La Convenzione ONU sul Cybercrime: svolta storica o compromesso al ribasso?
Dopo cinque anni di negoziati e una firma ad Hanoi, il primo trattato globale contro la criminalità informatica è realtà. Ma le fratture restano profonde: tra chi lo celebra come vittoria del multilateralismo e chi lo denuncia come cavallo di Troia dell’autoritarismo digitale.
Il 24 dicembre 2024, adottata per consenso dall’Assemblea Generale delle Nazioni Unite, la United Nations Convention against Cybercrime ha segnato un momento senza precedenti nella storia del diritto internazionale penale. Il testo completo porta il nome ufficiale di “Convenzione delle Nazioni Unite contro la criminalità informatica; rafforzamento della cooperazione internazionale per combattere certi reati commessi tramite sistemi ICT e per la condivisione di prove elettroniche in materia di reati gravi” (Risoluzione 79/243). La cerimonia di firma si è tenuta il 25 e 26 ottobre 2025 ad Hanoi, in Vietnam, scelta che non è passata inosservata data la reputazione del paese in materia di diritti civili, e il testo è ormai noto come Convenzione di Hanoi.
Eppure, alla soddisfazione istituzionale fa da contraltare un coro vasto e trasversale di critiche. Organizzazioni per i diritti digitali, accademici, aziende tecnologiche e persino sei senatori democratici statunitensi hanno messo in guardia sui rischi sistemici del testo. Capire perché richiede un’analisi che vada oltre la retorica del traguardo storico.
Convenzione ONU sul Cybercrime: il nuovo trattato globale contro la criminalità informatica
La genesi della Convenzione affonda le radici nel 2017, quando la Russia propose formalmente alle Nazioni Unite la creazione di un nuovo strumento internazionale sul cybercrime. Nel dicembre 2019, la risoluzione 74/247 che istituiva il comitato ad hoc incaricato di elaborare il testo venne approvata con 79 voti favorevoli, 60 contrari e 33 astensioni: Stati Uniti, Unione Europea e la maggioranza delle democrazie occidentali votarono contro. L’iniziativa portava fin dall’inizio il marchio di una spaccatura profonda tra visioni opposte di internet, governance digitale e diritti fondamentali.
Il comitato ad hoc (AHC) ha tenuto la sua prima sessione negoziale nel febbraio 2022, ritardata di due anni dalla pandemia da Covid-19, e ha concluso i lavori nell’agosto 2024 con sei sessioni formali, per un totale di cinque anni di processo dall’avvio della risoluzione all’adozione. Come ha ricordato la stessa UNODC, si tratta del primo trattato internazionale di giustizia penale negoziato in oltre vent’anni.
Nei cinque anni di negoziati, le posizioni si sono confrontate su due fronti principali. Da un lato i sostenitori di una definizione ampia di cybercrime, capace di includere reati contro la sicurezza dello Stato e persino la dissidenza online (Russia e Cina in prima linea); dall’altro chi insisteva per limitare lo strumento ai reati informatici in senso stretto, accompagnati da robuste garanzie per i diritti umani. Il testo finale è figlio di questo confronto. I compromessi si vedono.
Cosa copre la Convenzione: il perimetro dei reati
Il nucleo penalistico della Convenzione comprende i reati informatici “core”: accesso illecito a sistemi ICT (art. 7), intercettazione illecita (art. 8), interferenza con i dati elettronici, interferenza con i sistemi, uso improprio di dispositivi, frode informatica, reati legati allo sfruttamento sessuale di minori online. Vi si aggiunge una copertura dei reati “cyber-enabled“, ovvero reati tradizionali facilitati dalla tecnologia, che spazia dal riciclaggio di denaro alle truffe online, dal traffico di esseri umani al terrorismo.
L’articolo 4 introduce una clausola di estensione particolarmente significativa: qualunque reato previsto da convenzioni ONU esistenti, si pensi alla UNTOC (Convenzione contro la criminalità organizzata transnazionale) o alla UNCAC (anticorruzione), deve considerarsi coperto dalla Convenzione di Hanoi qualora commesso tramite sistemi informatici. Questa norma espande notevolmente il perimetro d’azione ben oltre la criminalità informatica in senso tecnico.
Rispetto alla Convenzione di Budapest del 2001, il precedente quadro internazionale di riferimento ratificato da 81 paesi inclusa la maggioranza delle democrazie occidentali, la Convenzione di Hanoi presenta alcune novità: introduce disposizioni sulla confisca dei proventi del crimine e sulla protezione dei testimoni, assenti nella Convenzione di Budapest, e amplia il perimetro della cooperazione internazionale per la raccolta di prove elettroniche. Su questi aspetti, Eurojust ha rilevato che il testo “va oltre gli strumenti giuridici esistenti in alcune parti, in particolare riguardo alle disposizioni sul capacity building.”
Le lacune rispetto a Budapest: il problema delle garanzie
Qui si apre il capitolo più critico. La Convenzione di Budapest, pur nata in un contesto prevalentemente occidentale e criticata da alcuni paesi del Sud globale come strumento poco inclusivo e non rappresentativo, impone obblighi chiari e vincolanti in materia di garanzie procedurali. I diritti di privacy, le condizioni per le intercettazioni, i limiti alla sorveglianza sono obblighi giuridici per gli Stati parte.
La Convenzione di Hanoi adotta un approccio radicalmente diverso: le garanzie per i diritti umani sono presenti nel testo, ma quasi tutte formulate con il verbo “may“, ovvero rimesse alla discrezionalità dei singoli Stati. Come ha evidenziato la Electronic Frontier Foundation (EFF), “quasi tutti i dettagli di come le protezioni dei diritti umani vengono implementate sono lasciati al diritto nazionale.” Il Global Network Initiative ha sottolineato la stessa asimmetria: “mentre la Convenzione ONU permette agli Stati di implementare le garanzie procedurali attraverso la legislazione domestica, la Convenzione di Budapest ne impone l’attuazione.” Una differenza non di grado, ma di natura.
Il problema non è puramente teorico. Il meccanismo di cooperazione internazionale per la raccolta di prove elettroniche si applica a qualunque “reato grave” definito come tale dalla legge nazionale, ovvero qualunque reato punibile con almeno quattro anni di reclusione. In molti paesi, questa soglia comprende la criminalizzazione dell’omosessualità, l’apostasia, la blasfemia, il reato di lèse-majesté, la dissidenza politica. Come ha notato il Global Network Initiative, ciò aprirebbe tale obbligo “a una gamma di circostanze molto più ampia di quelle specificamente delimitate nel testo.”
Un ulteriore elemento problematico riguarda l’onere della prova per rifiutare le richieste di assistenza giudiziaria: il trattato richiede che lo Stato richiesto dimostri “fondati motivi” per respingere una richiesta, addossando il peso della prova ai paesi rispettosi dello Stato di diritto piuttosto che a quelli che formulano richieste potenzialmente strumentali. Né la Convenzione obbliga gli Stati a rifiutare richieste per atti non criminalizzati nella propria giurisdizione.
Vi è poi un elemento tecnico di particolare rilevanza, analizzato con attenzione dalla rivista Lawfare nel 2025: laddove la Convenzione di Budapest richiede che l’accesso illecito sia intenzionale e privo di autorizzazione, la Convenzione di Hanoi aggiunge come possibile elemento limitante il requisito di “criminal intent”. Un’aggiunta all’apparenza restrittiva che, rimettendo alla discrezionalità nazionale la definizione di cosa costituisca intenzione criminale, rischia in concreto di allargare anziché restringere il perimetro della fattispecie.
Il fronte delle ONG: una critica trasversale e documentata
La mobilitazione critica attorno alla Convenzione di Hanoi non ha precedenti nella storia dei trattati ONU sul crimine. Prima dell’adozione, una coalizione di organizzazioni tra cui Amnesty International, Human Rights Watch, Electronic Frontier Foundation, Privacy International, European Digital Rights (EDRi), Wikimedia Foundation, Chaos Computer Club e Access Now ha inviato una lettera aperta ai governi chiedendo di non adottare né ratificare il testo senza modifiche sostanziali. Analogamente, il Cybersecurity Tech Accord, che rappresenta oltre 150 aziende tecnologiche e di cybersecurity globali tra cui Microsoft, Meta, Cisco e SAP, ha sottoposto al Comitato ad hoc obiezioni puntuali e raccomandazioni di modifica.
Le preoccupazioni si articolano su tre assi principali.
Primo: la definizione di cybercrime è pericolosamente vaga. Human Rights Watch ha sottolineato che la Convenzione “si estende ben oltre il contrasto agli attacchi malevoli a reti, sistemi e dati informatici, obbligando gli Stati ad adottare ampi poteri di sorveglianza elettronica per investigare su una vasta gamma di reati, inclusi quelli che non coinvolgono sistemi ICT.”
La formulazione del reato di accesso illecito omette elementi di intenzionalità precisi, rischiando di criminalizzare la ricerca sulla sicurezza informatica, il whistleblowing e le attività giornalistiche. Sei senatori democratici statunitensi (Tim Kaine, Jeff Merkley, Ed Markey, Chris Van Hollen, Ron Wyden e Cory Booker) avevano già avvertito nell’ottobre 2024, in una lettera all’amministrazione Biden, che l’assenza di protezioni per i ricercatori di sicurezza “potrebbe rendere internet decisamente meno sicuro per gli utenti negli Stati Uniti e nel mondo.”
Secondo: il potenziale di abuso da parte di governi autoritari. La Convenzione, proposta dalla Russia e sostenuta dalla Cina nel suo iter, incorpora una logica di “sovranità digitale” secondo cui i governi hanno il diritto di controllare l’informazione online senza interferenze esterne.
Analisti del Global Campus of Human Rights hanno evidenziato che il testo “potrebbe essere usato da governi autoritari come strumento per criminalizzare attivisti e giornalisti quando portano le loro rivendicazioni nello spazio online.” L’articolo 19, in particolare, espande la responsabilità penale delle piattaforme tecnologiche terze includendo “la partecipazione in qualsiasi veste” a un reato coperto dalla Convenzione, con potenziali ricadute su servizi di comunicazione, storage e moderazione dei contenuti. Access Now ha definito il trattato uno strumento che “paga soltanto un tributo verbale ai diritti umani senza offrire garanzie reali”, rischiando di “legittimare la repressione digitale con una patina di legalità.”
Terzo: l’assenza di una prospettiva di genere. La Convenzione non include standard gender-sensitive nelle sue disposizioni. Le leggi sul cybercrime colpiscono in modo sproporzionato le donne e le persone LGBTQ+ in molti contesti nazionali, e l’assenza di una prospettiva di genere nel testo rappresenta una lacuna strutturale che il protocollo supplementare, attualmente in fase di negoziazione, dovrebbe essere chiamato a colmare.
Il nodo della cooperazione investigativa internazionale
Sul piano operativo, la Convenzione introduce un meccanismo di mutual legal assistance (MLA) per la condivisione transfrontaliera di prove elettroniche che è, almeno sulla carta, più agile di quanto previsto dagli strumenti esistenti. Gli Stati parte saranno tenuti a dotarsi di punti di contatto attivi 24 ore su 24 per la cooperazione rapida, a emettere ordini di conservazione e produzione dei dati, a prevedere poteri di raccolta in tempo reale del traffico internet. L’obiettivo dichiarato è ridurre la latenza investigativa in un contesto in cui i dati digitali sono volatili e le giurisdizioni si moltiplicano.
Come ha osservato Just Security, la frammentazione degli strumenti di cooperazione internazionale, dai trattati bilaterali MLAT spesso obsoleti alla Convenzione di Budapest, dai meccanismi UNTOC ai nascenti framework sul cloud evidence, rappresenta uno degli ostacoli strutturali alle indagini sui crimini informatici transnazionali. Una piattaforma universale, se ben implementata, potrebbe ridurre significativamente i tempi di risposta nelle richieste di dati attraverso i confini.
Tuttavia, l’universalità del meccanismo è anche il suo principale rischio. La cooperazione non è condizionata alla doppia incriminazione, e l’apertura di questo canale verso i sistemi giuridici di paesi con scarsa cultura dei diritti potrebbe innescare dinamiche di “race to the bottom” nelle garanzie processuali.
Che questo rischio sia concreto è già testimoniato dal caso della prima ratifica: il Qatar ha ratificato il trattato nel febbraio 2026 come primo Stato, ma con una riserva clamorosa. Ha dichiarato di non essere vincolato dagli articoli 14-16, quelli che riguardano la protezione dei minori dagli abusi sessuali online, dallo sfruttamento sessuale e dalla diffusione non consensuale di immagini intime. Una riserva che mette in luce la possibilità di adesioni selettive, in cui gli Stati scelgono i poteri investigativi che desiderano acquisire rinunciando agli obblighi di tutela.
Lo stato delle ratifiche e il cammino verso l’entrata in vigore
Alla cerimonia di Hanoi, 71 Stati e l’Unione Europea per un totale di 72 firmatari hanno sottoscritto la Convenzione, che continuerà a rimanere aperta alla firma presso la sede ONU di New York fino al 31 dicembre 2026. Al momento della pubblicazione di questo articolo, i firmatari sono saliti a 75. Le ratifiche formali sono due: il Qatar (febbraio 2026, primo paese ratificante, con le riserve sopra citate) e il Vietnam (7 aprile 2026, secondo paese ratificante). L’Azerbaigian ha completato le procedure interne e potrebbe depositare a breve il proprio strumento di ratifica. Per l’entrata in vigore sono necessarie 40 ratifiche; l’effetto giuridico vincolante inizierà 90 giorni dopo il deposito del quarantesimo strumento.
Il ritmo lento delle ratifiche formali riflette le divisioni persistenti. Tra i paesi che non hanno firmato ad Hanoi figurano, oltre agli Stati Uniti, anche Canada, Nuova Zelanda, India, Giappone e Israele, tutti attivamente coinvolti nei negoziati ma riservandosi tempo per completare le revisioni interne. Canada e Messico avevano sostenuto con forza l’inserimento di garanzie più solide per i diritti umani e si attende che aderiscano dopo le dovute verifiche domestiche.
La posizione statunitense merita attenzione separata. Washington aveva votato a favore della risoluzione dell’Assemblea Generale nel dicembre 2024, ma ha scelto di non firmare il trattato ad Hanoi. Nella sua dichiarazione ufficiale, la US Mission all’ONU ha affermato che gli Stati Uniti sono “unlikely to sign or ratify unless and until we see implementation of meaningful human rights and other legal protections by the Convention’s signatories.” L’amministrazione Trump, tradizionalmente diffidente nei confronti del multilateralismo, è giudicata ancora meno propensa alla ratifica da tutti gli osservatori.
Una coabitazione difficile con Budapest
La questione della coesistenza tra le due Convenzioni è più complessa di quanto sembri. La Convenzione di Budapest rimane il framework di riferimento per 81 paesi e vanta una giurisprudenza consolidata, note interpretative dettagliate e decenni di prassi operativa tra autorità investigative. Come ha sintetizzato la nostra analisi della Convenzione di Budapest, per i paesi già parti di Budapest la Convenzione di Hanoi non si sostituisce automaticamente al quadro esistente: si sovrappone ad esso, creando potenziali conflitti interpretativi e normativi.
Il Digital Watch Observatory ha osservato che “gli Stati già parti della Convenzione di Budapest potrebbero trovarsi divisi tra l’approccio più ristretto e consolidato di quel trattato e i mandati più ampi della Convenzione ONU.” Laddove le due convenzioni divergono, soprattutto sulle garanzie procedurali e sulla definizione dei reati, i sistemi giuridici nazionali dovranno trovare un punto di equilibrio che, in assenza di orientamenti comuni, rischia di moltiplicare le asimmetrie piuttosto che ridurle.
Va notato, peraltro, che una delle critiche originarie alla Convenzione di Budapest, quella di essere “in nome e spirito uno strumento europeo”, poco inclusivo nei confronti dei paesi del Sud globale, ha contribuito a spingere verso una nuova convenzione ONU. Quella critica era in parte legittima: a prescindere dall’uso strumentale che ne hanno fatto Russia e Cina, l’assenza di molti paesi africani, asiatici e latino-americani dalla Convenzione di Budapest è un dato reale, con conseguenze operative concrete per la cooperazione investigativa globale.
Conclusioni: un trattato necessario, ma non sufficiente
La Convenzione di Hanoi è un fatto politico prima che giuridico. Dimostra che 193 paesi possono ancora trovare un terreno comune su temi di governance digitale, persino in un contesto geopolitico segnato dalla frammentazione. Per molti paesi del Sud globale, privi di strumenti nazionali adeguati e di accordi bilaterali efficaci con i principali hub tecnologici mondiali, questo trattato rappresenta un’opportunità reale di accedere a meccanismi di cooperazione investigativa finora preclusi.
Al tempo stesso, le preoccupazioni delle organizzazioni per i diritti digitali non sono ideologiche: sono tecniche, precise e documentate articolo per articolo. Un trattato che apre canali di cooperazione investigativa senza imporre garanzie vincolanti è uno strumento che si presta a utilizzi opposti rispetto ai suoi obiettivi dichiarati. La storia recente delle cybercrime laws in molti paesi, usate per silenziare giornalisti, processare attivisti, perseguitare minoranze, rende questa preoccupazione concreta. Il caso Qatar, che ratifica il trattato escludendo le tutele per i minori, ne è già la prima illustrazione pratica.
La vera partita si giocherà nei prossimi anni: nella velocità delle ratifiche, nel contenuto del protocollo supplementare sui reati aggiuntivi attualmente in negoziazione nell’AHC, nella Conference of the States Parties che monitorerà l’implementazione, e nelle scelte che ogni paese farà in sede di diritto domestico. La Convenzione di Hanoi non è né la svolta definitiva che le istituzioni ONU hanno celebrato né il cavallo di Troia che i suoi critici più radicali denunciano. È, più probabilmente, un terreno di confronto la cui posta in gioco è alta quanto quella che stiamo già pagando, in reati irrisolti, in diritti compressi, in fiducia erosa, per l’assenza di un ordine digitale condiviso.
