N. 7 – 2008 – D & Innovazione
Repressione
della criminalità informatica
e tutela dei diritti fondamentali *
VINCENzO Zeno-Zencovich
Università di Roma Tre
Sommario: Premessa.
– 1. La
dimensione della libertà. – 2.
L’identità
digitale. – 3. Alcuni
recenti interventi normativi. – 4. L’identità
digitale ed il furto di identità. – 5. I problemi posti dal “data
retention”.
Premessa
Nel
corso degli ultimi anni il “diritto penale della rete” è
cresciuto in maniera esponenziale.
Partendo
da alcune norme sparse, il campo di azione si è progressivamente espanso
nelle più svariate direzioni. La ragione di tutto ciò è
abbastanza ovvia ed è correlata al ruolo di fondamentale importanza che
le reti assumono nella società e nell’economia moderna. La rete
veicola enormi risorse, attraverso di essa si formano i processi decisionali,
su di essa si crea la ricchezza moderna
cioè la conoscenza. Inevitabile dunque che la rete venga
opportunamente presidiata da un complesso di norme di prevenzione e
repressione.
Ovviamente
lo studioso del diritto penale
inquadra ciò nel grande e consolidato sistema di cui è
maestro, cogliendo gli elementi di continuità con il passato assieme a
quelli di novità.
Il
cultore del diritto che non sia penalista, tuttavia, vede le questioni in una
prospettiva diversa, nel senso che la rete é un fenomeno assai complesso
che va esaminato unitariamente e nei suoi rapporti con il mondo
“reale”. L’aspetto sanzionatorio è certamente
importante, ma offre una visuale troppo limitata del fenomeno. Per riprendere
una metafora forse abusata ma sempre attuale, non si può costruire
l’istituto della proprietà sulle norme che puniscono il furto.
Con
queste premesse è inevitabile che ci si chieda in primo luogo quali
interessi giuridici si esprimano sulla rete per poi verificare se e in che
misura un apparato repressivo sia opportuno e necessario.
A
questo punto alcune notazioni preliminari si impongono.
1.
– La dimensione della libertà
Il
fenomeno comunemente definito “la rete” (e che in realtà
comprende migliaia di reti, fisse e mobili, terrestri e satellitari, che
interconnesse coprono l’intero globo terrestre) costituisce uno di quei
punti di svolta della società umana cambiando profondamente il modo di
apprendere, comprendere, agire. Ma quel che qui interessa maggiormente
sottolineare – come fatto più di un decennio fa quando la Corte
Suprema degli Stati Uniti si è dovuta confrontare con il tema della
legittimità delle restrizioni alla rete – è la dimensione
di libertà. Ben al di sopra dei pur rilevantissimi interessi economici,
la rete è il luogo dove oggi, più che in qualsiasi altro
contesto, si esplica la
libertà individuale: di comunicare, di acquisire e diffondere
informazioni, di associarsi. Si tratta di libertà fondamentali non solo
nella gerarchia delle fonti e nella loro qualificazione formale, ma soprattutto
nel loro rilievo fondante la personalità umana. Si tratta poi di libertà
fra le più feconde in quanto non si limitano ad arricchire
intellettualmente chi le esercita, ma mettono in moto processi di creazione e
condivisione di conoscenze e relazioni comuni, oltre i confini di una
città, una nazione, un continente per abbracciare il mondo intero. Torna
qui appropriato il titolo del libro di uno dei padri della teoria
dell’informazione, Ithiel De Sola Pool, “Tecnologie della libertà” che più di venti anni
fa aveva colto appieno, e in termini positivi (antitetici rispetto ad un
diffuso catastrofismo neo-luddista) le straordinarie potenzialità delle
reti di telecomunicazioni.
Beninteso ogni libertà
ha i suoi limiti, ed essa si presta sempre a eccessi ed abusi, perchè
é l’essere umano che spesso non sa darsi delle regole. Ma le
eccezioni in nessun modo possono far dimenticare l’importanza della
regola. E la paura della libertà – con le responsabilità ed
i rischi che essa comporta – è l’anticamera della tirannia.
Tali considerazioni non sono
solo retoriche, ma hanno un fondamento concreto ove si rifletta per un istante
a ciò che contraddistingue un regime autoritario contemporaneo, e
cioè la privazione o il rigido controllo delle reti di comunicazione
elettronica. E si ponga mente a quanto deteriore sarebbe oggi la nostra
condizione se non potessimo accedere alle reti per comunicare, informare,
informarci, unirci.
2.
– L’identità digitale
Accanto
a questo profilo di libertà ve n’é un altro, pre-giuridico,
che occorre prendere in considerazione. Tale è l’importanza che
hanno assunto le nuove tecnologie che molte di esse ormai possono definirsi
come vera e propria estensione della persona. Non c’è bisogno di
complesse indagini demoscopiche, di studi comportamentali, dell’ausilio
di psicologi e sociologi. È sufficiente la banale osservazione della
realtà per rendersi conto come il soggetto riponga nel telefono mobile,
nella posta elettronica, nei propri spazi creati su Internet gran parte dei
suoi sensi e della sua memoria. Da più di un secolo siamo familiari con
la c.d. “civiltà delle macchine”. Ma la più diffusa
di quest’ultima, l’automobile, pur creando situazioni di dipendenza
è pur sempre fungibile: se la propria è guasta se ne usa
un’altra, di famiglia, di un amico. Alla peggio la si noleggerà o
si prenderà un taxi. Nel mondo delle comunicazioni interpersonali quel che conta non
è la “macchina” in sé o le funzioni che compie,
bensì l’insieme degli elementi immateriali che contiene e la
funzione identificativa che svolge (il numero di telefono, l’indirizzo di
posta elettronica o di Internet Protocol). Non sono sostituibili, come ben sa
chiunque abbia visto la “memoria” del proprio computer azzerata da
un virus informatico, oppure abbia smarrito il proprio telefono mobile.
La
natura ubiqua e smaterializzata di tali comunicazioni ha fatto parlare di un
mondo “virtuale”, in sintonia con un approccio che vedeva nella
rete un non-luogo, a-statuale e non soggetto al dominio della legge. Riesce,
difficile, oggi ritenere che ci sia un
aspetto più “reale” e tangibile della persona delle
sue molteplici espressioni sulla rete le quali consentono di conoscerla e di
comunicare con essa.
La vita del soggetto sulla
rete è ben lungi dall’essere (per riprendere il nome di un
fortunato sito interattivo) una “Second
Life”, ma potremmo dire che si tratta della sua prima e più
importante manifestazione vitale.
L’importanza di questo
aspetto è stata ben colta dagli studiosi della moderna
“privacy” e trova un puntuale riscontro normativo nella vasta
normativa in materia di protezione dei dati personali, in particolare sulle
reti di comunicazione elettronica (Direttiva 58/02). Ma in quel che
s’è detto vi è qualcosa di più che non
l’esigenza di difesa di una vasta quantità di dati da una indebita
appropriazione.
L’identità
personale del soggetto si concretizza in forme tanto materiali quanto digitali.
È l’insieme della persona che va protetto, e non solo singoli suoi
aspetti. Ciò comporta una visione complessiva del sistema di norme che
pertengono al settore.
3. – Alcuni
recenti interventi normativi
Se ci
si pone nei due punti di osservazione che si sono prima individuati –
quello delle libertà fondamentali e quello della identità della
persona – l’apparato sanzionatorio da cui muove il presente scritto
può essere visto in luce diversa da quella che illumina la ricostruzione
dello studioso del diritto penale. Non si intende, in queste pagine, offrire
una disamina analitica delle varie norme che ormai – lo si è detto
– sono numerosissime, quanto piuttosto utilizzare a titolo
esemplificativo due testi, di rilevanza europea, assai recenti ossia la
Convenzione del Consiglio d’Europa (detta anche Convenzione di Budapest)
sulla “ciber-criminalità” del 23.11.2001, ratificata
dall’Italia con la L. 18.3.2008, n. 48; e la Direttiva 24/06, recepita
dal D. Lgs. 30.5.2008, n.109, sul cosiddetto data retention.
Il
preambolo della Convenzione rammenta «la
necessità di garantire un equilibrio adeguato fra l’interesse ad
una azione repressiva ed il rispetto dei diritti umani fondamentali, come
garantiti dalla Convenzione sulla protezione dei diritti dell’uomo e le libertà fondamentali del
Consiglio d’Europa del 1950, il Patto internazionale su diritti civili e
politici delle Nazioni Unite del 1966, nonché le altre convenzioni
internazionali in materia di diritti umani le quali riaffermano il diritto a
non subire ingerenze per le proprie opinioni, la libertà di espressione,
compresa la libertà di cercare, ottenere e comunicare informazioni ed
idee di ogni genere, senza limitazioni di frontiere, assieme al diritto al
rispetto della vita privata». Come pure richiama il diritto alla
protezione dei dati personali.
In
questa direzione si muovono le disposizioni riguardanti le violazioni della
confidenzialità, l’integrità e la disponibilità dei
dati e dei sistemi informatici ed in particolare l’art. 2 sull’accesso
illegale, l’art. 3 sulle intercettazioni illegali, l’art. 4 sulla
integrità dei dati, l’art. 7 sulla falsificazione dei dati,
l’art. 8 sulle frodi informatiche, nonché una norma di chiusura,
l’art. 15, il quale nel richiamare le sopra citate convenzioni
internazionali, richiede che le misure sanzionatorie e procedurali siano
rispettose del principio di proporzionalità.
Il
Parlamento italiano, nel ratificare ed eseguire tale Convezione con la L.
18.3.2008, n. 48 non ha riprodotto integralmente il suo testo, perchè
numerosi dei principi ivi enunciati sono stati già recepiti con
precedenti interventi legislativi. Ciò tuttavia crea non poche
incertezze perchè il testo
della Convenzione non è allegato alla legge di ratifica. Ed
è di difficile reperimento sul sito del Consiglio di Europa, e comunque
solo in lingua inglese e francese. Fatta tale considerazioni in ordine alla
conoscibilità del diritto, le novità più significative
sono l’introduzione dei reati di danneggiamento di informazioni, dati e
programmi privati, di soggetti pubblici e di sistemi di pubblica utilità
(artt. 635 bis, ter e quater c.p.); l’estensione
della responsabilità amministrativa d’impresa per il trattamento
illeciti di dati (art. 24 bis del
D.Lgs. 231/01); una serie di modifiche al codice di procedura penale che
consentono la “perquisizione informatica” ed il sequestro di dati
(artt. 244, 254, 254 bis, 352 c.p.p.). Inoltre la L. 48/08 integra dal
punto di vista procedurale le modalità di accesso da parte delle forze
dell’ordine ai dati di traffico conservati dagli operatori di
comunicazione elettronica ai sensi dell’art. 132 del Codice della privacy
(D.Lgs. 196/03).
Tale
articolo è stato peraltro ampiamente modificato con il recepimento
attraverso il D.Lgs. 109/08 della Direttiva 24/06 sul cosiddetto “data retention”.
In
quest’ultimo caso si vede la convergenza fra azioni di contrasto alla
criminalità operante sulla rete (in particolare reati contro il
patrimonio o contro la libertà sessuale) e lotta al terrorismo, le cui
comunicazioni interne avvengono prevalentemente attraverso la rete.
Le
norme che si sono ora sinteticamente richiamate presentano rischi ed
opportunità per i principi ed i valori che si sono illustrati in
apertura.
4.
– L’identità digitale ed
il furto di identità
In maniera
crescente la effettiva identità del soggetto è asseverata e
verificata attraverso strumenti digitali: talvolta si tratta di una
identificazione legata ad un documento materiale che viene utilizzato dal
portatore (carta di identità, passaporto, tessera elettronica). Altre
volte l’identificazione è legata all’uso di codici
alfa-numerici che dovrebbero essere nella esclusiva disponibilità del
titolare. Oppure si tratta di forme di riconoscimento legate a dati biometrici
(impronta digitale, voce, iride). Nella misura in cui il processo di identificazione è sempre
più slegato dalla persona nella sua fisicità e non richiede la
sua presenza materiale le possibilità che si creino delle
identità fisicamente inesistenti o ci si appropri di quella di altrui aumentano. Il campo
di elezione di questo tipo di fenomeni è quello dell’aggressione
al patrimonio altrui, ormai sempre più disponibile attraverso istruzioni
ed ordini telematici (si pensi al diffusissimo fenomeno del c.d. phishing di dati bancari).
Ma
può anche trattarsi di attività prodromiche alla commissione di
reati di criminalità organizzata (traffico di stupefacenti, riciclaggio
ecc.) ovvero di terrorismo.
Qui
interessa soprattutto il fenomeno del c.d. “furto di
identità” in cui un soggetto, appropriatosi dei dati di un’altra persona, compie a suo
nome una serie di attività a proprio vantaggio e in danno del
“derubato”.
La
ubiquità della rete, la difficoltà, se non impossibilità,
di stabilire , se non a posteriori,
la localizzazione dell’utente (fisicamente non posso essere
contemporaneamente a Roma e a New York per effettuare due diverse operazioni
finanziarie; sulla rete si può essere contemporaneamente ovunque, da
dovunque) rende estremamente meno complessa la messa a frutto dell’appropriazione
delle identità altrui.
Ci si
trova qui di fronte ad un dilemma piuttosto comune. Vivere all’interno di
un fortino protegge dai ladri, ma rende il soggetto prigioniero delle sue
difese. Parimenti bassi livelli di sicurezza informatica agevolano
l’operato dei malintenzionati. Ma alti livelli di sicurezza sono
particolarmente invasivi ponendo il soggetto sotto costante sorveglianza.
Peraltro la persona comune si trova al centro di una guerra fra esperti: da un
lato i criminali informatici, dall’altro le pubbliche autorità che
dispongono non solo di conoscenze e mezzi, ma soprattutto di poteri
investigativi di contrasto.
Il
soggetto cui è stata rubata l’identità è del tutto
ignaro di ciò che è avvenuto mentre agli occhi degli
investigatori – o meglio dei loro elaboratori elettronici – appare
essere il criminale. Solo quando qualcuno si prenderà la briga di
confrontare il profilo informatico con quello reale ci si potrà, forse,
avvedere della sostituzione. Nel frattempo, per deprecabili esigenze di
spettacolarizzazione, il soggetto sarà stato gettato in pasto ai
pescecani dei media.
Qui
si nota una grande lacuna dell’ordinamento: a dispetto dei ripetuti
richiami a diritti e libertà fondamentali questi appaiono come principi
di chiusura che non influiscono sul dettaglio delle attività
investigative. Ed é comprensibile che l’operatore giudiziario guardi a queste ultime e
interpreti in senso lato i poteri ad esso attribuiti. O la legge fissa limiti
precisi, indicando le misure concrete di salvaguardia, ovvero di queste si
parlerà ex post factum quando il danno è già stato
arrecato.
Il
principio di proporzionalità indicato dalla Convenzione di Budapest
appare ampiamente disatteso nella unilaterale formulazione della normativa di
recepimento.
La
mancanza è tanto più grave ove si consideri che nel caso del
“furto di identità” la frettolosa e incauta conduzione delle
indagini, realizzate prevalentemente attraverso strumenti informatici e senza
riscontri materiali, colpiscono non tanto il terzo innocente, bensì la
stessa vittima del reato, cui è stata sottratta l’identità.
In
termini assai concreti occorrerebbe costruire la norma attorno
all’esigenza di tutelare la identità digitale del soggetto,
espressione della sua persona. Questo è il primo bene giuridico che
abbisogna di protezione, anche penalistica. Le attività successive al
furto di identità possono integrare reati distinti che dovranno essere
opportunamente perseguiti, ma sempre nella consapevolezza che vi è, a
monte, un primo soggetto offeso.
5.
– I problemi posti dal “data
retention”
A
seguito del crescere di fenomeni di terrorismo internazionale che hanno colpito
tragicamente anche l’Europa sono stati accresciuti i poteri di indagine
sulle comunicazioni telefoniche e telematiche. Il primo passo è stato
quello di prevedere, a livello comunitario, una vistosa eccezione al generale
principio di cancellazione dei c.d. dati di traffico, ovverosia i dati
identificativi del chiamante, del chiamato, della data, dell’ora e della
durata della chiamata ed eventualmente della ubicazione dei soggetti coinvolti
nella comunicazione. Al fine di rendere disponibili tali dati alle
autorità inquirenti l’obbligo di cancellazione è stato di
fatto soppresso e sostituito dal suo contrario, cioé dall’obbligo
di conservazione onde consentire ai pubblici poteri di accedervi.
Anche
qui sorgono preoccupazioni relative al rispetto dei diritti e delle
libertà fondamentali enunciati in apertura dell’articolo.
La
prima considerazione che occorre fare è che già nella Convenzione
di Budapest (e poi nella legge italiana) si compie una distinzione fra dati di
traffico e contenuti della comunicazione. Tale distinzione appare teoricamente
discutibile e nella pratica infligge un significativo vulnus alla
libertà e alla segretezza delle comunicazioni.
Se gran
parte delle relazioni interpersonali di una persona si svolgono oggi attraverso
le reti di comunicazione elettronica, appare anacronistico applicare alla
realtà attuale logiche formatesi in
una epoca passata. I dati di traffico non sono l’equivalente del
nominativo del destinatario e del mittente di una lettera. La indicazione del
numero chiamante e di quello chiamato in una tecnologia analogica non è
comparabile ai dati relativi a sistemi di comunicazione digitale in cui un
soggetto è costantemente, 24 ore su 24, connesso alla rete e
costantemente riceve ed invia comunicazioni.
L’accesso
alla rete anytime e anywhere costituisce, come si è
detto, una delle caratteristiche delle società evolute contemporanee.
Sapere con chi un soggetto è in comunicazione – anche senza
conoscere il contenuto della stessa – costituisce una forma di
sorveglianza informatica ancor più invasiva del c.d. braccialetto
elettronico utilizzato per controllare gli spostamenti dei detenuti in regime
di semi-libertà. Si potrebbe dunque ritenere che il principio della
libertà e della segretezza delle comunicazioni debba dunque estendersi
al mero dato di traffico perchè esso, di per sé, è
rilevatore della sfera privata del soggetto che va protetta.
Una
lettura teleologica dell’art. 15 Cost. ( e delle norme internazionali che
hanno lo stesso conio) porta ad interrogarsi sul senso della disposizione
– nata in contesto di ancora modesta evoluzione delle tecnologie
dell’informazione e della comunicazione – e alla conclusione che
essa mira a proteggere l’individuo in primo luogo dalle ingerenze dei pubblici poteri: non a caso la
nostra Carta costituzionale prevede una riserva rafforzata (le limitazioni
devono essere previste per legge e disposte dall’autorità
giudiziaria). Ed è difficile
immaginare una ingerenza maggiore di un controllo costante
dell’attività e degli spostamenti del soggetto.
La
distinzione fra dato della comunicazione e contenuto della stessa appare,
poi, insostenibile in tutti quei
casi é il dato, nella sua autonomia a rilevare tutto del soggetto:
l’uso di una carta di credito evidenzia con assoluta precisione dove si
trova un soggetto ad una certa ora e presumibilmente il tipo di acquisto da lui
fatto. I dati sulla localizzazione del suo terminale mobile – anche se
non effettui alcuna comunicazione – descrivono con relativa accuratezza
il percorso quotidiano del soggetto e la durata della sua permanenza in una
certa area. Se poi si dispone dei dati dei numeri chiamati o chiamanti si sa il nome di tutti
coloro con i quali il soggetto è entrato in contatto. Trasferite queste
regole con riguardo alle comunicazioni via Internet ciò significa (v.
l’art. 5 del D.Lgs. 109/08) individuare i luoghi dove si trovava ed in
termini generali il tipo di accessi informatici effettuati.
L’insistenza
sulla difficile sostenibilità della distinzione fra dato di traffico e
contenuto del traffico si riverbera su une delle più importanti
disposizioni della L. 48/08 la quale, aggiungendo un comma 4 ter all’art. 132 Codice privacy
consente alle autorità di polizia – senza il controllo e
l’autorizzazione di quella giudiziaria – di richiedere la
conservazione dei dati di traffico fino a sei mesi per indagini su non meglio precisate categorie di
reato.Beninteso data retention non
implica necessariamente data apprehension.
E tuttavia preoccupa la amministrativizzazione di procedimenti prodromici a
gravi ingerenze nella vita dei cittadini.
* * *
Ovviamente
nessuno intende sottovalutare le minacce rappresentate dalla criminalità
organizzata e dal terrorismo. E tuttavia proprio la loro gravità deve far
riflettere sui valori sottesi ad una società democratica e
l’importanza che essi siano preservati anche nelle situazioni più
drammatiche, perchè sono questi valori che i nemici dell’ordine
democratico vorrebbero distruggere. Lo ha detto con forza Lord Wilberforce
nella sua opinion in Liversidge v. Anderson, scritta in una Londra devastata dai bombardamenti
nazisti. Lo ha ripetuto innumerevoli volte la Corte Suprema degli Stati Uniti
nelle sue demolitrici sentenze sui detenuti di Guantanamo. E lo ha ripreso di
recente la Corte di Giustizia delle Comunità Europea nella decisione nel
caso Khadi e Al Barakhat affermando, con prosa priva di qualsiasi retorica, che
le norme che impongono il rispetto degli impegni internazionali – nella
specie una risoluzione del Consiglio di Sicurezza dell’ONU in materia di
sanzioni contro presunti affiliati ad organizzazioni terroristiche –
«non possono essere intese nel
senso che autorizzano una deroga ai principi di libertà, di democrazia
nonché di rispetto dei diritti dell’uomo e delle libertà
fondamentali sanciti dall’art. 6, n. 1, UE quale fondamento
dell’Unione».
C’è
da sperare che non si debba arrivare a tali supreme istanze giudiziarie per
riconoscere che il diritto fondamentale alla libertà e segretezza delle
comunicazioni e alla tutela della propria identità non può e non
deve essere pregiudicato dalla lotta alle gravi patologie delle società
contemporanee.