Commento di Giovanni Gulino
Il
13 ottobre scorso presso Palazzo Montecitorio si è riunita la
Commissione in materia dei diritti fondamentali per discutere sulla
necessità di proteggere i nuovi diritti e i nuovi bene informatici,
come l’accesso alla rete, la protezione dei dati e le libertà e i
limiti connessi a questi. La Bozza si suddivide in 14 articoli. Il
sesto punto di tale dichiarazione che si andrà a commentare riguarda
l’inviolabilità dei sistemi e domicili informatici che
recita: “senza l’autorizzazione dell’autorità giudiziaria,
nei soli casi e modi previsti dalla legge, è vietato l’accesso ai
dati della persona che i trovino su dispositivi personali, su
elaboratori remoti accessibili tramite credenziali da qualsiasi
elaboratore connesso a Internet o simultaneamente su dispositivi
personali e, in copia, su elaboratori remoti, nonché
l’intercettazione di qualsiasi forma di comunicazione elettronica”.
Il bisogno di stilare una bozza per il riconoscimento dei diritti di
e su Internet è maturato in seno al potenziale e ai rischi connessi
al nuovo mezzo elettronico, ma soprattutto dovuto al fatto di poter
finalmente difendere i diritti di chi di questo mezzo ne fa
costantemente uso e “la garanzia di questi diritti è condizione
necessaria perché sia assicurato il funzionamento democratico delle
Istituzioni, e perché si eviti il prevalere di poteri pubblici e
privati che possano portare ad una società della sorveglianza, del
controllo e della selezione sociale”. Per domicilio
informatico “si intende la tutela concessa al
legislatore all’inviolabilità di un sistema informatico”;
l’idea che si viene affermando è che lo spazio cibernetico, luogo
in cui la persona deposita e custodisce i propri dati personali,
fotografie ecc., venga considerato come un’estensione della
proprietà individuale. La comunicazione digitale ha avuto molti
pregi, primo fra tutti quello di abbattere le barriere fisiche
creando uno spazio alternativo dove le persone sono “libere” di
scambiare informazioni, dati o solamente curiosità; tutto alla
portata di un click; tutti parliamo di tutto e di tutti e forse anche
troppo. È grazie a Tim Berners-Lee se oggi possiamo navigare nel
selvaggio mondo del web. Siamo nel marzo del 1989 quando egli
presentò la prima bozza al CERN di Ginevra, il documento che da lì
in avanti modificò il concetto di comunicazione senza frontiere,
consentendo a tutto il mondo di esplorare il cyber spazio tramite una
fitta rete di collegamenti ipertestuali; i cosiddetti link. La
giurisprudenza nazionale e transnazionale si è trovata a
fronteggiare, purtroppo, un nuovo nemico, molto più infido di quelli
fisici e “reali”, che ha preso vita con la nascita e lo sviluppo
del nuovo mezzo informatico: i computer crimes. Se vale la
regola paese che vai, usanze che trovi, allo stesso modo il
legislatore si è dovuto adattare alle nuove forme criminose dettate
dalla possibilità di ricavare profitto indebitamente in maniera più
sofisticata. È sorta l’esigenza di proteggere la libertà
informatica, definita come “libertà di avvalersi delle
tecnologie informatiche per il soddisfacimento delle esigenze della
persona, compreso il diritto ad essere tutelati nell’esercizio di
quella libertà” e allo stesso modo la necessità di tutelare
anche i sistemi informatici in quanto tali. Molti sono stati i
tentativi per porre soluzione al problema, cercando di far entrare
nella sfera di salvaguardia i sistemi informatici, come la legge
n.547/93. Questa sostanzialmente modifica e amplia le norme del
codice penale proponendo due diverse forme di reato, definite una
necessaria per gli illeciti particolarmente gravi (frode
informatica, intercettazione non autorizzata di comunicazioni
provenienti all’interno di un sistema informatico, ecc.) e l’altra
facoltativa per i reati ritenuti non eccessivamente gravi come
l’alterazione dei dati (cosa già di per sé ambigua), con
specifiche sanzioni previste agli artt.614-615 c.p.
CASI CONCRETI
SULLA NORMATIVA PER LA TUTELA DEL DOMICILIO INFORMATICO
L’articolo preso in esame ad una prima lettura non introduce nulla di nuovo rispetto alla normativa vigente in Italia né per quanto riguarda ciò che è sancito a livello costituzionale dall’art.14 che afferma: “Il domicilio è inviolabile. Non vi si possono eseguire ispezioni o perquisizioni o sequestri, se non nei casi e modi stabiliti dalla legge secondo le garanzie prescritte per la tutela della libertà personale. Gli accertamenti e le ispezioni per motivi di sanità e di incolumità pubblica o a fini economici e fiscali sono regolati da leggi speciali”.Prima delle legge n.547 nel nostro ordinamento non esisteva nessuna disposizione in materia di tutela nei confronti di illeciti avvenuti per mezzo Internet perché non esisteva un bene effettivamente materiale da poter tutelare, per cui non rientravano né nel contenuto dell’art.635 c.p. per il danneggiamento di cose mobili o immobili, né dell’art 624 c.p. per il furto di qualcosa che potesse arrecare danno o pregiudicare la persona che deteneva quel bene, in quanto rubare dei dati personali altrui, non se ne cancellava gli originali, bensì ne creava una copia. Per essere oggetto di tutela il sistema informatico viene concepito come l’insieme delle componenti di un calcolatore, hardware annesso, entrando perciò nell’ambito di tutela dell’art.615 ter per il quale “chiunque abusivamente si introduce in un sistema informatico o telematico protetto da misure di sicurezza ovvero vi si mantiene contro la volontà espressa o tacita di chi ha il diritto di escluderlo, è punito con la reclusione fino a tre anni”, perseguendo penalmente chi si introduca in un sistema informatico violando le misure di sicurezza seppur minime. Il titolare di diritti manifesta la sua volontà di escludere soggetti terzi dalla sua proprietà appellandosi al proprio “ius escludendi omnes alios” ovvero il diritto di estromettere tutti gli altri. Questo qualora il titolare del diritto abbia apposto delle semplici misure protettive al suo computer, la violazione da parte di soggetti terzi ne configura l’illecito e ne sorge la conclusione che la mancanza delle stesse ne vanifichi la punibilità giudiziaria: problema? A parer mio si. In questo caso la tutela non si manifesta nei confronti dei dati personali indebitamente violati, ma sulla “espressa volontà contraria del soggetto di far accedere altri al proprio sistema”. Qui si viene a creare una discrepanza notevole, che separa da un lato il diritto alla riservatezza dei dati e dall’altro la libertà personale sul proprio domicilio, che vede la vittoria di quest’ultima a scapito della prima. Se prendiamo in considerazione ciò che viene espresso inizialmente nell’articolo della Bozza qui esaminato, ovvero “senza l’autorizzazione dell’autorità giudiziaria, nei soli casi e modi previsti dalla legge, è vietato l’accesso ai dati della persona”, siamo portati a pensare che già i modi previsti dalla legge siano chiari e definiti nei dettagli per meglio comprendere le forme di tutela del nuovo bene. Invece nei casi concreti che si riporteranno qui a breve si coglie la difficoltà che spesso si incontra nel circoscrivere l’ambito di applicazione penale. La Corte di Cassazione ha dichiarato inoltre che il domicilio è tutelato anche ai sensi dell’art.51 c.p. quando un crimine è stato commesso per l’adempimento di un diritto o di un dovere imposto da un’autorità giuridica, automaticamente se ne esclude la punibilità. Non basta quindi che l’intenzione sia meramente quella di visionare i dati e non quella di distruggerli, ciò che conta è l’autorizzazione da parte di un giudice o di chi ne fa le veci. Ciò di fatto non ha escluso dalla condanna di un commercialista introdottosi nella casella email di un collega per carpire dati a lui necessari ad un suo procedimento penale. Di seguito, presi a modello esplicativo, cito due sentenze che illustrano due differenti modi di interpretare l’accesso abusivo ad un sistema informatico. La prima è una Sentenza del 2000 del GIP di Roma, dove si portava in giudizio G.C. il quale si era introdotto dalla sua abitazione e dal suo personal computer, nel sito telematico della RAI sostituendo il file contenente il radio Giornale delle 13:00 con un altro di sua creazione contenente critiche alla Società Microsoft. Il tutto è stato reso possibile perché gli allora computer dotati di sistema operativo Windows 95 e che avevano attivato l’opzione di condivisione file e stampanti senza definire una password, potevano dare visibilità dei propri file a tutti gli altri computer con stesse caratteristiche connessi ad Internet; G.C. con un programma di ricerca dei computer connessi ha potuto rintracciare quello della RAI che aveva un programma firewall difettoso e non riportava chiavi di sicurezza, se non una che era perfettamente visibile una volta connesso per accedere al server e quindi modificarne il contenuto dei file. L’accusa mossa a G.C. era la violazione dell’accesso abusivo al sistema, imputandogli la violazione dei commi 2 e 3 dell’art.615: il fatto sussiste se si usa violenza su cose o persone; se dal fatto deriva la distruzione o danneggiamento totale o parziale del sistema, dei dati o dei programmi in esso contenuti. Il giudice infine decise di rigettare le accuse mosse all’imputato secondo quanto stabilito dalla norma per la violazione del domicilio informatico; l’illecito non sussiste quando non sono definite chiare misure di sicurezza a vietarne l’accesso abusivo da parte di terzi e quindi non c’è tutela effettiva per qualsiasi domicilio informatico, ma solo di alcuni ovvero quelli protetti, sicché infine l’imputato affermò che non era sua intenzione danneggiare il materiale o il sistema informatico in generale, ma semplicemente sostituire un file con un altro e quindi non era punibile né secondo l’art. 635 bis c.p. per il danneggiamento ai sistemi informatici e telematici, né per l’art. 640 ter c.p. per la Frode informatica. La situazione si inasprisce quando a commettere l’illecito è un pubblico ufficiale o un incaricato di pubblico servizio o un operatore di sistema, tutti aventi in comune l’abuso di potere qualora si verifichi il delitto (art.615 ter comma 1), o chi abbia finalità differenti da quelle per il quale gli era stato concesso l’accesso al sistema, come alterarne il contenuto per trarne profitto e recarne un danno. A supporto di ciò qui riporto il secondo esempio: quello della Sentenza di Cassazione n.42021 di un tecnico condannato a 10 mesi di reclusione per essersi introdotto abusivamente nel server di posta elettronica dell’agenzia per cui aveva lavorato (la Spark spa) come responsabile del personale con abilità di tecnico informatico, violando molti degli account e-mail del personale, interni all’agenzia, dalla sua residenza. Il giudice ha deciso di condannare il tecnico che, per quanto risulta agli atti, aveva effettuato l’accesso con i dati personali dei dipendenti in date e orari che non coincidevano con la presenza degli stessi negli uffici, l’introduzione abusiva nel server dell’azienda e la trasmissione dei dati personali, per cui il dolo è stato effettivamente commesso. A differenza del primo caso esposto in precedenza, adesso c’è stata una vera e propria forzatura delle chiavi di sicurezza del server dell’impresa, violando anche l’ambito di pertinenza delle sue mansioni, considerando che l’accusato non lavorava più nell’azienda da mesi, e l’acquisizione e divulgazione di dati sensibili interni all’azienda. L’ imputato è stato accusato di aver violato il domicilio informatico per l’art. 615-ter. La norma inoltre prevede che per configurarsi il reato è necessario il semplice dolo generico, ovvero si manifesta l’accesso abusivo ad un sistema informatico e/o telematico con la semplice intrusione che non richieda necessariamente né una lesione alla riservatezza degli utenti né che il fine ultimo sia quello di violarne la privacy (diritto per altro tutelato dall’art.8 della Carta dei Diritti Fondamentali dell’Unione Europea, Pubblicata il 18/12/2000 sulla Gazzetta Ufficiale delle Comunità Europee) secondo quanto stabilito dalla Corte di Cassazione. Una controversia questa, che forse il giudice non ha tenuto bene in considerazione quando ha assolto l’imputato nel primo esempio suddetto (accesso al sito telematico della RAI). Benché lo stesso non abbia avuto intenzione di danneggiare i file del sistema, ma semplicemente quello di sostituirlo con un altro, giacché si era già introdotto “abusivamente” la condanna sarebbe dovuta essere chiara a norma di legge; o forse in giurisprudenza la questione di adottare due pesi e due misure è sentita molto più forte che in altri campi. A mio avviso questa disciplina doveva essere meglio definita dal nostro legislatore, perché il domicilio informatico se ormai rientra nella sfera di tutela a livello costituzionale della proprietà personale, non tutelarlo sarebbe come lasciare le chiavi fuori la nostra casa e qualcuno abbia il permesso di entrare e spostare ciò che vuole. Deve configurarsi in questa prospettiva che l’illecito è commesso anche quando i sistemi protettivi sono posti al di fuori del sistema informatico stesso, come ad esempio specifici locali adibiti ai calcolatori, porte chiuse che ne vietino l’accesso ecc. Vero è che le sentenze possano ricondurre a due diverse visioni del domicilio, dove nel primo caso la nuvola dove erano inseriti i file può essere concepita come spazio pubblico e nel secondo caso quello delle caselle di posta elettronica come spazio privato, ma la norma attuale esplicita anche l’introduzione abusiva senza il consenso esplicito o tacito del titolare, il che personalmente rende un paradosso l’idea di assolvere uno in un caso e punirne un altro in una situazione quasi analoga. Inizialmente sembra quindi che il futuro art.6 della bozza dei diritti di Internet non introduca nulla di nuovo rispetto a quanto già espresso dalla normativa vigente, che già appare confusa nel definire i limiti di applicabilità della stessa per la tutela di questo o di quel diritto. Penso sarebbe stato più efficace definire prima una normativa più adeguata nel riconoscere i termini di reato più che rimarcare qualcosa già espresso in partenza. Più che una tutela informatica, della sicurezza dei dati, il codice penale sembra proteggere il solo desiderio del titolare di diritto a escludere gli altri dalla sua proprietà (da qui l’associazione con il domicilio fisico).
L’articolo preso in esame ad una prima lettura non introduce nulla di nuovo rispetto alla normativa vigente in Italia né per quanto riguarda ciò che è sancito a livello costituzionale dall’art.14 che afferma: “Il domicilio è inviolabile. Non vi si possono eseguire ispezioni o perquisizioni o sequestri, se non nei casi e modi stabiliti dalla legge secondo le garanzie prescritte per la tutela della libertà personale. Gli accertamenti e le ispezioni per motivi di sanità e di incolumità pubblica o a fini economici e fiscali sono regolati da leggi speciali”.Prima delle legge n.547 nel nostro ordinamento non esisteva nessuna disposizione in materia di tutela nei confronti di illeciti avvenuti per mezzo Internet perché non esisteva un bene effettivamente materiale da poter tutelare, per cui non rientravano né nel contenuto dell’art.635 c.p. per il danneggiamento di cose mobili o immobili, né dell’art 624 c.p. per il furto di qualcosa che potesse arrecare danno o pregiudicare la persona che deteneva quel bene, in quanto rubare dei dati personali altrui, non se ne cancellava gli originali, bensì ne creava una copia. Per essere oggetto di tutela il sistema informatico viene concepito come l’insieme delle componenti di un calcolatore, hardware annesso, entrando perciò nell’ambito di tutela dell’art.615 ter per il quale “chiunque abusivamente si introduce in un sistema informatico o telematico protetto da misure di sicurezza ovvero vi si mantiene contro la volontà espressa o tacita di chi ha il diritto di escluderlo, è punito con la reclusione fino a tre anni”, perseguendo penalmente chi si introduca in un sistema informatico violando le misure di sicurezza seppur minime. Il titolare di diritti manifesta la sua volontà di escludere soggetti terzi dalla sua proprietà appellandosi al proprio “ius escludendi omnes alios” ovvero il diritto di estromettere tutti gli altri. Questo qualora il titolare del diritto abbia apposto delle semplici misure protettive al suo computer, la violazione da parte di soggetti terzi ne configura l’illecito e ne sorge la conclusione che la mancanza delle stesse ne vanifichi la punibilità giudiziaria: problema? A parer mio si. In questo caso la tutela non si manifesta nei confronti dei dati personali indebitamente violati, ma sulla “espressa volontà contraria del soggetto di far accedere altri al proprio sistema”. Qui si viene a creare una discrepanza notevole, che separa da un lato il diritto alla riservatezza dei dati e dall’altro la libertà personale sul proprio domicilio, che vede la vittoria di quest’ultima a scapito della prima. Se prendiamo in considerazione ciò che viene espresso inizialmente nell’articolo della Bozza qui esaminato, ovvero “senza l’autorizzazione dell’autorità giudiziaria, nei soli casi e modi previsti dalla legge, è vietato l’accesso ai dati della persona”, siamo portati a pensare che già i modi previsti dalla legge siano chiari e definiti nei dettagli per meglio comprendere le forme di tutela del nuovo bene. Invece nei casi concreti che si riporteranno qui a breve si coglie la difficoltà che spesso si incontra nel circoscrivere l’ambito di applicazione penale. La Corte di Cassazione ha dichiarato inoltre che il domicilio è tutelato anche ai sensi dell’art.51 c.p. quando un crimine è stato commesso per l’adempimento di un diritto o di un dovere imposto da un’autorità giuridica, automaticamente se ne esclude la punibilità. Non basta quindi che l’intenzione sia meramente quella di visionare i dati e non quella di distruggerli, ciò che conta è l’autorizzazione da parte di un giudice o di chi ne fa le veci. Ciò di fatto non ha escluso dalla condanna di un commercialista introdottosi nella casella email di un collega per carpire dati a lui necessari ad un suo procedimento penale. Di seguito, presi a modello esplicativo, cito due sentenze che illustrano due differenti modi di interpretare l’accesso abusivo ad un sistema informatico. La prima è una Sentenza del 2000 del GIP di Roma, dove si portava in giudizio G.C. il quale si era introdotto dalla sua abitazione e dal suo personal computer, nel sito telematico della RAI sostituendo il file contenente il radio Giornale delle 13:00 con un altro di sua creazione contenente critiche alla Società Microsoft. Il tutto è stato reso possibile perché gli allora computer dotati di sistema operativo Windows 95 e che avevano attivato l’opzione di condivisione file e stampanti senza definire una password, potevano dare visibilità dei propri file a tutti gli altri computer con stesse caratteristiche connessi ad Internet; G.C. con un programma di ricerca dei computer connessi ha potuto rintracciare quello della RAI che aveva un programma firewall difettoso e non riportava chiavi di sicurezza, se non una che era perfettamente visibile una volta connesso per accedere al server e quindi modificarne il contenuto dei file. L’accusa mossa a G.C. era la violazione dell’accesso abusivo al sistema, imputandogli la violazione dei commi 2 e 3 dell’art.615: il fatto sussiste se si usa violenza su cose o persone; se dal fatto deriva la distruzione o danneggiamento totale o parziale del sistema, dei dati o dei programmi in esso contenuti. Il giudice infine decise di rigettare le accuse mosse all’imputato secondo quanto stabilito dalla norma per la violazione del domicilio informatico; l’illecito non sussiste quando non sono definite chiare misure di sicurezza a vietarne l’accesso abusivo da parte di terzi e quindi non c’è tutela effettiva per qualsiasi domicilio informatico, ma solo di alcuni ovvero quelli protetti, sicché infine l’imputato affermò che non era sua intenzione danneggiare il materiale o il sistema informatico in generale, ma semplicemente sostituire un file con un altro e quindi non era punibile né secondo l’art. 635 bis c.p. per il danneggiamento ai sistemi informatici e telematici, né per l’art. 640 ter c.p. per la Frode informatica. La situazione si inasprisce quando a commettere l’illecito è un pubblico ufficiale o un incaricato di pubblico servizio o un operatore di sistema, tutti aventi in comune l’abuso di potere qualora si verifichi il delitto (art.615 ter comma 1), o chi abbia finalità differenti da quelle per il quale gli era stato concesso l’accesso al sistema, come alterarne il contenuto per trarne profitto e recarne un danno. A supporto di ciò qui riporto il secondo esempio: quello della Sentenza di Cassazione n.42021 di un tecnico condannato a 10 mesi di reclusione per essersi introdotto abusivamente nel server di posta elettronica dell’agenzia per cui aveva lavorato (la Spark spa) come responsabile del personale con abilità di tecnico informatico, violando molti degli account e-mail del personale, interni all’agenzia, dalla sua residenza. Il giudice ha deciso di condannare il tecnico che, per quanto risulta agli atti, aveva effettuato l’accesso con i dati personali dei dipendenti in date e orari che non coincidevano con la presenza degli stessi negli uffici, l’introduzione abusiva nel server dell’azienda e la trasmissione dei dati personali, per cui il dolo è stato effettivamente commesso. A differenza del primo caso esposto in precedenza, adesso c’è stata una vera e propria forzatura delle chiavi di sicurezza del server dell’impresa, violando anche l’ambito di pertinenza delle sue mansioni, considerando che l’accusato non lavorava più nell’azienda da mesi, e l’acquisizione e divulgazione di dati sensibili interni all’azienda. L’ imputato è stato accusato di aver violato il domicilio informatico per l’art. 615-ter. La norma inoltre prevede che per configurarsi il reato è necessario il semplice dolo generico, ovvero si manifesta l’accesso abusivo ad un sistema informatico e/o telematico con la semplice intrusione che non richieda necessariamente né una lesione alla riservatezza degli utenti né che il fine ultimo sia quello di violarne la privacy (diritto per altro tutelato dall’art.8 della Carta dei Diritti Fondamentali dell’Unione Europea, Pubblicata il 18/12/2000 sulla Gazzetta Ufficiale delle Comunità Europee) secondo quanto stabilito dalla Corte di Cassazione. Una controversia questa, che forse il giudice non ha tenuto bene in considerazione quando ha assolto l’imputato nel primo esempio suddetto (accesso al sito telematico della RAI). Benché lo stesso non abbia avuto intenzione di danneggiare i file del sistema, ma semplicemente quello di sostituirlo con un altro, giacché si era già introdotto “abusivamente” la condanna sarebbe dovuta essere chiara a norma di legge; o forse in giurisprudenza la questione di adottare due pesi e due misure è sentita molto più forte che in altri campi. A mio avviso questa disciplina doveva essere meglio definita dal nostro legislatore, perché il domicilio informatico se ormai rientra nella sfera di tutela a livello costituzionale della proprietà personale, non tutelarlo sarebbe come lasciare le chiavi fuori la nostra casa e qualcuno abbia il permesso di entrare e spostare ciò che vuole. Deve configurarsi in questa prospettiva che l’illecito è commesso anche quando i sistemi protettivi sono posti al di fuori del sistema informatico stesso, come ad esempio specifici locali adibiti ai calcolatori, porte chiuse che ne vietino l’accesso ecc. Vero è che le sentenze possano ricondurre a due diverse visioni del domicilio, dove nel primo caso la nuvola dove erano inseriti i file può essere concepita come spazio pubblico e nel secondo caso quello delle caselle di posta elettronica come spazio privato, ma la norma attuale esplicita anche l’introduzione abusiva senza il consenso esplicito o tacito del titolare, il che personalmente rende un paradosso l’idea di assolvere uno in un caso e punirne un altro in una situazione quasi analoga. Inizialmente sembra quindi che il futuro art.6 della bozza dei diritti di Internet non introduca nulla di nuovo rispetto a quanto già espresso dalla normativa vigente, che già appare confusa nel definire i limiti di applicabilità della stessa per la tutela di questo o di quel diritto. Penso sarebbe stato più efficace definire prima una normativa più adeguata nel riconoscere i termini di reato più che rimarcare qualcosa già espresso in partenza. Più che una tutela informatica, della sicurezza dei dati, il codice penale sembra proteggere il solo desiderio del titolare di diritto a escludere gli altri dalla sua proprietà (da qui l’associazione con il domicilio fisico).
DISPOSITIVI
PERSONALI, ELEBORATORI REMOTI E DIVULGAZIONE DELLE CONVERSAZIONI
ELETTRONICHE Quello
che di nuovo si introduce con l’art.6 della Bozza, è la
distinzione tra “dispositivi personali” ed elaboratori remoti,
piattaforme che rimandano ad un server o ad un proprietario “diverso”
e spesso straniero (problema che più avanti cercherò di trattare).
Quando al suddetto articolo si afferma che è vietato l’accesso ai
dati che stanno su dispositivi personali, si afferma che tutti quegli
apparecchi che personalmente e legalmente sono di proprietà della
persona, quali cellulari, tablet per esempio, non necessitano di
chiavi di sicurezza per farne configurare l’illecito in quanto sono
di proprietà del soggetto titolare. Sono concetti che a livello
costituzionale in effetti sono presenti e ben esplicitati in materia
di protezione dei dati, che in questo lavoro ho riportato come
l’art.16 del TFUE, l’art.14 della Costituzione e l’art.8 della
Carta dei diritti fondamentali, e sebbene a livello normativo del
codice penale, la distinzione di quale sia il domicilio informatico
da tutelare spesso risulta complicato per i casi descritti, con
l’approvazione di questo articolo si “imporrebbe” al c.p. di
adottare misure applicative più rigide e di seguire una condotta
esemplare quando si tratta di definire tale proprietà. Come
stabilito dallo stesso “è
vietato l’accesso ai dati della persona che i trovino su
dispositivi personali, su elaboratori remoti accessibili tramite
credenziali da qualsiasi elaboratore connesso a Internet o
simultaneamente su dispositivi personali e, in copia, su elaboratori
remoti”. I
social, o meglio l’account personale che la persona crea in quella
nuvola, risultano essere spazi “privati”, dove nonostante la
condivisione di notizie con il mondo, il soggetto tramite credenziali
di accesso sta di fatto limitando l’intrusione di estranei nella
sua piccola realtà. La distinzione principale è che gli account
come quelli di Facebook, Twitter ecc. a cui l’utente accede tramite
password possono essere considerati come spazio riservato e quindi
oggetto di tutela (domicilio), insieme a tutte quelle informazioni
quali conversazioni private a cui solo il titolare del diritto può
usufruire e l’intrusione abusiva ne configura l’illecito, così
come dati presenti nei cellulari, tablet. Mentre la piattaforma
pubblica (cloud) dove sono contenuti questi dati no; sta in questo
caso al gestore della nuvola la responsabilità di non divulgare le
conversazioni elettroniche. Inoltre proprio perché la maggior parte
dei proprietari di questi server hanno la loro sede in paesi esteri
da quello italiano, risulta difficile individuare l’ambito
giurisdizionale sul quale fare ricadere la responsabilità nel caso
in cui si verifichi un procedimento penale. Nel caso invece della
triste dipartita del titolare di un account web, il Consiglio
Nazionale del Notariato riunitosi il 4 dicembre 2014, si è chiesto
che fine facciano i dati di quest’ultimo dopo la sua morte. Si
parla di eredità
digitale:
una sorta di testamento su Internet. Diviene però complicato capire
se effettivamente i dati debbano essere tramessi agli eredi o
semplicemente distrutti. Il Consiglio si è proposto di stabilire un
protocollo che agevoli agli eredi la comunicazione nei confronti
dell’operatore, considerando che molti di questi servizi di rete
hanno sede in paesi quali Stati Uniti, il che rende ardua e
dispendiosa in materia legislativa la successione informatica. Google
per esempio ha attivato un’opzione di disattivazione dell’account
dopo un determinato periodo di tempo, che stabilisce prima il
titolare, scaduto il quale l’account viene eliminato e i dati
possono venire distrutti o passare in mano ai successori.
Ritornando in tema di divulgazione di dati e di informazioni è utile accennare al fatto che molti Stati di fatto hanno dei programmi di sorveglianza delle comunicazioni elettroniche che vengono attuate dalle agenzie di intelligence, come dimostrato dalle rivelazioni di Edward Snowden (Informatico statunitense ex agente della CIA, famoso per aver divulgato notizie sui programmi di sorveglianza americana e britannica ), che fanno riflettere circa la legalità delle loro azioni. Stati Uniti, Gran Bretagna, Francia, Australia ecc. sono solo alcuni paesi che adottano misure di sorveglianza più restrittive nei confronti dei propri cittadini rispetto ad altri, tramite sistemi come il programma PRISM dell’NSA. All’interno dell’Unione Europea la protezione dei dati è sancita dalla Carta dei diritti fondamentali come già citato all’inizio, nonché dall’art.16 del Trattato sul funzionamento dell’UE secondo il quale “ogni persona ha diritto alla protezione dei dati di carattere personale che la riguardano” e questi dati sono protetti in ogni caso salvo situazioni di sicurezza nazionale, di difesa, per rilevante interesse economico e pubblica sicurezza. Secondo un report del sito thewebindex.org, la percentuale dei Paesi la cui garanzia di privacy è risultata debole è cresciuta di 20 punti percentuali passando dal 63% del 2013 ad un 83% nel 2014; inoltre sono sempre più le agenzie di comunicazione web, tra cui i social, che trasmettono ai governi informazioni circa i loro utenti: Twitter in cima alla lista con un 78%, seguito da Yahoo, Microsoft e Facebook se la giocano alla pari e infine il ricercatissimo Google. Si presenta l’illecito anche tramite spyware che non necessariamente violano le misure si sicurezza, ma che si mantengono nella macchina elettronica senza il consenso del proprietario, introducendosi all’insaputa di questo e avendo così libero accesso ai nostri dati. Lo stesso vale per i siti di phishing che attirano le persone ingannandole e “costringendole” a svelare i propri dati. Paypal è stato il sito che nel Gennaio del 2012 ha registrato il maggior numero di URL fasulli e gli Stati Uniti mantengono il primato per tale attività. Germania, Olanda e Spagna invece sono tra gli Stati che adottano misure di sicurezza particolari per tutelare la privacy degli utenti, ritenuta di fondamentale importanza e violabile sono in casi di estrema necessità, come quando sussiste un illecito grave, nel qual caso le misure di sorveglianza sono giustificate dall’autorizzazione del giudice. Ad esempio in Spagna la sorveglianza deve essere autorizzata dal Tribunal de Garantìas per una durata massima di 10 giorni, specificandone il motivo dell’indagine, i dati soggetti a sorveglianza e l’oggetto da monitorare.
Per molto tempo si è ragionato fino a dove estendere la tutela del domicilio informatico e quali apparecchi sono meritevoli di protezione. Il problema però è un altro: nel caso in cui i verifichi un illecito e quindi una violazione del domicilio informatico da parte di terzi, dove e quando si consuma il “delitto”? Da quale strumento informatico viene commesso il reato e qual è quello oggetto di tutela? La Corte di Cassazione a tal proposito si è espressa con la sentenza n.40303 del 27.09.2013, che vedeva coinvolto il Tribunale di Firenze e il Tribunale di Roma per l’accesso abusivo e l’acquisizione di dati riservati del Ministero dell’Interno con sede a Roma. In questo caso specifico il server dove erano contenuti i dati violati era ubicato proprio a Roma. I pareri erano all’inizio contrastanti perché non era ben chiaro se l’illecito era da configurarsi nel luogo dove i dati erano custoditi, e quindi nella sede di Roma, oppure da dove l’effrazione ha avuto inizio, in questo caso in maniera remota da un sistema informatico terzo. Partendo dal presupposto che già un illecito si era configurato secondo l’art.615-ter, alla fine si è concordato che “nel caso di acquisizione illegale di dati riservati al Sistema di informazione di Interforze del Ministero dell’Interno avente sede a Roma, il locus commissi delicti, si determina con riferimento al luogo in cui è ubicato il server e non quello in cui sono inseriti i dati o le credenziali che consentono l’introduzione nel sistema”. Scorrendo la sentenza, ci si accorge, che non si è tenuto conto della visualizzazione di dati riservati e della loro successiva divulgazione, prendendo in esame in questo caso specifico la mera introduzione abusiva ad un sistema informatico (dolo generico), a discapito della riservatezza personale dei danneggiati. Qui mi viene in mente la frase di Martin Luther King: “la mia libertà finisce dove inizia la vostra”, e in effetti personalmente credo che niente riassuma meglio la dimensione soggettiva della libertà informatica. Sicuramente il politico-attivista americano non aveva in mente questi casi quando la pronunciò, ma credo che la violazione alla riservatezza, alla privacy sia una limitazione alla mia (alla loro) liberà, un diritto più che una libertà spesso non riconosciuto da un ordinamento troppo criptico e fallace in alcuni punti.
Ritornando in tema di divulgazione di dati e di informazioni è utile accennare al fatto che molti Stati di fatto hanno dei programmi di sorveglianza delle comunicazioni elettroniche che vengono attuate dalle agenzie di intelligence, come dimostrato dalle rivelazioni di Edward Snowden (Informatico statunitense ex agente della CIA, famoso per aver divulgato notizie sui programmi di sorveglianza americana e britannica ), che fanno riflettere circa la legalità delle loro azioni. Stati Uniti, Gran Bretagna, Francia, Australia ecc. sono solo alcuni paesi che adottano misure di sorveglianza più restrittive nei confronti dei propri cittadini rispetto ad altri, tramite sistemi come il programma PRISM dell’NSA. All’interno dell’Unione Europea la protezione dei dati è sancita dalla Carta dei diritti fondamentali come già citato all’inizio, nonché dall’art.16 del Trattato sul funzionamento dell’UE secondo il quale “ogni persona ha diritto alla protezione dei dati di carattere personale che la riguardano” e questi dati sono protetti in ogni caso salvo situazioni di sicurezza nazionale, di difesa, per rilevante interesse economico e pubblica sicurezza. Secondo un report del sito thewebindex.org, la percentuale dei Paesi la cui garanzia di privacy è risultata debole è cresciuta di 20 punti percentuali passando dal 63% del 2013 ad un 83% nel 2014; inoltre sono sempre più le agenzie di comunicazione web, tra cui i social, che trasmettono ai governi informazioni circa i loro utenti: Twitter in cima alla lista con un 78%, seguito da Yahoo, Microsoft e Facebook se la giocano alla pari e infine il ricercatissimo Google. Si presenta l’illecito anche tramite spyware che non necessariamente violano le misure si sicurezza, ma che si mantengono nella macchina elettronica senza il consenso del proprietario, introducendosi all’insaputa di questo e avendo così libero accesso ai nostri dati. Lo stesso vale per i siti di phishing che attirano le persone ingannandole e “costringendole” a svelare i propri dati. Paypal è stato il sito che nel Gennaio del 2012 ha registrato il maggior numero di URL fasulli e gli Stati Uniti mantengono il primato per tale attività. Germania, Olanda e Spagna invece sono tra gli Stati che adottano misure di sicurezza particolari per tutelare la privacy degli utenti, ritenuta di fondamentale importanza e violabile sono in casi di estrema necessità, come quando sussiste un illecito grave, nel qual caso le misure di sorveglianza sono giustificate dall’autorizzazione del giudice. Ad esempio in Spagna la sorveglianza deve essere autorizzata dal Tribunal de Garantìas per una durata massima di 10 giorni, specificandone il motivo dell’indagine, i dati soggetti a sorveglianza e l’oggetto da monitorare.
Per molto tempo si è ragionato fino a dove estendere la tutela del domicilio informatico e quali apparecchi sono meritevoli di protezione. Il problema però è un altro: nel caso in cui i verifichi un illecito e quindi una violazione del domicilio informatico da parte di terzi, dove e quando si consuma il “delitto”? Da quale strumento informatico viene commesso il reato e qual è quello oggetto di tutela? La Corte di Cassazione a tal proposito si è espressa con la sentenza n.40303 del 27.09.2013, che vedeva coinvolto il Tribunale di Firenze e il Tribunale di Roma per l’accesso abusivo e l’acquisizione di dati riservati del Ministero dell’Interno con sede a Roma. In questo caso specifico il server dove erano contenuti i dati violati era ubicato proprio a Roma. I pareri erano all’inizio contrastanti perché non era ben chiaro se l’illecito era da configurarsi nel luogo dove i dati erano custoditi, e quindi nella sede di Roma, oppure da dove l’effrazione ha avuto inizio, in questo caso in maniera remota da un sistema informatico terzo. Partendo dal presupposto che già un illecito si era configurato secondo l’art.615-ter, alla fine si è concordato che “nel caso di acquisizione illegale di dati riservati al Sistema di informazione di Interforze del Ministero dell’Interno avente sede a Roma, il locus commissi delicti, si determina con riferimento al luogo in cui è ubicato il server e non quello in cui sono inseriti i dati o le credenziali che consentono l’introduzione nel sistema”. Scorrendo la sentenza, ci si accorge, che non si è tenuto conto della visualizzazione di dati riservati e della loro successiva divulgazione, prendendo in esame in questo caso specifico la mera introduzione abusiva ad un sistema informatico (dolo generico), a discapito della riservatezza personale dei danneggiati. Qui mi viene in mente la frase di Martin Luther King: “la mia libertà finisce dove inizia la vostra”, e in effetti personalmente credo che niente riassuma meglio la dimensione soggettiva della libertà informatica. Sicuramente il politico-attivista americano non aveva in mente questi casi quando la pronunciò, ma credo che la violazione alla riservatezza, alla privacy sia una limitazione alla mia (alla loro) liberà, un diritto più che una libertà spesso non riconosciuto da un ordinamento troppo criptico e fallace in alcuni punti.
CONCLUSIONIIn
questo lavoro si è discusso sulla proposta avanzata dalla Bozza dei
diritti di Internet che prevede la tutela del moderno “domicilio
informatico” e si sono analizzate le situazioni nelle quali esso è
oggetto di controllo da parte del legislatore; fino a che punto esso
si estende fisicamente quindi quali parti di esso considerare
meritevoli di protezione a livello giuridico e sulla possibilità di
considerare i vari sistemi informatici quali computer, cellulari,
account Twitter ecc. come estensione fisica della persona,
paragonabili alla facoltà fisiche tutelate a norma di legge. Il
risultato è che spesso si fa fatica ad individuare il bene da
tutelare: se il sistema informatico propriamente detto (hardisk, dati
danneggiati e/o cancellati ecc. (art.635-bis)) o la riservatezza
personale, bene forse per diritto più prezioso. I casi qui riportati
dimostrano la tesi di un ordinamento forse troppo complicato da
interpretare e inabile di provvedere alla giusta protezione nei casi
specifici. Forse la cosa più idonea da fare era creare a parer mio
un ordinamento a sé in materia di domicilio informatico che
comprendesse tutti quei casi particolari qualora questo venga violato
o danneggiato, ponendo maggiore attenzione sulla privacy del soggetto
leso, facendo rientrare in questa accezione tutti i dati personali di
qualsiasi natura a prescindere dal fine per il quale abusivamente se
ne è preso visione da parte di terzi senza ricorrere a troppi
articoli normativi che per convesso tendono a creare più disordine
che altro. Mi rendo conto che riformare un ordinamento quasi da zero
sia più facile a dirsi che a farsi e infatti lo scopo essenziale
della Bozza dei diritti di Internet e di questo articolo 6 in
particolare, è che la normativa si adegui alle direttive espresse
dalla stessa per far maggiore chiarezza per i casi futuri. Una
proposta diversa secondo me poteva essere: “senza
l’autorizzazione dell’autorità giudiziaria, è vietato l’accesso
ai dati della persona che si trovino su dispositivi personali, anche
privi di credenziali di accesso una volta confutato il delitto, su
elaboratori remoti da qualsiasi elaboratore connesso ad Internet, con
particolare riferimento all’art. 14 della Costituzione e all’
art.8 della Carta dei Diritti Fondamentali dell’Unione Europea,
nonché l’intercettazione di qualsiasi forma di comunicazione. È
da considerarsi un’aggravante la violazione compiuta ad opera di un
operatore di sistema”. Sul
sito airesis.it, il social network dove è anche possibile avanzare
proposte nel rispetto dell’E-Democracy, un utente ha suggerito come
l’articolo 6 dovesse puntare molto sulla segretezza informatica e
sulla libertà individuale: “Il
domicilio informatico, la libertà e la segretezza della
corrispondenza elettronica sono inviolabili. E' vietato l'accesso ai
dati della persona che si trovino su dispositivi personali,
elaboratori remoti, o su ogni altro strumento idoneo, connessi o no
ad Internet e accessibili tramite credenziali, se non nei casi e modi
stabiliti dalla legge secondo le garanzie prescritte per la tutela
della libertà personale. E'
da considerarsi un'aggravante la violazione compiuta ad opera di un
operatore di sistema”. Questa
a parer mio potrebbe essere comunque un’ idea molto interessante
sulla quale vale la pena riflettere, perché sebbene rivanghi quasi
le stese cose già espresse dall’articolo della Bozza, specifica
meglio quello che l’articolo stesso intende proteggere e quello che
è l’obiettivo primo della Costituzione, il che non fa mai
male.
Potenzialmente credo anche che sarebbe stato più opportuno fondere l’articolo 4 sulla tutela dei dati personali e l’articolo 6 della stessa Bozza che oltre alla tutela del domicilio informatico punta molto, per quello che esprime, anche alla protezione dei dati personali. Allo stesso modo l’art.4 mira a tutelare i dati personali presenti anche su dispositivi, nel rispetto della legge e in base ai principi di proporzionalità, necessità, pertinenza e finalità e come cita lo stesso “ogni persona ha diritto alla protezione dei dati che la riguardano, per garantire il rispetto della sua dignità, identità e riservatezza […] comprendono anche i dati identificativi dei dispositivi […]I dati possono essere raccolti e trattati solo con il consenso effettivamente informato della persona interessata o in base a altro fondamento legittimo previsto dalla legge”. Proporli in un’unica soluzione a parer mio creerebbe meno confusione e la lettura di un unico articolo ne trarrebbe vantaggio anche per la comprensione di ciò che si sta tutelando. Nel 2015 infatti i 28 paesi membri dell’UE cercheranno di accordarsi per dar forma ad un insieme di leggi che trattino la protezione dei dati, definendo quali siano i dati oggetto di difesa e i casi di violazione, considerando che secondo una ricerca del Centre for Media, Data and Society School of Public, Policy Central European University in Europa tra il 2005 e il 2014 sono stati persi oltre 645 milioni di dati personali.
Potenzialmente credo anche che sarebbe stato più opportuno fondere l’articolo 4 sulla tutela dei dati personali e l’articolo 6 della stessa Bozza che oltre alla tutela del domicilio informatico punta molto, per quello che esprime, anche alla protezione dei dati personali. Allo stesso modo l’art.4 mira a tutelare i dati personali presenti anche su dispositivi, nel rispetto della legge e in base ai principi di proporzionalità, necessità, pertinenza e finalità e come cita lo stesso “ogni persona ha diritto alla protezione dei dati che la riguardano, per garantire il rispetto della sua dignità, identità e riservatezza […] comprendono anche i dati identificativi dei dispositivi […]I dati possono essere raccolti e trattati solo con il consenso effettivamente informato della persona interessata o in base a altro fondamento legittimo previsto dalla legge”. Proporli in un’unica soluzione a parer mio creerebbe meno confusione e la lettura di un unico articolo ne trarrebbe vantaggio anche per la comprensione di ciò che si sta tutelando. Nel 2015 infatti i 28 paesi membri dell’UE cercheranno di accordarsi per dar forma ad un insieme di leggi che trattino la protezione dei dati, definendo quali siano i dati oggetto di difesa e i casi di violazione, considerando che secondo una ricerca del Centre for Media, Data and Society School of Public, Policy Central European University in Europa tra il 2005 e il 2014 sono stati persi oltre 645 milioni di dati personali.
- Art.16 direttiva 1995/46/CE; limiti alla protezione dei dati per la sorveglianza di massa da parte degli Stati membri
- C.Sacchetto “Esteroverione societaria- disciplina tributaria e profili politico-amministrativi” Giappichelli Editore-Torino
- M.Farina “I reati informatici” maggio 2010
- Parlamento Europeo, commissione per le libertà civili, la giustizia e gli affari interni, “documento di lavoro 3 sulla relazione tra le prassi di sorveglianza nell’UE e negli Stati Uniti e le disposizioni dell’UE sulla protezioni dei dati” 12/12/2013
- P.Scognamiglio “Criminalità informatica” commento organico alla Legge 18 marzo 2008 n.48
- Rivista trimestrale 3-4/2014, diritto penale contemporaneo, Luca Santa Maria Editore
- S.Sbordoni “Web, libertà e Diritto”
0 commenti:
Posta un commento