Oggi moltissime attività si sono spostate dai luoghi fisici alla rete. Pensiamo agli e-commerce, ma anche all’home- banking, al trading online, a tutti i passaggi di documenti che hanno migrato dalla posta cartacea al web. E aggiungiamo la crescita esponenziale del lavoro da remoto (o smart-working) che ha comportato il trasferimento di moltissimi documento via web, abbandonando il tradizionale passaggio di carte manuale. In quest’ottica di cambiamento per il meglio e di pura evoluzione, i reati informatici rappresentano il lato negativo della digitalizzazione.
Se da un lato la digitalizzazione ha fatto sì che molte attività subissero una significativa semplificazione, il rovescio della medaglia è stato lo sviluppo di illeciti che si consumano attraverso il web e mediante il computer come sistema di conservazione dei dati.
CONTENUTO DELL'ARTICOLO
Cosa sono e come nascono i reati informatici?
Guarda il video
Gli illeciti che vengono compiuti attraverso l’uso di un computer o verso sistemi protetti all’interno di un computer rientrano nella categoria del reato. Ciò significa che i reati informatici vengono disciplinati dal codice penale e non da quello civile o amministrativo. Alcuni crimini informatici che rientrano in questa categoria possono essere compiuti solo online, come il reato di accesso abusivo ad un sistema informatico disciplinato dall’art 615 ter cp. Altri invece possono essere commessi anche offline, come la violazione di copyright e il bullismo, ma rientrano nella categoria dei reati informatici nel momento in cui vengono commessi sul web o attraverso il web.
Reato informatico non è sinonimo di reato commesso a mezzo internet, anche se di fatto è attraverso l’uso del web che la maggior parte dei reati viene commessa.
Il computer può essere il mezzo attraverso cui il crimine informatico viene commesso, come ad esempio nel reato di violazione dei sistemi di protezione informatica, ma anche l’oggetto che subisce l’illecito, come ad esempio nei casi di furto dei dati presenti sul device.
Contrariamente a quello che si può pensare, i primi crimini informatici risalgono a diversi anni fa. Non è un caso che la prima condanna contro il cyber crime risalga al 1983. Tuttavia si è avuta la prima regolamentazione europea in materia di reati informatici nel 1994, preceduta dalle Raccomandazioni agli Stati membri nel 1993. Nel frattempo, a livello nazionale è intervenuta la legge 547 del 1993 che ha modificato il codice penale e il codice di procedura penale. I reati informatici sono stati inseriti nei delitti contro la persona e nei delitti contro il patrimonio.
Un altro importante step viene compiuto dall’Europa nel 2001 quando viene introdotta la Convenzione di Budapest sulla criminalità informatica. La Convenzione viene ratificata dall’Italia nel 2008 con la legge numero 48, che di nuovo apporta modifiche alla nostra legislazione penale.
Il 2001 rappresenta una tappa cruciale per una presa di consapevolezza nuova da parte del legislatore rispetto alla presenza di una fattispecie criminale nuova, totalmente distaccate da quella tradizionale. Si inizia così ad utilizzare un linguaggio specifico, legato a nuovi concetti come quello di riservatezza informatica oppure di identità digitale.
Quali illeciti sono reati informatici?
I crimini informatici sono numerosi. Le tipologie di illecito che rientrano in questa categoria sono aumentate nel corso degli anni, man mano che la tecnologia è diventata appannaggio di chiunque. Ma l’aumento dei crimini informatici è anche legato al fatto che la tecnologia sta diventando il sistema che sostituisce tutto ciò che è cartaceo e custodisce dati importanti. Le stesse legislazioni per la sicurezza ci impongono un uso via via più massiccio dei sistemi informatici, come ad esempio il GDPR stesso che per il principio del GDPR by design chiede alle aziende di essere sempre più tecnologiche al fine di evitare il databreach, anche se attraverso l’uso di sistemi iper-sicuri di protezione dati.
I reati informatici si possono dividere in 3 gruppi, di cui noi approfondiremo le fattispecie più note:
- Danneggiamento di hardware, di software e di dati;
- Detenzione e diffusione di software e/o attrezzature informatiche che servono a commettere i reati di cui al precedente gruppo;
- Violazione dell’integrità dei documenti informatici e della loro gestione attraverso la falsificazione di firma digitale (elettronica).
L’art. 615 ter c.p. tra hacker e cracker
Nella prima tipologia di cyber crimes rientra il reato informatico commesso dai c.d. pirati informatici. Spesso quando si parla di reati informatici si associa subito il termine hacker. È importante prima di tutto distinguere l’hacker dal cracker: la distinzione riguarda le motivazioni che spingono uno o l’altro “professionista” ad entrare in maniera illegittima all’interno di sistemi informatici protetti. Infatti, l’hacker persegue scopi legittimi politici o di sicurezza nazionale, anche se è il mezzo con cui si persegue lo scopo ad essere illecito. Invece, la figura del cracker è associata alla violazione dei sistemi di protezione informatica per scopi illeciti. Ad esempio per rubare soldi nei conti correnti custoditi dalle banche.
Questa distinzione in realtà non rileva per l’ordinamento italiano ma per altri sistemi giuridici, cioè quello statunitense che non punisce l’hacker.
Che si tratti di hacker o di cracker, una delle prime fattispecie di reato informatico che è stata introdotta nell’ordinamento italiano è quella prevista dall’art. 615 ter c.p. la quale punisce coloro che abusivamente entrano in un sistema informatico protetto. Questo tipo di reato viene detto anche reato telematico perché si commette attraverso l’accesso abusivo ad un sistema telematico.
Viene poi distinto il caso in cui l’accesso viene effettuato da parte di un soggetto che ricopre una carica di interesse pubblico fuori dalle sue funzioni, oppure da un comune cittadino.
In questa fattispecie di reato rientra il caso di accesso abusivo ai dati sensibili degli utenti custoditi nei sistemi informatici per ragioni di interesse pubblico, salute, necessità. È quindi una fattispecie di reato di cui tutti possiamo essere vittime.
È opportuno sapere che l’accesso a questi dati da parte di chi può avere facilmente accesso in ragione del proprio ufficio, è punito con la reclusione da 1 a 5 anni.
L’art. 640 ter c.p., la frode informatica e il phishing
Nel secondo gruppo di reati informatici rientra la frode. La frode informatica è stata introdotta nella legislazione italiana insieme al reato di accesso abusivo al sistema informatico. Questo reato viene commesso quando viene alterato un sistema informatico per trarne profitto in modo illegittimo.
Il phishing rientra in questa fattispecie perché le modalità con cui si attua sono assimilabili alla truffa. Questo tipo di reato è conosciuto da moltissimi utenti. La sua pericolosità è legata al fatto che chiunque può essere il bersaglio del tentativo di truffa. Normalmente il tentativo di truffa viene effettuato tramite e-mail: il mittente corrisponde al nome di una banca o della posta presso cui abbiamo il conto corrente. Si viene allarmati circa l’esistenza di qualche problema sul conto e si invita il soggetto ad accedere al conto attraverso un link in cui dovremo fornire dati personali e password. Spesso la landing è molto simile a quella da noi conosciuta e con estrema facilità si viene ingannati.
L’art. 635 bis c.p. e il danneggiamento informatico
Rientra nel terzo e ultimo gruppo di reati informatici il danneggiamento informatico. Anche questo reato è stato introdotto nel 1993 e viene disciplinato dall’art. 635 bis del c.p.. In questo caso, come per l’illecito del danneggiamento comune, si punisce chi “distrugge, deteriora, cancella, altera o sopprime informazioni, dati o programmi informatici altrui”. Questo reato è perseguibile solo a querela della persona offesa.
Il dialer
Chi non ricorda il numero con prefisso 899? Per fortuna è un crimine informatico quasi scomparso con l’introduzione dell’ADSL. Praticamente il dialer è un programma autoeseguibile che sostituisce il proprio numero telefonico con uno a pagamento. Il dialer non è di per sé illegale: le aziende spesso inseriscono i file sul computer per addebitare il costo di fruizione di un servizio nella bolletta. Ma l’utente deve essere avvertito e prestare il consenso, altrimenti si incorre nel reato di truffa. Spesso i dialer sono nascosti negli allegati delle mail.
Lo spam
Lo spam è l’invio abusivo di comunicazioni commerciali agli utenti. Le e-mail rientrano in questa categoria quando contengono messaggi troppo aggressivi a utenti non profilati -che quindi sono infastiditi da queste comunicazioni- e vengono inviate in maniera massiva. Spesso le caselle e-mail (quindi i provider) filtrano questi messaggi, quando deducono che possono contenere delle truffe.
Il revenge porn
Anche questo è un reato di tipo esclusivamente informatico perché consiste nella diffusione o nella minaccia di diffusione in rete o in chat o per e-mail di immagini o video personali a scopo vendicativo. Normalmente è un reato commesso da persone che sono state vicine alla vittima. L’obiettivo del reato è umiliare la persona offesa dal reato. Infatti fino a poco tempo fa in Italia veniva assimilato ad altri illeciti come, ad esempio, la diffamazione. È a seguito di una recente riforma che è stato introdotto l’art. 612 ter c.p., il quale prevede il reato informatico specifico.
Reati informatici commessi dagli enti secondo il d.lgs. 231/2001
Il d.lgs 231/2001 -che potrebbe risultare apparentemente lontano dalla nostra tematica- in realtà ha un carattere assai rivoluzionario. Con la sua emanazione, si introduce il principio per cui anche gli enti, quindi persone giuridiche, possono avere responsabilità penale.
Questo decreto prevede che, qualora il dipendente di un ente in posizione apicale, o un sottoposto al dipendente apicale, compia un reato informatico da cui l’ente stesso trae giovamento (interesse o vantaggio), l’ente pubblico è responsabile penalmente del reato commesso.
Per la precisione, in origine questa legislazione non comprendeva i reati informatici, che sono stati inseriti invece nel 2008 con la legge n. 48. Con questa modifica al decreto originario si introduce il principio della responsabilità penale per illeciti amministrativi a carico degli enti. Così, sia persone giuridiche che società e associazioni prive di personalità giuridica possono essere responsabili penalmente. Ovviamente la pena sarà tradotta in pena pecuniaria e non detentiva.
Il primo requisito per l’attribuzione della responsabilità agli enti è che il dipendente abbia commesso un “reato presupposto”. La legge 48 introduce questa dicitura per alcuni dei reati informatici elencati nel codice penale. Affinché si possa parlare di responsabilità penale dell’ente, il dipendente deve aver commesso uno dei reati presupposto che il codice penale definisce come reato informatico. Non tutti i reati informatici sono però reati presupposto.
I reati informatici che diventano tali se commessi via web
Siamo in presenza di una categoria di reati che, come anticipato, sono fattispecie che possono essere commesse anche offline, ma diventano reati informatici nel momento in cui vengono commessi tramite il web.
Il cyberbullismo
Il bullismo è un tema di grande attualità. Ogni tanto, si sente parlare del reato commesso offline nelle scuole, ma ancora più spesso si sente parlare di quello che viene commesso attraverso le chat e i social. In questo caso le tecnologie vengono utilizzate per amplificare la sensazione di umiliazione per la vittima. I mezzi utilizzati per compiere questo crimine sono la messaggistica, i social, le mail, attraverso il ricorso agli strumenti che offre il web: immagini editate, account rubati, blog, commenti ai post sui social.
La pedopornografia
Utilizzo della rete web per il traffico di pedofilia. Il reato non è aggravato dall’utilizzo della tecnologia, ma di fatto sicuramente la tecnologia ne ha facilitato la diffusione e ha portato ad un incremento di questo crimine. Uno degli strumenti utilizzati per alimentare l’industria pedopornografica è il Deepfake con cui vengono manipolati video e foto.
La diffamazione
La diffamazione a mezzo web è assimilabile a quella fatta a mezzo stampa. Entrambe quindi sono fattispecie aggravate rispetto al reato comune, proprio perché il mezzo che viene utilizzato va potenzialmente ad aggravare il danno. Abbiamo visto il caso più diffuso che è quello della diffamazione perpetrata tramite social, prevalentemente su Facebook che è la piattaforma più esposta alla commissione di questi reati a causa della forte interazione fra utenti.
La violazione del copyright
Parliamo ogni giorno di questo tipo di illecito perché con la diffusione della comunicazione commerciale sul web, le situazioni di plagio, furto di immagini, utilizzo di musica protetta da copyright sono problematiche molto sentite dai professionisti del marketing digitale.
Inoltre è un tema di grande attualità per l’imminente entrata in vigore del nuovo Regolamento sul Copyright introdotto dall’Unione Europee e che coinvolge e responsabilizza direttamente le piattaforme social e i motori di ricerca, affinché questo fenomeno venga combattuto.
Come denunciare i reati informatici?
Innanzitutto, la domanda principale alla quale rispondere consta dell’individuazione del giudice territorialmente competente per dirimere la controversia relativa alla commissione del reato informatico. La domanda è del tutto legittima visto che la regola generale è che sia competente il giudice del luogo in cui il reato è stato commesso. Ma come avviene la valutazione del per un reato informatico?
Secondo la giurisprudenza prevalente, quando è possibile, si considera come luogo di commissione del reato quello in cui si trova la piattaforma in cui ha operato il cliente, quindi il luogo in cui si trova il server che ha elaborato le credenziali del soggetto criminale. Laddove non sia possibile rintracciare questo luogo si applicano per esclusione le regole suppletive stabilite dall’art. 9 c.p.p.:
- Il giudice dell’ultimo luogo in cui è avvenuta una parte dell’azione o dell’omissione;
- Il giudice della residenza, della dimora o del domicilio dell’imputato;
- Il giudice del luogo in cui ha sede l’ufficio del pubblico ministero che ha provveduto per primo a iscrivere la notizia di reato.
Competente per i reati commessi sul web è la Polizia Postale che è stata appositamente istituita nel 1998. Quindi la denuncia va rivolta alla Polizia Postale stessa.
Segnalazione al provider
Prima ancora della denuncia alla Polizia Postale, nel caso ad esempio in cui si ritiene di essere vittime di spam o ci si imbatte nella violazione del copyright, la prima cosa da fare è avvertire il provider. Come abbiamo visto, nel momento in cui il provider è messo a conoscenza della commissione di un illecito nei contenuti che ospita, assume un ruolo attivo e di responsabilità nel rimuovere quei contenuti. È per questa ragione che i provider più conosciuti mettono a disposizione un indirizzo di posta elettronica per segnalare gli abusi.
Denuncia alla Polizia Postale
La Polizia Postale nasce proprio per prevenire e combattere i reati informatici. Quindi, è il primo organismo a cui bisogna rivolgersi per denunciare l’accaduto. L’organismo è strutturato in vari dipartimenti specializzati per ogni specifico reato. Solo se non è possibile recarsi presso gli uffici della Polizia Postale, ci si rivolge a carabinieri o polizia. Tuttavia la denuncia alla Polizia Postale può essere fatta anche online, e poi deve essere confermata entro 48 ore in presenza, portando il numero di protocollo che è stato assegnato nella procedura effettuata dal sito web.
Hai ragione, mi concentro ora esclusivamente sul riconoscimento e sulla prevenzione dei reati informatici nel secondo paragrafo:
Riconoscere e prevenire i reati informatici
Posta la numerosità dei reati informatici, quando si parla di difendersi, ci si riferisce soprattutto a quei reati che comportano un furto di dati e che sono quelli di cui la maggior parte delle vittime sono i comuni cittadini.
Per difendersi efficacemente dai reati informatici, è fondamentale conoscere le tecniche avanzate di riconoscimento e prevenzione. Questa sezione esplora metodi specifici per identificare e contrastare diverse forme di criminalità digitale.
A. Identificazione di attacchi di phishing avanzati:
- Analisi del Testo: Prestare attenzione a errori grammaticali o stilistici nelle email e nei messaggi, spesso indicativi di tentativi di phishing.
- Verifica dei Link: Passare il mouse sopra i link senza cliccarli per visualizzare l’URL effettivo e verificare se corrisponde a quello legittimo.
- Allerta sui Cambiamenti Inaspettati: Essere sospettosi di richieste inattese di informazioni personali, soprattutto se provengono da fonti apparentemente legittime ma con comportamenti anomali.
B. Prevenzione di attacchi via software:
- Aggiornamenti Regolari: Mantenere il sistema operativo e tutti i software aggiornati, poiché le patch di sicurezza sono cruciali per proteggere contro vulnerabilità note.
- Uso di Software Anti-Malware Avanzato: Installare e mantenere aggiornati software anti-malware che offrono protezione in tempo reale contro varie minacce.
C. Sicurezza della rete e dei dati
- VPN e Crittografia: Utilizzare una VPN (Virtual Private Network) per criptare il traffico internet e proteggere i dati durante la trasmissione.
- Backup dei Dati: Effettuare backup regolari dei dati su dispositivi esterni o servizi cloud sicuri per prevenire la perdita di dati in caso di attacchi ransomware.
D. Educazione e consapevolezza
- Formazione Continua: Partecipare a corsi e seminari sulla sicurezza informatica per rimanere aggiornati sulle ultime tattiche utilizzate dai criminali informatici.
- Simulazioni di Attacchi: Organizzare simulazioni di attacchi di phishing in ambiente controllato per allenare i dipendenti a riconoscere e reagire correttamente a tentativi di phishing.
E. Protezione dell’identità online:
- Gestione delle Password: Utilizzare gestori di password per creare e conservare password complesse e uniche per ogni account.
- Autenticazione a Più Fattori (MFA): Impostare l’autenticazione a più fattori dove disponibile, per aggiungere un ulteriore livello di sicurezza oltre alla password.
Sono tutte accortezze che richiedono un pò di dimestichezza, tempo, qualche investimento economico, ma tutto questo vale la pena per non subire danni irreparabili. Infatti è ben difficile risalire a chi ha commesso il reato ed essere risarciti del danno.
Conclusioni sui reati informatici
Se parliamo di reati informatici in senso stretto, riferendosi a furti di dati personali e sensibili, la loro estesa diffusione è dovuta alla mancanza di prevenzione, che è l’unico modo per combatterli veramente. Purtroppo c’è ancora una scarsa alfabetizzazione su tutti quelli che sono i rischi e i pericoli che si celano dietro il web. Per fare un esempio, il phishing è un crimine che si può tranquillamente debellare attraverso una corretta e costante informazione e sensibilizzazione.
Altri reati che dall’offline si sono spostati online, come la diffamazione e il bullismo, hanno visto un incremento negli ultimi anni proprio per le potenzialità che ha il web di raggiungere un numero infinito di utenti nel raggio di pochissimo tempo. Ricordiamo inoltre che quando si parla di web anche il concetto di confini territoriali sfuma completamente. E di questo l’utente medio non ne è consapevole. Per questo molti reati diventano eclatanti e se ne viene a conoscenza proprio perché sono commessi sul web.
Poi ci sono crimini il cui dilagare purtroppo non può essere controllato dagli utenti, come il cyberbullismo, o la pedopornografia. Ma anche qui l’utente può collaborare per farli emergere denunciandoli al povider dei servizi.
La conclusione è che, per evitare di rimanere vittima di reati informativi, è necessario:
- informazione e sensibilizzazione;
- alfabetizzazione sulle concrete potenzialità del web, nel bene e nel male;
- collaborazione oltre i confini nazionali e da parte di tutti: utenti e autorità.
Se sei rimasto vittima di un reato informatico e non sai bene come agire per difenderti, rivolgiti a uno studio specializzato nel diritto digitale come Legal For Digital per essere sicuro di procedere nel modo corretto e sopratutto per prevenire ulteriori difficoltà in futuro.