Sorveglianza e profitto: qual è il giusto prezzo di ciò che è gratuito?
16 Aprile 2018
L’accountability oltre il registro dei trattamenti
19 Aprile 2018

Il Cybercrime: un reato in continua Evoluzione

Lo sviluppo di tecnologie telematiche ed informatiche, sempre più sofisticate ed efficienti, ha favorito l’insorgere di nuove forme d’illecito diffuse nella nostra società attraverso l’impiego di strumenti di comune utilizzo quali computer, pc, tablet e cellulari.

I comportamenti illegali, di cui in questa sede si esamineranno gli aspetti e le criticità principali, vengono generalmente definiti reati informatici.

Si è in presenza di un cybercrime sia quando la condotta o l’oggetto materiale del crimine è correlato ad un sistema informatico o telematico, sia quando l’illecito è perpetrato sfruttando o colpendo il sistema.

Nel primo caso si fa riferimento alla categoria dei reati informatici impropri (cd. computer as a tool), disciplinati espressamente dal codice penale e dalla legislazione speciale, quali diffamazione a mezzo di posta elettronica, chat o siti internet; molestie perpetrate attraverso lo spamming o sui social network; istigazione a delinquere; riciclaggio; pedopornografia; etc.

Nel secondo caso, invece, si parla di reati informatici propri (cd. computer as a target) il cui scopo consiste unicamente nell’offendere il sistema informatico.

Tali fattispecie sono state introdotte nel nostro ordinamento dalla Legge n. 547/1993 e dalla Legge n. 48/2008, applicata in Italia a seguito di quanto richiesto con la Convezione sulla criminalità informatica del Consiglio d’Europa di Budapest del 23 novembre 2001. Tra i più diffusi vi sono: il danneggiamento dei dati, dei programmi e dei sistemi; la frode informatica; l’accesso abusivo; la detenzione e la diffusione dei codici d’accesso; la falsificazione di documenti informatici; l’interferenza illecita nelle comunicazioni; l’emissione di dispositivi o programmi informatici finalizzati ad interrompere o danneggiare un sistema informatico o telematico, etc.

Ciò premesso, appare utile evidenziare che affinché la condotta del soggetto possa essere qualificata come crimine informatico è necessario verificare l’esistenza di caratteristiche precise.

Si parla, quindi, di veri e propri elementi costitutivi che consentono di classificare ed inquadrare agevolmente il comportamento criminale.

I requisiti richiesti dal nostro ordinamento giuridico constano, in primo luogo, nella firma dell’autore del crimine (lasciata consciamente o inconsciamente) che può essere rinvenuta sulla scena del delitto o essere riconducibile al sospettato. Essa non varia in ragione della reiterazione della condotta illecita, diversamente dal modus operandi, e si estrinseca attraverso l’utilizzo di elementi univoci e ripetuti come ad esempio dettagli linguistici o grafici.

L’identificazione del colpevole può avvenire, altresì, analizzando le caratteristiche della vittima, soggetto passivo dell’illecito informatico.

Per quanto attiene, poi, alle modalità operative queste possono essere influenzate da variazioni temporali connesse agli aggiornamenti tecnologici o dovuti al miglioramento della propria esperienza nel settore, pur conservando al contempo un ruolo sostanziale nella correlazione di casi ed individui.

In tema di condotta e modalità operative, assume particolare importanza il fenomeno dello stanging che si verifica quando il criminale o le persone legate al reato commesso alterano completamente o parzialmente la scena del crimine o gli elementi ad essa collegati.

I fattori di rischio propri del cybercrime, inoltre, possono collimare con il risultato ottenuto a seguito della valutazione psicologica espletata durante la fase vittimologica o coincidere con il diverso livello di gravità dei fattori di rischio cui si espone il reo nell’agire illecitamente e da valutare caso per caso.

Da ultimo, ma non per questo meno importante, è il riscontro dell’esistenza di una motivazione, fondamento ed espressione chiara degli elementi psicologici, economici, politici o sociali che spingono l’individuo a delinquere.

In particolare, appare auspicabile porre l’accento sull’aspetto psicologico del reo onde poter individuare le caratteristiche che consentono di distinguere i vari profili del cybercriminale.

Precisamente, i crimini informatici scaturiscono da dinamiche psicologiche complesse che assumono senza alcun dubbio un ruolo di centralità nell’individuazione della personalità del delinquente informatico, che risulta essere ben diversa da quella propria dei soggetti che commettono reati che potremmo definire semplicemente tradizionali.

Il cybercriminale, infatti, appare come una persona tendenzialmente non violenta e solitaria, dotata di una grande capacità di pianificazione del comportamento che intende porre in essere al fine di sfruttare le proprie conoscenze informatiche, ma con scarse abilità di contenimento dell’ansia cagionata dall’impossibilità di avere un qualsiasi contatto sia con la scena del crimine che con la vittima.

L’aspetto senza alcun dubbio interessante è quello che concerne l’incapacità dell’individuo di prendere coscienza dell’illiceità del proprio operato.

In altre parole, lo sviluppo del settore informatico genera in alcuni soggetti delle alterazioni nella percezione del crimine, inducendoli così ad attuare comportamenti criminali che difficilmente realizzerebbero al di fuori del cyberspazio, come ad esempio: pedofili che non avrebbero mai il coraggio di adescare un bambino per strada; terroristi psicologicamente non adatti ad azioni militari; truffatori che non affronterebbero mai il face-to-face; impiegati che non avrebbero l’ardire di compiere azioni di sabotaggio a discapito della azienda di cui sono dipendenti; etc.

Pertanto, la classificazione basata sulla presenza di una motivazione corroborata dalla componente psicologica, ci consente di riscontrare l’esistenza di delinquenti informatici così definiti:

  1. attaccanti casuali (casual hackers): organizzano il proprio attacco per lo più spinti dalla curiosità e da motivi di natura emotiva, al punto da sentirsi già gratificati dal semplice utilizzo delle sottoscrizioni altrui su siti a pagamento;
  2. attaccanti politici (political hackers): militano a favore di una causa specifica basando le loro azioni sulle proprie conoscenze ed esperienze. Operano emotivamente e razionalmente per rendere pubblico l’ideale cui hanno aderito;
  3. crimine organizzato (organized crime): composto da attaccanti professionisti ed esperti del settore che agiscono con cura, prevalentemente per motivi di natura economica. Ogni progetto ha quale ultimo fine il profitto;
  4. squatters: agiscono in modo impersonale con obiettivi che non hanno alcun legame con il destinatario e l’identità del proprietario del sistema colpito. L’intento è quello di ottenere l’accesso ai database contenenti informazioni riservate, password, materiale video, musicale o immagini per motivi ludici e con scopi di natura privata non necessariamente criminali;
  5. insiders e intruders: gli attacchi riconducibili a questa tipologia possono essere portati a termine sia dall’interno ovvero dagli operatori o utenti interni ad un’organizzazione o ad un sistema informatico (insiders) che dall’esterno ovvero da attaccanti esterni che si introducono illegalmente all’interno di un’organizzazione (intruders).

Altro aspetto importante, oltre alla componente psicologica, è quello che concerne le capacità e le conoscenze del cybercriminale.

Quando si parla di intrusione nelle reti informatiche, vi è la convinzione che per porre in essere la condotta illegale siano necessarie una conoscenza ed un’abilità tecnica superiore alla media.

Una simile premessa, alla luce di quanto accade ogni giorno, risulta essere non solo errata ma, altresì, frutto di una sostanziale inconsapevolezza. Esistono, invero, diversi modi per introdursi all’interno di un sistema informatico.

Alcuni soggetti optano per la combinazione di maggiori capacità con le tecnologie più moderne, altri per azioni a distanza ed altri ancora per violazioni effettuate a stretto contatto con la lesione del bene giuridico tutelato, come accade frequentemente, ad esempio, nel caso di intrusioni all’interno dei sistemi aziendali.

Secondo una prima classificazione basata sul livello di abilità, risalente al 1987, gli autori degli illeciti devono essere distinti in:

  1. crackers: dotati di elevate competenze, conoscenza approfondita e comprovata esperienza, la cui attività di ricerca delle informazioni è gestita in modo ossessivo compulsivo;
  2. hackers: detentori di conoscenze di medio livello ed in grado di riconoscere alle informazioni ottenute la medesima importanza che gli attribuiscono i legittimi proprietari;
  3. rodents: competenze scarse e basso profilo.

Di guisa che, appare evidente che con simili presupposti è assai difficile circoscrivere l’ampio genus di illeciti realizzati dal delinquente informatico.

Ancora oggi, definiamo genericamente cybercriminale colui che attua una condotta che si estrinseca attraverso la violazione delle reti telematiche e dei sistemi informatici ed è accompagnata sovente da finalità meramente ludiche che con il tempo possono mutare, trasformandosi in comportamenti posti in essere per scopo di lucro sfruttando i dati ottenuti o inserendo programmi dannosi all’interno del sistema.

Nello specifico, l’hacking può manifestarsi in due forme o per meglio dire essere di tipo benevolo (cd. ethical hacking) perché commesso da individui che non desiderano danneggiare qualcuno o qualcosa nel momento in cui violano il sistema – come accade frequentemente nelle aziende nel momento in cui è necessario testare le misure di sicurezza – o malevolo perché perpetrato da individui che intendono danneggiare o sottrarre le informazioni contenute nei sistemi.

L’approccio con la delinquenza informatica, infine, può essere di natura criminologica, qualora si esamini il reato da un punto di vista squisitamente fenomenologico – scindendo dalle categorie giuridiche i comportamenti illeciti individuati e descritti -, civilistica, quando la problematica viene analizzata esclusivamente nell’ottica del danno arrecato ai singoli e ai mezzi di riparazione o penalistica nel momento in cui è necessario analizzare le componenti delle singole condotte per poter individuare le norme incriminatrici esistenti nell’ordinamento ed eventualmente applicabili al caso concreto.

Brevi cenni sulla sicurezza in rete

L’incessante sviluppo della rete e la mutevolezza dei sistemi di informazione celano il delicato problema della sicurezza, vale a dire la capacità delle reti di resistere alle violazioni o ad eventi imprevisti in grado di compromettere le componenti dei sistemi operativi di cui disponiamo.

Le proprietà fondamentali della sicurezza in rete sono:

  1. la disponibilità, l’autenticazione, l’integrità e la riservatezza dei dati, dei servizi forniti o fruibili attraverso l’accessibilità dei dati e dei servizi (anche in caso di interruzioni dovute ad eventi imprevisti o ad attacchi di pirateria informatica);
  2. l’autenticazione ovvero la conferma dell’identità dichiarata da un organismo o da un utente (anche se in alcuni casi è necessario preservare la possibilità per quest’ultimo di mantenere l’anonimato qualora non sia necessaria la conoscenza del profilo anagrafico);
  3. l’integrità, ossia il mantenimento dei dati trasmessi esattamente come sono, senza tagli o modifiche;
  4. la riservatezza, orientata alla protezione dei dati e fondamentale in caso di trasferimento di dati sensibili riguardanti le informazioni relative alla vita privata degli utenti.

In una simile situazione di precarietà, l’unico modo per tutelare la nostra privacy consiste nell’adottare pochi semplici accorgimenti quali ad esempio: l’utilizzo di password di non facile reperibilità e con codici alfanumerici; evitare la diffusione della propria password; l’installazione e la configurazione di firewall e di antivirus tenendoli costantemente aggiornati; servirsi di antispyware in grado di ripulire efficacemente il sistema; prestare attenzione ai cookies; non aprire allegati di e-mail provenienti da utenti sconosciuti o sospetti per non incorrere nel fenomeno del cosiddetto phishing; configurare il livello della privacy del browser almeno a livello medio; leggere attentamente le licenze e le disposizioni riguardo alla privacy prima di installare un qualsiasi software; utilizzare efficacemente il browser con il sistema di anti tracciamento.

Conclusioni

La continua evoluzione delle tecnologie informatiche unita al dilagare dei crimini ad essa connessi impone una riflessione sul punto.

Con il trascorrere del tempo le scoperte tecnologiche, frutto di studi approfonditi e di ricerche all’avanguardia, aumentano di giorno in giorno fornendo a ciascun individuo migliorie di ogni genere che entrano a far parte della quotidianità e della vita sociale, culturale, economica ed amministrativa dei Paesi.

La centralità del ruolo acquisito dall’informatizzazione ha apportato indiscutibilmente dei benefici nella nostra società, ma al contempo ci ha resi più vulnerabili.

La privacy di ognuno di noi è messa costantemente a dura prova. Le aziende e le pubbliche amministrazioni di tutto il mondo investono ingenti fondi per tentare invano di arginare uno dei più grandi e dilaganti problemi degli ultimi tempi.

Nostro malgrado, assistiamo al proliferare dei reati perpetrati attraverso i dispositivi informatici e sul Web da soggetti privi di inibizioni e che si macchiano, a volte, di alcuni tra i crimini peggiori esistenti, come nel caso della pedopornografia, del furto di identità o della frode informatica. Per non parlare dei dati sensibili o coperti da segreto sottratti alle loro fonti di provenienza.

Si manifestano a volte come crimini nuovi, strettamente legati all’utilizzo dei sistemi o come crimini tradizionali che trovano nelle tecnologie innovative ulteriori prospettive di azione.

Ed è proprio in funzione di queste criticità che l’aggiornamento tecnologico necessita di una produzione normativa ingente che sia al passo con la mutevolezza di questo mondo così vasto onde poter arginare i sempre più numerosi ed imprevedibili reati informatici.

Da un punto di vista meramente tecnico ciò non appare certamente agevole.

Tuttavia, negli ultimi anni, l’attenzione è stata focalizzata sulla politica dell’informazione per la sicurezza – con conseguente impiego e dispendio di energie, anche economiche, di notevole entità – per cercare di colmare le lacune prodotte dal lungo e farraginoso processo di emanazione delle norme giuridiche vigenti nell’ordinamento italiano.

I progressi e i risultati ottenuti sono rilevanti, ma molto altro deve ancora essere fatto, sia a causa delle lacune dell’ordinamento sia in ragione della costante incertezza interpretativa che caratterizza quella parte della giurisprudenza che disciplina i cybercrimes. A ciò si aggiunge l’inconsapevolezza dei fruitori dei sistemi informatici.

Ebbene, le sofisticate forme criminali di fronte alle quali siamo posti di certo non rendono più agevole l’amaro compito che lo Stato è chiamato a svolgere: rispettare la sottile linea di confine che intercorre fra la tutela delle informazioni e la tutela della libertà personale.

Invero, siamo in presenza di ambiti particolarmente delicati che necessitano dell’adozione di provvedimenti che non implichino una lesione dei diritti fondamentali e che contestualmente siano efficaci in termini di protezione dei sistemi.

Equilibri non facili da creare e quasi impossibili da mantenere in una società che si muove ad una velocità elevata.

BIBLIOGRAFIA:

  • S. AMORE, V. STANCA, S. STARO, I crimini informatici. Dottrina, giurisprudenza ed aspetti tecnici delle investigazioni, Halley, 2006.
  • F. ANTOLISEI, Manuale di diritto penale. Leggi complementari 2: Reati fallimentari, reati ed illeciti amministrativi in materia tributaria, di lavoro, ambientale ed urbanistica, responsabilità degli enti, Giuffré, Milano, 2014.
  • S. ATERNO, Digital Forensics (investigazioni informatiche), in Digesto delle discipline penalistiche, UTET, Torino, 2014.
  • M. BETZU, Regolare Internet. La libertà di informazione e di comunicazione nell’era digitale, GIAPPICHELLI, Torino, 2012.
  • C. CREMONESI, G. MARTELLA, I crimini informatici: storia, tecniche e difese, MONDADORI, Milano, 1990.
  • F. DELFINI, G. FINOCCHIARO, Diritto dell’informatica, UTET, Torino, 2014.
  • G. FIANDACA, E. MUSCO, Diritto penale. Parte speciale. Vol. II, ZANICHELLI, Bologna, 1996.
  • G. FIANDACA, E. MUSCO, Diritto penale. Parte speciale. 2.1: I delitti contro la persona, ZANICHELLI, Bologna, 2013.
  • https://www.treccani.it/enciclopedia/cybercrime_%28Lessico-del-XXI-Secolo%29/
  • https://www.interno.gov.it/it/speciali/campo-contro-cybercrime
  • https://www.theguardian.com/technology/cybercrime
  • https://www.interpol.int/Crime-areas/Cybercrime

A cura di: Valentina Bartolucci

Ha conseguito la Laurea magistrale in Giurisprudenza nell’anno accademico 2010/2011 con una tesi in Diritto penale e si è diplomata nel 2013 presso la Scuola di Specializzazione per le Professioni Legali della LUISS Guido Carli.

Dal 2011 collabora con alcune delle più importanti riviste giuridiche italiane.

Dall’ottobre 2012 al giugno 2013 ha effettuato il tirocinio presso il Tribunale Civile di Roma, Diritto del Mercato (XI sezione – Diritto societario e del libero mercato).

Dal 2013 è tutor d’aula per i corsi di formazione continua degli Avvocati – sede di Roma.

Nel 2014 ha conseguito il Master in Diritto e contenzioso bancario e finanziario.

Dal 2014 è consulente legale in materia di diritto civile, penale ed amministrativo, con particolare attenzione alle cause collettive ed alla malpractice medica.

Dal 2015 è iscritta all’Ordine degli Avvocati di Roma.

Dal 2016 è titolare dello Studio legale Cappelletti-Bartolucci, con sede in Roma e in Arezzo.

Nel 2017 ha conseguito il Master in contrattualistica internazionale.

Download PDF
Condividi sui Social Network:

ISCRIVITI ALLA NEWSLETTER DI ICT SECURITY MAGAZINE

Una volta al mese riceverai gratuitamente la rassegna dei migliori articoli di ICT Security Magazine

Rispettiamo totalmente la tua privacy, non cederemo i tuoi dati a nessuno e, soprattutto, non ti invieremo spam o continue offerte, ma solo email di aggiornamento.
Privacy Policy