Cybercrimes
L’evoluzione tecnologica e l’utilizzo sempre più permeante della rete internet hanno agevolato ed innovato le modalità di commissione dei reati informatici ed è sempre più frequente essere vittime dei cosiddetti cybercrimes.
Con il termine cybercrimes si suole far riferimento a quei reati perpetrati attraverso l’utilizzo della rete internet e dei sistemi informatici o telematici: essi si distinguono in «computer facilitated crimes», reati facilitati dall’utilizzo dei computer, contrapposti ai «computer crimes», reati nei quali i computer costituiscono l’oggetto materiale della condotta criminosa[1].
La legge n. 547/1993 ha inizialmente introdotto nel Codice Penale italiano nuove fattispecie di reato, come la frode informatica (art. 640 ter c.p.) o danneggiamento dei sistemi informatici e telematici (art. 635 bis c.p.), ma è solo in seguito alla legge n. 48/2008 che sono stati in parte conseguiti gli obiettivi della Convenzione di Budapest del 2001, ossia l’armonizzazione degli elementi fondamentali delle fattispecie di reato e degli istituti processuali previsti dai singoli ordinamenti interni, corroborati da un’efficiente cooperazione giudiziaria ed investigativa internazionale.
[1] SIMONCINI E., Il cyberlaundering: la “nuova frontiera” del riciclaggio, in Rivista trimestrale di diritto penale dell’economia, n. 4/2015, 899
1. Cybercrimes in Italia e nel mondo
Dopo l’uscita del tanto atteso Rapporto Clusit 2018, il 2017 può considerarsi di certo l’‘anno peggiore’ per il numero di attacchi e minacce di cybercrimes subiti da privati e aziende quotidianamente. La poca sicurezza informatica delle piccole o medie aziende aumenta esponenzialmente il rischio di intrusioni esterne, mettendo a repentaglio la vita ed il budget dell’impresa.
1.1 Cybercrimes, costi e percentuali negli ultimi 7 anni
Nell’ultimo anno, i Malware hanno trionfato: si registra un incremento notevole di danni inflitti ai sistemi informatici, ai dati sensibili degli utenti, ai conti in banca digitali, a causa di condotte truffaldine, estorsive ed a furti di proprietà intellettuale.
Il quadro appare inquietante ed avvilente: è necessario fare chiarezza sui costi che devono essere sostenuti per sopperire a questi gravi danni, costi a carico delle aziende, dei cittadini e addirittura dei Paesi.
Ricordiamo, infatti, quanto abbiano inciso le interferenze cyber nelle campagne per le elezioni presidenziali negli Stati Uniti e in Francia, i data breach in danno degli account, gli attacchi a infrastrutture critiche e militari ed i crimini estorsivi grazie ai cryptominers e ransomware.
Analizzando i dati relativi al periodo 2011-2017, emerge come i costi sostenuti a causa di queste attività criminali si siano quintuplicati, arrivando a fine 2017 a raggiungere quasi 500 miliardi di dollari, con danni a quasi un miliardo di persone in tutto il mondo.
1.2 Cybercrimes in Italia - la situazione nella Penisola
L’Associazione Italiana per la Sicurezza Informatica ha reso noto che i danni causati da cybercrimes e attività illecite a livello digitale ammontano a circa 10 miliardi, cifra dieci volte più grande della spesa registrata per la sicurezza informatica.
Nel nostro Paese, molti cybercrimes non vengono denunciati presso le competenti Autorità; le Aziende preferiscono risolvere internamente i problemi informatici, piuttosto che destinare parte del budget ad esperti di cybercrimes. Questa soluzione non consente un efficace contrasto al fenomeno di larga scala e può condurre a disastri informatici ed economici gravissimi.
Nel 2017 sono stati registrati e denunciati 1.127 cybercrimes a forte impatto nel mondo; il 21% di questi attacchi cyber è stato classificato come ‘caso molto critico’ per la portata degli effetti. Le aggressioni digitali sono aumentate del 240% rispetto al 2011 (secondo i dati riportati nella prima edizione del rapporto Clusit) e del 7% rispetto al 2016.
L’analisi delle percentuali dei cybercrimes inteso come attacco all’economia e alla geopolitica registra dati in crescita rispetto allo scorso anno di ben il 12%. Quelli più rilevanti riguardano lo spionaggio industriale e politico e gli attacchi IW (Information Warfare).
1.3 Quali sono le vittime preferite dal cybercrime?
Lo studio del 2018 analizza la distribuzione delle vittime di cybercrimes: prevalente il “Multiple Targets”, con un aumento significativo del 353% rispetto l’anno 2016. Il dato evidenzia un panorama critico in cui nessuno può sentirsi al sicuro perché tutti sono potenzialmente attaccabili.
Gli aggressori sono sempre più preparati e usano ogni mezzo per arrivare al loro scopo (solitamente economico). Non vi sono limiti territoriali o di target nell’azione.
Gli hacker colpiscono soprattutto le piccole o medie realtà, che, non affidandosi per ragioni di budget ad esperti informatici, sono dotate di sistemi poco protetti e più altamente a rischio.
L’attacco informatico è rilevato e risolto in un tempo tecnico di 3 giorni lavorativi, durante i quali, generalmente, l’azienda è costretta ad interrompere le proprie attività
Va anche sottolineato che, secondo l’analisi del 2018, gli attacchi più numerosi avvengono per mezzo di Malware semplici, Phishing, SQLi e DdoS, software semplici e di poco costo, che consentono di colpire le vittime con grande facilità e con molta frequenza.
1.4 Gli attacchi e le frodi tramite Smartphone
Gli ultimi due anni hanno registrato un’inversione di tendenza nella corsa ai telefoni di ultima generazione; si acquistano sempre più cellulari di tipo ‘vintage’, che possono utilizzare solamente la tecnologia SMS, esclusa la navigazione Internet.
La paura di essere spiati, truffati e ricevere estorsioni spinge infatti i consumatori ad una maggiore cautela, riducendo il tempo in cui si è ‘connessi’ in rete.
Le analisi sui security vendor fanno emergere un mutamento del codice inviato ai dispositivi mobile, con incremento per il 2018 di malware indirizzati agli smartphone più evoluti.
Nel terzo trimestre del 2017 sono stati registrati fino a 16 milioni di codici infestanti dedicati ai mobile, in particolare trojan inviati ai cellulari con l’obiettivo di sottrarre indebitamente codici bancari e di spiare i dati sensibili.
1.5 Come difendersi dai cybercrimes
Le vittime dei cybercrimes sono numerose, molte delle quali ignare di ciò che viene commesso in loro danno; per difendersi e per prevenire nuovi attacchi, è opportuno sempre rivolgersi a personale altamente professionale, qualificato e preparato.
Nel caso in cui si notassero anomalie durante la navigazione web da PC domestico o aziendale oppure si fosse soggetti sullo smartphone a ricezione di messaggi o email da mittenti sconosciuti e sospetti, occorre rivolgersi immediatamente alla Polizia Postale per segnalare l’accaduto.
2. Reati informatici
2.1 Art. 640 ter c.p. - Frode informatica
“Chiunque, alterando in qualsiasi modo il funzionamento di un sistema informatico o telematico o intervenendo senza diritto con qualsiasi modalità su dati, informazioni o programmi contenuti in un sistema informatico o telematico o ad esso pertinenti, procura a sé o ad altri un ingiusto profitto con altrui danno, è punito con la reclusione da sei mesi a tre anni e con la multa da lire centomila a due milioni.
La pena è della reclusione da uno a cinque anni e della multa da lire seicentomila a tre milioni se ricorre una delle circostanze previste dal numero 1) del secondo comma dell'articolo 640, ovvero se il fatto è commesso con abuso della qualità di operatore del sistema.
La pena è della reclusione da due a sei anni e della multa da euro 600 a euro 3.000 se il fatto è commesso con furto o indebito utilizzo dell'identità digitale in danno di uno o più soggetti.
Il delitto è punibile a querela della persona offesa, salvo che ricorra taluna delle circostanze di cui al secondo e terzo comma o taluna delle circostanze previste dall'articolo 61, primo comma, numero 5, limitatamente all'aver approfittato di circostanze di persona, anche in riferimento all'età, e numero 7 ”
L’art. 640 ter c.p., introdotto con l’art. 10 della legge n. 547/1993, è un delitto che incrimina le condotte fraudolente e i cybercrime commessi mediante l’utilizzo dei computer.
Obiettivo dell’interpolazione del suddeto cybercrime è l’estensione della tutela penale a quelle condotte che, avendo come oggetto materiale un sistema informatico o telematico, non rientrano nell’alveo incriminatorio dell’art. 640 c.p.; il reato di truffa, infatti, richiede che le condotte truffaldine siano poste in essere contro una persona fisica la cui volontà è viziata dall’inganno dell’agente.
2.1.1 Elemento oggettivo
Le condotte penalmente rilevanti sono alternativamente l’alterazione di un sistema informatico o telematico e l’intervento abusivo su dati, informazioni o programmi in esso contenuti o ad esso pertinenti, tali da conseguire per l’agente o altri un ingiusto profitto con altrui danno ; per entrambe le condotte di cybercrimes è irrilevante le modalità in cui si esplicano, essendo sufficiente qualsiasi concreta modalità attuativa di azioni fraudolente commesse sui sistemi informatici[1]. Essendo un reato di evento, per la sua integrazione è necessario non soltanto un risultato locupletativo ingiusto, quindi non giustificato da alcun tipo di interesse tutelato dalla legge, ma anche un danno altrui.
[1] Padovani T., Codice Penale, Giuffrè, 2005, 2953
2.1.2 Elemento soggettivo
L’elemento soggettivo del reato di frode informatica è costituito dal dolo generico, essendo dunque sufficiente la coscienza e volontà dell’alterazione del sistema informatico o telematico; nel caso della condotta di intervento senza diritto, invece, il dolo generico deve investire anche l’illiceità speciale dell’abusività; quindi, l’agente deve essere cosciente e consapevole di porre in intervenire sul sistema informatico o telematico in assenza di alcun diritto o autorizzazione.
2.2 Art. 615 ter c.p. - Accesso abusivo a un sistema informatico o telematico
“Chiunque abusivamente si introduce in un sistema informatico o telematico protetto da misure di sicurezza ovvero vi si mantiene contro la volontà espressa o tacita di chi ha il diritto di escluderlo, è punito con la reclusione fino a tre anni. La pena è della reclusione da uno a cinque anni:
- se il fatto è commesso da un pubblico ufficiale o da un incaricato di un pubblico servizio, con abuso dei poteri o con violazione dei doveri inerenti alla funzione o al servizio, o da chi esercita anche abusivamente la professione di investigatore privato, o con abuso della qualità di operatore del sistema;
- se il colpevole per commettere il fatto usa violenza sulle cose o alle persone, ovvero se è palesemente armato;
- se dal fatto deriva la distruzione o il danneggiamento del sistema o l'interruzione totale o parziale del suo funzionamento, ovvero la distruzione o il danneggiamento dei dati, delle informazioni o dei programmi in esso contenuti.
Qualora i fatti di cui ai commi primo e secondo riguardino sistemi informatici o telematici di interesse militare o relativi all'ordine pubblico o alla sicurezza pubblica o alla sanità o alla protezione civile o comunque di interesse pubblico, la pena è, rispettivamente, della reclusione da uno a cinque anni e da tre a otto anni.
Nel caso previsto dal primo comma il delitto è punibile a querela della persona offesa; negli altri casi si procede d'ufficio”
La fattispecie di cybercrimes previsto dall’art. 615 ter c.p. è stato introdotto nell’ordinamento italiano sulla scorta della Raccomandazione del Consiglio d’Europa sulla criminalità informatica del 1989, che, nello specifico, chiedeva agli Stati Membri di garantire “una protezione, in via anticipata e indiretta, contro i rischi di manipolazioni informatiche, di danneggiamento dei dati e di spionaggio informatico, che possono derivare da un accesso non autorizzato a un sistema informatico”.
Interpolato tra i delitti contro l’inviolabilità del domicilio, esso tutela il c.d. “domicilio informatico”, espansione virtuale dell’area in cui l'individuo esplica liberamente la sua personalità in tutte le sue dimensioni e manifestazioni ; in particolare, l’art. 615 ter c.p. offre una tutela anticipata rispetto ad una pluralità di beni giuridici e interessi eterogenei che consiste nello ius excludendi alios. In concerto con le ulteriori disposizioni in materia di reati informatici, si è proceduto quindi a regolamentare il settore del cosiddetto “cyberspazio”, luogo di interazione tra uomo e macchina all'interno del quale vengono in rilievo “flussi di informazioni digitali, che, spostandosi attraverso reti tra loro collegate, sfuggono alla ordinaria qualificazione delle cose e a una netta distinzione tra una dimensione soggettiva e una dimensione oggettiva”[1]
La condotta incriminata consiste nell'introdursi in un sistema informatico o telematico, ovvero nel trattenersi nel medesimo sistema in maniera abusiva.
Oggetto della condotta è l'abusiva intrusione in un sistema informatico, che si identifica in un apparato elettronico in grado di elaborare un elevato numero di dati, opportunamente codificato e capace di produrre come risultato un altro insieme di informazioni, che può essere reso intellegibile da un programma in grado di far cambiare lo stato interno dell'apparato e di variarne, all'occorrenza, il risultato.
In tale accezione devono essere ricompresi sia i sistemi di scrittura o di automazione d'ufficio ad uso individuale di qualunque tipo e dimensione, sia i più complessi sistemi di elaborazione in grado di erogare, anche in rete, servizi e potenza di calcolo ad una pluralità di utenti interconnessi.
Ciò che caratterizza il sistema informatico è la diversa programmabilità e la variabilità dei risultati (ritenendo diversamente si rischierebbe di confonderlo con un mero apparecchio elettronico).
Il termine è suscettibile di ricomprendere come possibile oggetto di attacco tanto la macchina nel suo insieme, quanto i suoi singoli componenti, a condizione che il complesso delle apparecchiature, dei programmi e delle informazioni sia unitariamente finalizzato all'espletamento di determinate funzioni ed al raggiungimento di specifiche utilità.
I sistemi informatici o telematici devono essere protetti da misure di sicurezza, in quanto tale circostanza è sintomatica della volontà di impedire l'accesso a persone non autorizzate[2]
Per “misure di sicurezza” devono genericamente intendersi tutti quei «mezzi di protezione sia logica che fisica (materiale o personale) che il “dominus” del sistema informatico o telematico abbia predisposto al fine di riservare l'accesso o la permanenza alle sole persone da lui autorizzate»[3]
[1] Scudieri, Un caso di hacking: luoghi reali e luoghi virtuali tra diritto e informatica, in Ciberspazio e diritto, 2006, 7, 414
[2] Picotti, Sistematica dei reati informatici, tecniche di formulazione legislativa e beni giuridici tutelati, in Il diritto penale dell'informatica nell'epoca di Internet, Padova, 2004, 70
[3] Pestelli, Brevi note in tema di accesso abusivo ad un sistema informatico o telematico, in Cass. pen., 2012, 6, 2320 ss.
2.3 Art. 615 quater c.p. - Detenzione e diffusione abusiva di codici di accesso a sistemi informatici o telematici. Furto di password e codici d’accesso.
La norma de qua sanziona l'abusiva acquisizione e diffusione, con qualsiasi modalità, dei mezzi o codici di accesso preordinati a consentire a soggetti non legittimati l'introduzione nel sistema informatico o telematico altrui protetto da misure di sicurezza. Lo scopo della previsione è di prevenire l'uso non autorizzato di tutti quei mezzi che consentono l'accesso al sistema in quanto il successo dell'attività intrusiva è strettamente connesso all'uso di passwords rubate o scoperte con facilità. Trattasi, dunque, della repressione - indipendentemente dal verificarsi dell'evento - di condotte prodromiche della realizzazione del delitto di accesso abusivo in un sistema informatico o telematico protetto da misure di sicurezza ed in particolare, di una ipotesi connotata dalla sostituzione illegittima dell'agente al legittimo titolare del sistema mediante l'uso della password di quest'ultimo; repressione preordinata a realizzare una sorta di tutela anticipata del bene tutelato dall'art. 615 ter c.p..
Oggetto materiale della condotta sono codici, password, parole chiave o altri mezzi idonei all'accesso ad un sistema informatico o telematico che sia protetto da misure di sicurezza, e, più in generale, tutti i mezzi - compresi informazioni e istruzioni - che consentono di accedere ad un sistema informatico o telematico protetto .
Per codice di accesso o password (parola-chiave) si intende la chiave che permette di collegarsi al sistema. Può trattarsi di sequenze alfabetiche, numeriche o alfanumeriche o numerico-logiche che, se digitate alla tastiera o altrimenti comunicate all'elaboratore.
2.4 Art 615 quinquies c.p. - Diffusione di apparecchiature, dispositivi o programmi informatici diretti a danneggiare o interrompere un sistema informatico o telematico. Hacking, cracking e diffusione di malware e virus informatici.
La norma sanziona chi, allo scopo di danneggiare illecitamente un sistema informatico o telematico, le informazioni, i dati o i programmi in esso contenuti o ad esso pertinenti ovvero di favorire l'interruzione, totale o parziale, o l'alterazione del suo funzionamento, si procura, produce, riproduce, importa, diffonde, comunica, consegna o, comunque, mette a disposizione di altri apparecchiature, dispositivi o programmi informatici.
Le condotte di cybercrimes sanzionate presentano come oggetto materiale, seguendo l'ordine cronologico di previsione, i programmi informatici. Nonostante la previsione non li descriva più direttamente come aventi lo scopo o l'effetto di provocare il danneggiamento di sistemi informatici o telematici ovvero dei dati e dei programmi in essi contenuti e ad essi pertinenti nonché, l'interruzione totale o parziale o l'alterazione del funzionamento dei sistemi , ma richieda che tali scopi muovano la condotta dell'agente, è evidente che deve trattarsi di programmi funzionalmente caratterizzati , cioè di c.d. programmi virus cioè infetti, capaci di riprodurre se stessi infettando altri programmi nei quali si inseriscono, con effetti negativi per la sicurezza del sistema sociale che è sempre di più legata al controllo dei sistemi informatizzati.
2.5 Art 617 quater cp - Intercettazione, impedimento o interruzione illecita di comunicazioni informatiche o telematiche
La previsione normativa de qua sanziona quei cybercrimes di chi fraudolentemente intercetta comunicazioni relative ad un sistema informatico o telematico o intercorrenti tra più sistemi, ovvero le impedisce o le interrompe. I contegni sanzionati incidono sulle comunicazioni relative ad un sistema informatico o telematico, o intercorrenti tra più sistemi, nel momento della loro trasmissione.
Con riguardo alla nozione di sistema informatico, è stata elaborata alla luce della L. 23.12.1993, n. 547, quale «complesso di apparecchiature destinate a compiere una qualsiasi funzione utile all'uomo, attraverso l'utilizzazione (anche parziale) di tecnologie informatiche, che sono caratterizzate - per mezzo di un'attività di "codificazione” e "decodificazione" - dalla "registrazione" o "memorizzazione", per mezzo di impulsi elettronici, su supporti adeguati, di "dati", di rappresentazioni elementari di un fatto, effettuata attraverso simboli (bit), in combinazioni diverse, e dalla elaborazione automatica di tali dati, in modo da generare "informazioni", costituite da un insieme più o meno vasto di dati organizzati secondo una logica che consenta loro di esprimere un particolare significato per l'utente. La valutazione circa il funzionamento di apparecchiature a mezzo di tali tecnologie, costituisce giudizio di fatto, insindacabile in cassazione ove sorretto da motivazione adeguata e immune da errori logici» (Cass.Pen., Sez. VI, 14 dicembre 1999).
2.6 Art 635 bis e ter c.p. - Danneggiamento di informazioni, dati e programmi informatici
La previsione dell’art. 635 bis c.p. sanziona chiunque distrugge, deteriora, cancella, altera o sopprime informazioni, dati o programmi informatici altrui. La norma tutela l'«inviolabilità del possesso e della disponibilità (in fatto) delle cose-oggetto materiale della condotta», ovverosia « l'integrità fisica delle apparecchiature e delle istruzioni di funzionamento incise sul taluni loro componenti».
L’art. 635 ter c.p. invece punisce chi commette un fatto diretto a distruggere, deteriorare, cancellare, alterare o sopprimere informazioni, dati o programmi informatici utilizzati dallo Stato o da altro ente pubblico o ad essi pertinenti, o comunque di pubblica utilità. Il delitto di danneggiamento di dati di pubblica utilità, al pari di quello previsto all'art. 635 quinquies, è formulato come un "delitto di pericolo", essendo la consumazione anticipata già al momento della commissione di un fatto diretto a porre in essere le opere descritte nella norma, senza quindi che sia necessaria la loro effettiva realizzazione.
2.7 Art 635 quater e quinquies c.p. - Danneggiamento di sistemi informatici o telematici
L’art. 635 quater punisce quei cybercrimes di colui che mediante le condotte di cui all'articolo 635 bis, ovvero attraverso l'introduzione o la trasmissione di dati, informazioni o programmi, distrugge, danneggia, rende, in tutto o in parte, inservibili sistemi informatici o telematici altrui o ne ostacola gravemente il funzionamento.
L’art. 635 quinquies c.p., invece, punisce colui che pone in essere il fatto di cui all'articolo 635 quater c.p., ma nelle ipotesi in cui sia diretto a distruggere, danneggiare, rendere, in tutto o in parte, inservibili sistemi informatici o telematici di pubblica utilità o ad ostacolarne gravemente il funzionamento.
3. Problematiche processuali
3.1 La prova digitale
In seguito all’incremento dell’uso dei sistemi informatici e telematici è sempre più frequente assistere nei procedimenti penali all’esperimento di tecniche di indagine caratterizzate dall’elevato contenuto tecnologico ed anche dall’uso di prove c.d. “informatiche” o “digitali” (electronic evidence).
Ciò ha portato i protagonisti dei procedimenti a misurarsi con prove contenute in computer o nella rete internet, assistendo così al tramonto delle prove “tradizionali”.
È bene sottolineare che le prove digitali e le indagini informatiche non riguardano solo ed esclusivamente i cybercrimes, ma hanno rilevanza anche per i reati comuni, molti dei quali possono essere commessi mediante sistemi informatici o telematici. In particolare, le prove digitali presentano caratteristiche peculiari che le differenziano nettamente dalle prove che si è abituati a considerare.
Innanzitutto, ciò che in primis caratterizza le prove digitali è l’immaterialità. Esse non sono altro che dati informatici, sotto forma di codice binario (stringhe di bit), memorizzati in supporti fisici (come i computer) o fluttuanti nella rete internet. In virtù di quest’aspetto le prove digitali non sono tangibili, e per la loro esistenza non è imprescindibile un determinato supporto informatico poiché esse sono autonome ed indipendenti dalla res che li contiene, potendo essere duplicata e riprodotta infinite volte.
Le prove digitali sono anche “fragili”, poiché esse possono essere alterate, modificate e definitivamente eliminate sia ad opera del soggetto che ha dato vita ai dati oggetto della prova digitale, sia da investigatori poco attenti ed inesperti.
Infatti, è fondamentale che il procedimento di acquisizione della prova sia condotto con l’utilizzo di tecniche altamente specialistiche in modo tale da non inquinare in alcun modo la prova rilevata ma anche da provvedere alla sua conservazione in modo sicuro ed efficace, a riparo da qualsiasi tentativo di manomissione.
Una delle tematiche fondamentali a cui gli investigatori debbono far più attenzione è conferire alla prova elettronica la c.d. «resistenza informatica alle contestazioni», ossia la garanzia di integrità e autenticità del dato informatico nell’ambito della sua «continuità probatoria» (la c.d. “chain of custody”).
3.2 Le indagini digitali
Le indagini digitali hanno ad oggetto prove «raccolte in un luogo virtuale». Innanzitutto, le procedure volte alla ricerca delle prove digitali hanno come obiettivo quello di acquisire le prove senza alterare o “inquinare” il supporto informatico dove sono memorizzate. Inoltre, è necessario garantire anche la genuinità della prova raccolta e che la copia di essa trasportata eventualmente su un diverso supporto informatico sia perfettamente fedele all’originale. Quindi, le attività di indagine saranno finalizzare alla preservazione, analisi e documentazione delle attività portate a termine con l’ausilio di un sistema informatico o telematico al fine di ricavare elementi probatori per dimostrare la colpevolezza.
È possibile distinguere le indagini informatiche in indagini relative alle «computer derivated evidence» e le indagini che hanno ad oggetto le «electronic evidence a genesi procedimentale». Nel primo caso, il computer o la rete internet sono l’oggetto dell’attività investigativa, mentre nel secondo caso il computer è il mezzo di conservazione o formazione della prova.
Quest’ultima categoria non può però ricondursi alle indagini aventi ad oggetto documenti informatici o tracce digitali in senso stretto, in quanto i relativi dati raccolti non sono stati ricavati da un sistema informatico o telematico o intercettati durante la loro circolazione nella rete.
È possibile distinguere tre tipologie di investigazioni digitali: le investigazioni preventive, preliminari e proattive.
Le prime (pretrial investigations), sono condotte con la finalità di prevenire la commissione di reati. Si collocano in una finestra temporale antecedente alla ricezione della notitia criminis, in quanto vi è ormai la tendenza, specialmente nel diritto penale, a prevedere presidi preventivi. Anzi, proprio per i reati informatici dove la repressione dei reati è compito arduo per gli investigatori e i giudici, gli strumenti di contrasto ideali sono rappresentati proprio da disposizioni preventive, alla stregua di quanto è accaduto per la responsabilità penale degli enti ed il contrasto dei fenomeni corruttivi nella pubblica amministrazione.
Le investigazioni preliminari (reactive investigations), invece, sono messe in moto dopo che la notitia criminis sia giunta alle autorità competenti. In questo caso le modalità di indagine sono influenzate dai codici di rito dei diversi stati, dove è necessario contemperare gli strumenti investigativi con i principi di adeguatezza e proporzionalità.
Le investigazioni proattive (Proactive investigations) invece sono una sintesi delle prime due categorie, in quanto presentano aspetti di prevenzione e aspetti di repressione. Attualmente sono una tipologia di indagine poco conosciuta e praticata, in quanto viene utilizzata specialmente per la prevenzione e repressione dei reati di terrorismo e di criminalità organizzata. Le investigazioni digitali stanno sempre più assumendo questa tipologia di investigazione, in quanto si assiste ad una fusione tra indagini a fine repressivo/rieducativo e indagini con finalità preventive.
Passando all’analisi delle caratteristiche delle investigazioni digitali, la prima che merita di essere presa in considerazione è l’estrema tecnicità. Se condotte da soggetti poco esperti, vi è il rischio (come è stato già diffusamente esplicitato in precedenza) di alterare o inquinare la prova da assumere rendendola addirittura inutilizzabile in quanto definitivamente compromessa la sua capacità probatoria.
3.3 Mezzi di ricerca della prova “tradizionali” - la perquisizione, l’ispezione e il sequestro di dati digitali
Il Codice di procedura penale disciplina tra i mezzi di ricerca della prova la perquisizione (artt. 247 – 251 c.p.p.), le ispezioni (artt. 244 – 246 c.p.p.) e i sequestri a scopo probatorio (artt. 253 – 263 c.p.p.).
Le perquisizioni e ispezioni, in quanto «tipici atti “a sorpresa”», sono attribuite alla potestà dell’“autorità giudiziaria”, rendendo esplicito come esse possono essere disposte non solo dal giudice, ma anche (e soprattutto, data la loro forte rilevanza nelle indagini preliminari) dal Pubblico Ministero. Le prime, consistono nell’attività del «perquirere», finalizzata alla ricerca del corpo del reato o cose pertinenti a quest’ultimo, le seconde nell’attività dell’«inspicere», allo scopo di accertare sulle persone, nei luoghi o nelle cose le tracce e gli altri effetti materiali del reato, e sono entrambe attività che indiscutibilmente incidono sui diritti tutelati agli artt. 13 e 14 della Carta fondamentale. Per quest’ultimo motivo è prescritta la necessità di un decreto motivato ed è anche prevista la riserva di legge per quanto riguarda i casi in cui è possibile disporle e le relative modalità. In riferimento alle prove digitali e al sempre più crescente fenomeno dei cybercrimes, parte della dottrina statunitense aveva già espresso le proprie preoccupazioni in ordine alla sfida lanciate al diritto processuale penale. Venivano, in particolare, espresse perplessità sulla sufficienza di uno sforzo ermeneutico tale da ricomprendere le prove digitali e le tecniche di indagini informatiche nelle norme attualmente in vigore e per questo motivo è stato proposto di introdurre delle norme ad hoc in modo tale da evitare tentativi interpretativi estremi. Queste problematiche, a dire il vero, riguardano in particolar modo le indagini informatiche, proprio perché (anche nel caso del nostro codice di procedura penale) le norme attualmente in vigore sono state concepite per dettare metodi di indagine che avessero luogo esclusivamente nel mondo materiale e “tangibile”.
Sono state quindi cristallizzate nelle norme attualmente in vigore i principi della tutela della genuinità ed integrità che devono ispirare gli investigatori nel procedere alle indagini. Viene quindi data libertà d’azione riguardo gli strumenti, le tecniche e le concrete modalità di indagine, anche in virtù della continua evoluzione tecnologica che renderebbe sempre obsolete le disposizioni.
Riguardo le ispezioni, vi sono diversi elementi critici da tener in considerazione. Il suddetto mezzo di ricerca della prova, si caratterizza per limitarsi ad una verifica e la rilevazione dello stato fattuale di una cosa (o persona), senza effettivamente provvedere ad una analisi di ciò che è contenuto su di un supporto informatico. A differenza della perquisizione, quindi, vi è l’assenza di una attività di ricerca, limitandosi gli inquirenti ad una osservazione del “reale”, scevra da ogni elemento valutativo. Sembra difficile, secondo parte della dottrina, configurare una ipotesi di ispezione di dati informatici che non ricada nella disciplina delle perquisizioni o del sequestro probatorio. Infatti, l’adozione di «misure tecniche dirette ad assicurare la conservazione dei dati originali e ad impedirne l’alterazione» non può che comportare una analisi in concreto dei dati memorizzati su di un dispositivo, quindi accedendo ad esso.
Le perquisizioni sono dirette all’individuazione e alla acquisizione del corpo del reato o altre cose pertinenti. È disposta con decreto motivato, poiché essendo mezzo della ricerca della prova lesivo della libertà personale e del domicilio è necessario un controllo sulla legittimità del provvedimento. Una delle differenze della formulazione della disciplina riguarda l’oggetto dell’attività che nel mezzo di ricerca della prova appena trattato consistono nei «sistemi informatici o telematici», mentre nel caso delle perquisizioni vi è un espresso riferimento ai «dati, informazioni, programmi informatici». Gli investigatori possono andare oltre la semplice osservazione esterna effettuando operazioni direttamente sui dati (ad esempio, aprire cartelle, file, eseguire programmi ecc.), sempre attuando misure idonee a non modificare o compromettere i dati (come l’utilizzo di software “writeblocker”).
Il sequestro per finalità probatorie, disciplinato negli artt. 253 e ss. del codice di rito, si differenzia dalle altre tipologie di sequestro in virtù del suo particolare oggetto, il «corpo del reato e delle cose pertinenti al reato necessarie per l’accertamento dei fatti»; è previsto anche in questo caso con decreto motivato emesso dall’autorità giudiziaria. È nel secondo comma che viene poi specificato cosa si intende per corpo del reato: «le cose sulle quali il reato è stato commesso nonché le cose che ne costituiscono il prodotto, il profitto, o il prezzo.». Il sequestro di materiale informatico è disciplinato nell’articolo 254-bis c.p.p., introdotto dalla più volte richiamata L. 48/2008, che viene configurato come un sequestro presso i fornitori di servizi informatici, telematici e di telecomunicazioni. Le problematiche relative alla suddetta tipologia di sequestro riguardano sia l’oggetto sia «l’estensione del vincolo reale». Ed è già nella Convenzione di Budapest che si evince la difficoltà di determinare quali siano le res oggetto di sequestro; l’art 19 prescrive la possibilità per le autorità inquirenti di sequestrare «un sistema informatico o parte di esso o un supporto per la conservazione di dati informatici», non circoscrivendo con precisione l’oggetto del sequestro. È necessario determinare se ogni volta che si procede ad un sequestro di dati informatici si necessario procedere all’apprensione del solo hard disk (che contiene i dati memorizzati e i programmi software installati) oppure l’intero apparato del computer (monitor, mouse, stampanti ecc.).
Lo studio ha guadagnato specifica esperienza processuale e consulenziale in ordine alle seguenti tematiche: