Analisi di contesto del cyberspace (I PARTE)

di Giuseppe Specchio

Il presente articolo è stato redatto con l’obiettivo di fornire: una definizione formale ed esaustiva del cyberspace; una descrizione delle principali fonti del diritto e degli elementi costitutivi del cyberspace, soffermandosi in modo particolare sui dei soggetti attivi e delle condotte antigiuridiche da essi assunte, nonché i soggetti terzi che assumono il ruolo “legittimo titolare” (o lawful authority) così come sancito dall’art. 234 bis c.p.p.; una descrizione delle principali difficoltà tecnico-operative, anche alla luce delle imminente entrata a regime della triade IoT, 5G ed Intelligenza Artificiale; proporre un workflow investigativo in tale ambito.
In questo numero: 1. Cosa si intende per Cyberspace, 2. I principali elementi costitutivi del cyberspace, 2.a. Le fonti del diritto, 2.b. La figura del “legittimo titolare”, 2.c. La nozione di reato informatico.
Nel prossimo numero: 2.d. I soggetti attivi del cyberspace, 2.e. Difficoltà nell’identificazione del contratto di utenza residenziale o mobile. 3. L’attuale contesto operativo, 4. Conclusioni.

1. Cosa si intende per Cyberspace

Attualmente non esiste una definizione legale ed universalmente riconosciuta di cyberspace, anche perché gli ordinamenti giuridici coinvolti sono diversi tra loro. Per tale motivo, possiamo ristringere tale nozione solo al dominio tecnico, così come raccomandato dalla ISO 27032:2012, secondo la quale viene definito come cyberspace (o ciberspazio): «the complex environment resulting from the interaction of people, software and services on the Internet by means of technology devices and networks connected to it, which does not exist in any physical form» ossia un ambiente virtuale (o totalmente dematerializzato) definito dal: «complesso delle attività realizzate dai soggetti che usufruiscono dei servizi offerti dalla rete Internet attraverso l’impiego di sistemi informatici e telematici ad essa collegati».

È di fatto un ambiente “incoercibile” nella sua interezza, in quanto, per sua natura, la sovranità di uno Stato (o domestic jurisdiction) può essere esercitata solo nei luoghi di partenza o di arrivo delle comunicazioni elettroniche “fisicamente” e legalmente presenti nella sfera di controllo del singolo Stato.

La nozione di “territorio” è stravolta, in quanto stiamo parlando di un contesto operativo tendenzialmente “deperimetralizzato” e “liquido”, caratterizzato da:

• un azzeramento, di fatto, delle distanze, valutabili al massimo in termini di hop (o salti);
• un’ubiquità di accesso alle risorse distribuite (es. si pensi alla possibilità di accedere contemporaneamente, con più sistemi informatici, ad un foglio elettronico di Google Docs);
• una ridondanza informativa, ossia se non posso accedere ad uno smartphone perché non siamo a conoscenza del suo codice di sblocco, l’investigatore potrebbe accedere ad una copia (totale o parziale) dei dati di interesse per le indagini presenti su un altro supporto (es. un cloud storage);
• multidentità ed anonimizzazione dei cibernauti, ossia l’esistenza di un rapporto 1:N tra l’identità reale e quelle virtuali, le quali possono essere gestite contemporaneamente, ancorché con veri e propri “passamontagna virtuali”. A tale risultato si giunge anche grazie a dei vincoli sia tecnici che giuridici, come ad esempio: un collegamento ad un social network mediante l’intermediazione di uno o più proxy server, i quali consentono di dissimulare la propria presenza in Rete, la cui identificazione viene ulteriormente complicata se si cifra l’intero canale di comunicazione (es. mediante una VPN);
• un disallineamento delle norme internazionali in materia di contrasto ai cybercrime (cfr. § par. 3.c – Si considerino, ad esempio, gli effetti collaterali, in termini investigativi, della data retention, dell’uso del NAT da parte degli access provider, dell’impiego dei “Proxy Registration Service”);
• complicanze derivate dall’attuazione di norme comunitarie, come ad esempio il GDPR (General Data Protection Regulation), che, a partire dal 25 maggio 2018, ha di fatto snaturato la natura del servizio pubblico di Whois, costringendo così le autorità giudiziarie all’adozione di misure di cooperazione internazionale anche per avere informazioni, ancorché poco attendibili, nonostante gli sforzi profusi da ICANN, sui Registrants (intestatari dei nomi di dominio);
• assenza di cooperazione internazionale tra gli Stati interessati;
• un conseguente e tendenziale abbassamento dei freni inibitori (es. sexting) e della sensazione di punibilità (es. cyber stalking);
• un “diritto all’oblio” ridotto ai minimi termini, in virtù dell’impossibilità tecnica, in termini assoluti, di “confiscare e distruggere” un dato (e la rispettiva informazione);
• una “certezza del diritto” subordinata: alla sussistenza dei principi di reciprocità e proporzionalità giuridica tra Stati. Questo perché la maggior parte delle condotte antigiuridiche assunte in tale ambito operativo, corrispondono, da un punto di vista meramente materiale, alle medesime dei c.d. “reati transnazionali” ex art. 3 L. 146/2006;
• alla diffusa presenza di “vuoti legislativi” dovuti alla differenze di velocità evolutiva tra la tecnologica ed il diritto (penale). Per tale motivo, gli operatori giuridici interni, per cercare di tenere il passo, sono costretti il più delle volte ad adottare un’interpretazione funzionale (scopo) ed evolutiva (contesto attuale di riferimento) delle norme.

2. I principali elementi costitutivi del cyberspace

Il processo di comprensione di un argomento consta nella quasi totalità di una fase di individuazione e definizione dei termini che ne costituiscono le fondamenta. È in tale logica che si inserisce questo paragrafo, volto a fornire un quadro normativo di riferimento utile a chi si accosti allo studio dell’ambiente complesso ed articolato del cyberspace.

a. Le fonti del diritto
Il Legislatore Italiano, spesso in adempimento di obblighi di cooperazione europea od internazionale, ha introdotto nell’ordinamento diverse disposizioni aventi come oggetto la tutela dei “Sistemi Informatici o Telematici”, ovvero il contrasto di condotte illecite realizzate per il loro tramite, come ad esempio:

• L.197/1991: Norme per prevenire l’utilizzazione del sistema finanziario a scopo di riciclaggio;
• L.547/1993: Modifiche ed integrazioni alle norme del codice penale e del codice di procedura penale in tema di criminalità informatica;
• L.269/1998: Norme contro lo sfruttamento della prostituzione, della pornografia, del turismo sessuale in danno di minori, anche condotti per via telematica;
• L.248/2000: Modifiche alla legge 633/1941, in tema di diritto d’autore;
• D.L.vo 196/2003: Codice in materia di protezione di dati personali, così come modificato dalla Legge n. 45/2004 e seguenti;
• D.L.vo 82/2005: Codice dell’amministrazione digitale, quali norme in materia di documentazione informatica e di firma elettronica e digitale;
• L.38/2006: Disposizioni in materia di lotta contro lo sfruttamento sessuale dei bambini e la pedopornografia anche a mezzo Internet;
• D.L.vo 231/2007 – art.55: Utilizzo indebito di titoli di pagamento, così come modificato dall’art. 4 del D. Lgs. 21/2018, che ha introdotto l’art. 493 ter c.p.;
• L.48/2008: Ratifica ed adattamento della Convenzione sul Cybercrime del Consiglio d’Europa (CETS N.185/2001);
• L.12/2012: Norme in materia di misure per il contrasto ai fenomeni di criminalità informatica;
• L.172/2012: Ratifica della Convenzione di Lanzarote per la protezione dei minori contro lo sfruttamento e l’abuso sessuale;
• L.119/2013: Aggravante specifica per la condotta di atti persecutori realizzata per il tramite di sistemi informatici o telematici;
• L.43/2015: Ratifica della Risoluzione n. 2178/2014 del Consiglio di Sicurezza dell’ONU;
• Regolamento UE 2016/679 : relativo alla protezione delle persone fisiche con riguardo al trattamento dei dati personali, nonché alla libera circolazione di tali dati e che abroga la Direttiva 95/46/CE;
• D.Lgs. 108/2017: Norme di attuazione della direttiva 2014/41/UE del Parlamento europeo e del Consiglio, del 3 aprile 2014, relativa all’ordine europeo di indagine penale (17G00120);
• D.Lgs. 65/2018: Attuazione della Direttiva (UE) 2016/1148, c.d. Direttiva NIS, intesa a definire le misure necessarie a conseguire un elevato livello di sicurezza delle reti e dei sistemi informativi
• D.Lgs. 18 maggio 2018 n. 51 (entrato in vigore l’8 giugno 2018) : attuazione della direttiva (UE) 2016/680, quale relativa alla protezione delle persone fisiche con riguardo al trattamento dei dati personali da parte delle autorità competenti ai fini di prevenzione, indagine, accertamento e perseguimento di reati o esecuzione di sanzioni penali, nonché alla libera circolazione di tali dati e che abroga la decisione quadro 2008/977/GAI del Consiglio.

Tra quelle elencate, oltre alla L.547/1993, la quale ha introdotto nel nostro ordinamento le prime norme di diritto sostanziale, sono di sicuro interesse le seguenti leggi che hanno fornito un’enorme propulsione alle attività investigative nel cyberspace:
L. n. 48/2008, quale ratifica della Convenzione sul Cybercrime del Consiglio d’Europa (CETS N.185/2001), con la quale sono stati modificati numerosi mezzi di ricerca della prova (es. artt. 247 e 352 c.p.p. e ecc.), consentendo di eseguire attività di ricerca ed individuazione di dati in uno o più domicili informatici (Corte di Cassazione – Sez. VI Sent. n. 3067 del 14/12/1999; Sez. V Sent. n. 31135 del 6/7/2007 e Corte di Cassazione – Sez. V, Sent. n. 42021 del 26/10/2012), sia locali che remoti, in cui i sistemi informatici e telematici costituiscono l’elemento materiale di questo “nuovo” scenario operativo;
L. n. 43/2015, quale recepimento della Risoluzione n. 2178/2014 del Consiglio di Sicurezza dell’ONU, con la con la quale è stato introdotto un nuovo mezzo di prova denominato “Acquisizione di documenti e dati informatici” (art. 234-bis c.p.p.), il cui dettato normativo ricalca de facto l’art. 32 della Convenzione di cui al punto precedente. Tale norma fornisce piena ammissibilità dibattimentale ai dati informatici acquisiti da “fonti aperte”, ancorché presenti in territorio estero, ovvero forniti, senza alcuna forma di costrizione, da parte del “legittimo titolare” (o Lawful Authority – cfr. § par. 3.b) mediante una c.d. procedura di “voluntary o emergency disclosure”. La procedura in parola consente di fatto di bypassare le lungaggini amministrative derivanti dall’attivazione di un canale rogatoriale, le quali mal si addicono ad uno scenario operativo che, oltre a presentare le medesime peculiarità dei c.d. “reati transnazionali” (art. 3 L. 146/2006), è ulteriormente complicato dalla dinamicità e dalla volatilità del c.d. “cyberspace” (o ciberspazio).

Oltre ai suddetti aspetti di ordine procedurale e sostanziale, il Legislatore europeo e quello italiano poi, hanno regolamentato anche il trattamento dei dati personali da parte delle autorità competenti (es. AG, PG, PS ecc.) a fini di prevenzione, indagine, accertamento e perseguimento di reati o esecuzione di sanzioni penali, nonché salvaguardia e prevenzione di minacce alla sicurezza pubblica, quale combinato disposto del Regolamento UE 2016/679 e del D.Lgs. n. 51/2018 emanato in attuazione della direttiva UE 2016/680 del Parlamento europeo e del Consiglio, del 27 aprile 2016. Il trattamento dovrà avvenire nel rispetto dei seguenti principi:

• liceità e correttezza, ossia i dati raccolti per finalità sopra descritte non possono essere trattati per finalità diverse, salvo i casi previsti dal diritto dell’UE o dalla legge;
• adeguatezza, pertinenza e non eccedenza;
• esattezza e, se necessario, aggiornamento, adottando tutte le misure ragionevoli per cancellare o rettificare tempestivamente i dati inesatti;
• conservazione per il tempo necessario al conseguimento delle finalità per le quali sono trattati;
• garanzia di adozione di adeguate misure di sicurezza (tecniche e organizzative) e protezione da trattamenti non autorizzati o illeciti e dalla perdita, dalla distruzione o dal danno accidentali.

Le categorie di soggetti interessati dal provvedimento sono:

• gli indagati e gli imputati (anche se in un procedimento connesso o collegato);
• i condannati con sentenza definitiva;
• le persone offese dal reato;
• le parti civili;
• le persone informate sui fatti e testimoni.

Nell’ambito di questo intervento legislativo risulta di particolare interesse il fatto che:

• (art. 8) l’interessato ha il diritto di non essere sottoposto a una decisione basata unicamente sul trattamento automatizzato (es. tramite Intelligenza Artificiale). Tale disposizione non si applica nel caso in cui la procedura sia autorizzata dall’Unione Europea o Stato membro; ci sia il consenso dell’interessato. Ad ogni modo, possiamo ribadire che l’attuale sistema giudiziario penalistico impedisce una decisione determinata in modo esclusivo da una tale fattispecie di algoritmo alla luce degli evidenti limiti normativi (soprattutto costituzionali) e ed evidenti diritti e libertà fondamentali dell’interessato (in primis il diritto ad un giusto processo ed al contraddittorio) che verrebbero compromessi con l’utilizzo di tale soluzione;
• (art. 25) il titolare del trattamento e il responsabile del trattamento devono adottare misure tecniche e organizzative per garantire un livello di sicurezza adeguato rispetto al rischio di violazioni dei diritti e delle libertà delle persone fisiche (ex art. 32 G.D.P.R. – D.Lgs. 101/2018). A tal proposito si pensi:
  • alla pseudonimizzazione dei dati in modo tale che i dati stessi non potranno più essere attribuiti direttamente ed automaticamente ad un interessato specifico;
  • alla capacità di assicurare la continua riservatezza (cifratura), integrità (hashing), disponibilità (ACL – Liste di controllo accessi) e resilienza dei sistemi e dei servizi che trattano i dati;
  • all’adozione di piani di incident response (risposta agli incidenti informatici) finalizzati al giusto bilanciamento tra le esigenze di disaster recovery, ossia la capacità di ripristinare tempestivamente la disponibilità dei dati in caso di incidente fisico o tecnico, e di giustizia (digital forensics), ossia l’insieme delle attività finalizzate all’acquisizione, preservazione ed analisi dei dati informatici presenti sulla scena del crimine;
  • alla capacità di auditing interno ed esterno, ossia una procedura per provare, verificare e valutare regolarmente, anche da parte di soggetti terzi, le misure tecniche e organizzative al fine di garantire l’efficacia ed efficienza delle stesse.

b. La figura del “legittimo titolare”
La figura del “legittimo titolare”, ergo della “lawful authority” (ex art. 32 della CETS N.185/2001), che concettualmente andrebbe tradotto dall’inglese come “persona legalmente autorizzata”, è una delle nozioni che più si presta a dubbia interpretazione nell’ambito delle attività connesse al contrasto della criminalità informatica.
È da escludersi a priori che tale soggetto possa coincidere con la figura dell’indagato, per il quale sono previste altre e specifiche garanzie e mezzi di ricerca della prova (es. “res petita” ex art. 248 c.p.p.). Ciò premesso, è facile dedurre che tale persona (fisica o giuridica) va individuata tra soggetti terzi (es. persona informata sui fatti, provider ecc.), la quale, da un punto di vista del diritto in generale, non può essere assimilato né alla figura del “titolare del trattamento”, quale nozione ereditata dal Regolamento (UE) 2016/679 (ex art. 4 par. 1 let. 7), né a quella del “generatore” o “detentore” (di fatto) del dato informatico.
A titolo di esempio si consideri il seguente scenario: Mario Rossi produce una fotografia, che viene inviata via WhatsApp a Giulia Bianchi, che a sua volta la carica sul suo cloud storage DropBox. In tale contesto operativo, nascono spontanee le seguenti domande volte a predire l’ammissibilità della fonte di prova digitale:
chi è il legittimo titolare per la consegna del dato presente nel domicilio informatico di Giulia Rossi?
chi ha prodotto (Mario Rossi), chi gestisce (Giulia Bianchi) o chi lo detiene (DropBox, che di fatto è una società che non ha propri server fisici, ma usufruisce del servizio cloud platform as a service di Amazon)?

Alla luce di questo vuoto legislativo, caratterizzato dalla mancata definizione formale di tale figura, l’esperienza operativa maturata in questi ultimi anni converge nell’individuazione del “legittimo titolare”, in quel soggetto che esercita un’azione di “possesso” tale da garantirgli un livello di autonomia che consente di accedere in modo autonomo al dato informatico, anche al di fuori della diretta vigilanza della persona che abbia sul dato un potere giuridico maggiore (es. titolare dell’account). Ovviamente tale peculiarità non dovrà essere solo de facto, ma anche de jure, ossia desunta dai termini del contratto sottoscritto con un dato utente.

c. La nozione di reato informatico
In virtù dei numerosi ordinamenti giuridici che possono essere coinvolti in una condotta antigiuridica eseguita in danno o per mezzo della rete Internet, attualmente non esiste una definizione universalmente riconosciuta di cybercrime (o diversamente detto computer crime). Una delle più autorevoli è stata fornita dall’Unione Europea, secondo la quale deve considerarsi cybercrime: «any criminal acts associated with computers, networks, ICT and online activity».

All’occhio attento del lettore penalista, tale definizione non può ritenersi esaustiva, in quanto scevra di una componente fondamentale di quello che con il termine inglese “crime” dovremmo tradurre come “reato”, ossia l’elemento soggettivo del reato, nonché la possibilità che si possano presentare anche delle c.d. “cause di giustificazione” (teoria tripartita del reato), come ad esempio l’adempimento di un dovere (ex art. 52 c.p.).
Alla luce di tali considerazioni e dallo studio delle attuali pene comminate per le condotte in parola, oltre al “fatto tipico” presente nella prefata definizione, possiamo definire quindi un reato informatico come:

«un delitto commissivo punibile a titolo di dolo in danno o per mezzo della tecnologia dell’informazione (sistema informatico o telematico, dati, informazioni, programmi …)».

Da un punto di vista più operativo, enti autorevoli come Interpol e EuroPol – EC3 distinguono nello specifico:
reati commessi in danno dei sistemi informatici e telematici, detti anche advanced cybercrime (oppure high-tech crime o cyber-dependent crime), come ad esempio condotte commesse mediante tecniche di hacking (D-DOS, Botnet, Zombi, …), crimeware (Virus, Worm, Trojan, ecc.), spamming ecc.;
reati commessi per mezzo dei sistemi informatici e telematici, detti anche cyber-enabled crime, come ad esempio reati in materia di pornografia minorile, reati finanziari, terrorismo, atti persecutori, ecc.

Nella figura sottostante viene fornita una sintetica ma significativa comparazione dei reati commessi nel mondo reale e quello virtuale, evidenziando di volta in volta le eventuali fattispecie autonome. ©