l'autorità giudiziaria possa disporre tali operazioni anche in relazione a sistemi informatici o telematici, informazioni, programmi informatici o tracce comunque pertinenti al reato che si trovano in un sistema informatico o telematico.
Anche la computer forensics è motivo di interesse: per la prima volta nel nostro ordinamento si esplicita la necessità che la acquisizione di dati digitali avvenga mediante copia di essi su adeguato supporto, con una procedura che assicuri la conformità dei dati acquisiti a quelli originali e la loro non modificabilità.

A suo giudizio, i provvedimenti adottati in ambito di criminalità informatica sono adeguati alla reale situazione del nostro Paese?
A mio parere, vi era una necessità di riforma del settore, dal momento che la normativa del 1993 era stata pensata per realtà tecnologiche ben diverse da quella attuale (anche se, ad onor del vero, occorre dire che non tutti i reati informatici sono disciplinati dalla legge del 1993 ma, nel corso degli anni, si sono succeduti altri provvedimenti). è difficile fare previsioni, l'impatto di questa riforma lo potremo valutare solo tra qualche anno. Di certo l'attenzione alle “regole”, soprattutto in tema di computer forensics e di preservazione della prova, mi sembra un indubbio passo avanti.

Si parla di “gap” tra tecnologia e diritto e di un atteggiamento tecnofobo del legislatore in molti dei provvedimenti adottati in materia di diritto telematico. Qual'è la sua opinione in proposito?
La tradizione giuridica italiana, in ogni settore, è caratterizzata da un “terrore” per le tecnologie, dal timore che il mad scientist possa impossessarsi dei sistemi informatici nostrani e controllare il mondo o commettere reati. Lo si è visto con le ipotesi di responsabilità oggettiva previste nella normativa sulla privacy, dell'estensione ingiustificata di ipotesi di reato (anche se previste da documenti europei) a comportamenti senza lesione di valori importanti (si pensi alla pedopornografia virtuale, ovvero dove non sono coinvolti bambini in carne ed ossa ma solo rappresentazioni), a ventilati tentativi di vietare o limitare la crittografia, di estendere ai blogger ipotesi di responsabilità pari a quelle dei direttori di giornali, di obbligare i gestori di siti di informazione a depositare i loro scritti, e così via.
Ciò porta a un quadro normativo per molti versi liberticida e troppo rigoroso, dove si abusa spesso della sanzione penale che dovrebbe essere, invece, l'extrema ratio in ogni Paese civile.

http://www.b2b24.ilsole24ore.com/pcopen/articoli/0,1254,4s5009_ART_92500,00.html?lw=10019;CHL

Maxitruffa informatica: Pec false dalle banche, svuotati migliaia di conti correnti online.

Banda di cybercriminali sgominata tra Abruzzo e Calabria dai carabinieri del comando provinciale di Messina. I militari hanno arrestato 5 p...