Cybercrime e cybersecurity, sulla bocca di tutti, conosciute da pochi. Queste poche righe serviranno a fornire un quadro generale dello stato dell’arte da tre differenti punti di vista, con tutta probabilità i principali, ossia quello della protezione dei dati, quello della pedopornografia e quello della xenofobia.

Un’analisi di questo genere, seppur a carattere divulgativo, non può prescindere dall’esplicitazione delle fonti di riferimento. In particolare, si tratta di due trattati e un protocollo aggiuntivo.
I trattati in questione sono, come i più ferrati sapranno, la Convenzione di Budapest sul Cybercrime, adottata in seno al Consiglio d’Europa, e la Convenzione di Lanzarote sulla protezione dei minori dallo sfruttamento e dagli abusi sessuali, anche’essa adottata nell’ambito del Consiglio d’Europa. Il protocollo aggiuntivo, della Convenzione di Budapest, menzionato è quello firmato a Strasburgo, sulla criminalizzazione degli atti di natura razzista e xenofobica commessi a mezzo di sistemi informatici.
Entrambi i trattati e, consequenzialmente, il protocollo aggiuntivo non contengono norme incriminatrici al loro interno, si limitano invece ad invitare le parti del trattato ad adottare misure legislative idonee a sanzionare penalmente le fattispecie descritte (è tipica la formula “Each party shall adopt…”).

Sembra superfluo aggiungere che le relative leggi di attuazione hanno apportato alcune modifiche e aggiunte al Codice Penale, le quali tuttavia non saranno approfondite per non scadere in tediosi tecnicismi.

La protezione dei dati

La Convenzione sul Cybercrime disegna una disciplina organica e ben articolata. Separa innanzitutto le disposizioni che circoscrivono le fattispecie criminose da quelle che concernono gli strumenti a disposizione degli Stati per la prevenzione e la persecuzioni di tali reati. Dopodiché inserisce delle norme indirizzate alla promozione della cooperazione internazionale.

Per quanto riguarda il primo gruppo di disposizioni, una migliore intelligibilità potrebbe essere favorita dal seguente schema :

1. Crimini contro la riservatezza, l’integrità e l’accessibilità di dati e sistemi informatici
   1.1 Accesso illegale (ai dati o ai sistemi informatici), dove la parola illegale va intesa come assenza del diritto;
   1.2 Intercettazione illegale, l’illegalità è sempre intesa nell’accezione di cui sopra;
   1.3 Interferenza con i dati, per punire il danneggiamento, l’eliminazione, il deterioramento, l’alterazione o la soppressione di dati senza averne il diritto;
   1.4 Interferenza con il sistema, che individua la condotta di colui che ostacola gravemente il normale funzionamento di un sistema informatico, senza averne diritto, tramite l’immissione, la trasmissione, il danneggiamento, l’eliminazione, il deterioramento, l’alterazione o la soppressione di dati.
   1.5 Abuso di un dispositivo, tramite cui si persegue chi tramite l’abuso di un dispositivo, da intendersi per altro in senso ampio, include infatti anche i software, ponga in essere una delle condotte previste agli articoli precedenti.
2. Crimini realizzati per mezzo di computer
   2.1 Contraffazione informatica, ossia realizzata mediante un supporto informatico;
   2.2 Frode informatica, che individua la condotta in cui il soggetto, tramite l’alterazione del funzionamento di un sistema informatico, procuri a sé o ad altri un ingiusto profitto.

La Convenzione sul Cybercrime contiene anche norme in materia di pedopornografia, che saranno trattate più avanti, insieme alla Convenzione di Lanzarote.

Passando poi agli strumenti a disposizione degli Stati, dalla lettura della Convenzione se ne individuano essenzialmente tre: una procedura accelerata per ordinare la preservazione di dati ritenuti vulnerabili, la possibilità di ricercare e confiscare dati, l’intercettazione e raccolta in tempo reale (e non) di dati e delle informazioni sul traffico di essi.
La Convenzione invita gli Stati parte a garantire i poteri necessari all’autorità competenti a provvedere nelle modalità appena elencate, promuovendo, come si diceva sopra, con una sezione dedicata, anche la cooperazione internazionale.

Potrebbe tornare utile sapere che la Convenzione ha vincolato gli Stati a istituire un “24/7 Network”, costituito da una serie di uffici disponibili 24/7 per la segnalazione di crimini informatici e preparati a fornire assistenza immediata. Per l’Italia, il punto di riferimento è il C.N.A.I.P.I.C.

In chiusura, un piccolo spunto per chi volesse approfondire. Il “nub of the problem”, come direbbe la dottrina inglese, sta nell’accesso transnazionale ai dati. Il riferimento è ovviamente al cloud computing, che permette di custodire dati su supporti appartenenti a terzi, spesso fuori dal territorio nazionale e quasi sempre spacchettati su più macchine, magari in diversi Stati. Tutto ciò mantenendo l’accesso immediato da parte del proprietario. I problemi giuridici sono abbastanza evidenti: si può accedere ai dati di un cittadino di un Paese parte che sono custoditi in un server in un Paese non parte? La detenzione di dati illegali da parte del gestore del servizio di cloud computing è perseguibile? E via discorrendo.

Cybercrime e tutela dei minori: la pedopornografia

Al tema della pedopornografia dedicano diverse norme sia la Convenzione sul Cybercrime che la Convenzione di Lanzarote. La disciplina è pressoché la stessa in entrambi i trattati, ed è articolata come segue.
Si fa divieto tassativo di: produrre, rendere disponibile od offrire, distribuire o trasmettere, procurare a se stessi o terzi materiale pedopornografico, possedere materiale pedopornografico, accedere coscientemente, tramite sistemi informatici, a materiale pedopornografico.

È evidente come l’intenzione degli Stati partecipanti fosse quella di offrire una protezione a tutto tondo alla categoria dei minori, intenzione che ha portato ad ulteriori e altrettanto interessanti sviluppi. In particolare, sembra non trascurabile la definizione di pedopornografia fornita dalla Convenzione sul Cybercrime, che include, oltre alla rappresentazione di un minore coinvolto in atti sessuali espliciti, anche la rappresentazione di una persona che sembri un minore e, addirittura, di immagini realistiche che raffigurino un minore coinvolto nelle condotte di cui sopra.

Essendo la disciplina contenuta anche nella Convenzione sul Cybercrime, vale anche qui quanto detto sopra circa gli strumenti a disposizione degli Stati parte. Va aggiunto però che la Convenzione di Lanzarote introduce una serie di obblighi per gli Stati per garantire una prevenzione e un iter di riabilitazione il più efficiente possibile. In particolari sono presenti statuizioni sul reclutamento e il training del personale che sarà a contatto con le vittime, sull’assistenza alle vittime, su programmi di intervento, sull’istituzione di una helpline e, inevitabilmente, sulla collaborazione internazionale.

Xenofobia

In chiusura, qualche parola sul protocollo aggiuntivo citato. Lo scopo dell’atto è affiancare alla Convenzione sul Cybercrime un nuovo corpo di norme, peraltro anche abbastanza snello, mirate a individuare gli atti criminosi di natura razzista o xenofobica commessi per mezzo di un sistema informatico.

È da considerarsi materiale razzista o xenofobico qualsiasi testo, immagine, o qualsiasi altra rappresentazione di idee o teorie che incitino all’odio, alla discriminazione o alla violenza, contro qualsiasi individuo o gruppo, basandosi sulla razza, il colore della pelle, la discendenza, la nazionalità o l’etnia, nonché sulla religione (libera traduzione dell’Autore dell’art. 2 del Protocollo).

Sono individuate anche una serie di condotte perseguibili, tutte perpetrate mediante l’utilizzo di un sistema informatico: la minaccia a sfondo razzista o xenofobico; l’insulto razzista o xenofobico; la rinnegazione, la banalizzazione, il sostegno o la giustificazione di genocidi o altri crimini contro l’umanità. Sono puniti anche il favoreggiamento e l’istigazione.

Essendo il protocollo, come già ricordato, parte della Convenzione sul Cybercrime, si applicherà anche in questo caso la disciplina degli strumenti di controllo e prevenzione di cui si è discusso a proposito di protezione dei dati.

Conclusioni

Da quanto detto si nota senz’altro un forte interesse della comunità internazionale alla materia della criminalità informatica, in particolar modo per quanto riguarda il tema dei diritti umani. Interesse (ri)emerso agli onori della cronaca italiana solo qualche mese fa, quando il Presidente Renzi ha nominato Marco Carrai consulente presso la Presidenza del Consiglio in materia di cybersecurity. Per chi volesse approfondire la questione, un’occhiata qui potrebbe giovare.

Sarebbe superficiale trascurare di ricordare quanto il tema in questione sia divenuto ancor più rilevante negli ultimissimi anni, in virtù dello sviluppo esponenziale delle tecnologie di comunicazione e di condivisione dei dati. Chi vorrebbe che le proprie foto su Dropbox fossero furtate e riutilizzate per scopi criminali? Nessuno, appunto. La raccomandazione è di prestare la massima attenzione agli strumenti che ci vengono messi a disposizione oggi e a quelli che lo saranno domani. Siamo tutti vulnerabili.