Il Crimine Informatico
Un Crimine Informatico è un fenomeno criminale che si caratterizza nell'abuso della tecnologia informatica sia hardware che software, per la commissione di uno o più crimini.
La casistica e la tipologia è piuttosto ampia; alcuni crimini in particolare sono finalizzati allo sfruttamento commerciale della rete internet, a porre a rischio i sistemi informativi di sicurezza nazionale di uno Stato.
Cenni storici
modificaAgli esordi del fenomeno hacker le condanne penali erano rare poiché l'approccio degli hackers era rivolto alla conoscenza dei sistemi informatici e della loro sicurezza, pertanto violando i sistemi con azioni non dannose. I sostenitori dell'hacking sono motivati da fini artistici e politici, ma spesso sono indifferenti circa l'uso di mezzi illegali per raggiungerli. Con la crescita dell'industria informatica, sono emersi i casi di violazione dei sistemi informatici per il proprio profitto personale (cracker).
Condanne di reati informatici, o di hacking, iniziarono già nel 1983 con il caso dei 414's nel Milwaukee. In tal caso, sei adolescenti fecero irruzione in sistemi informatici di prestigio, tra cui il Los Alamos National Laboratory, il Memorial Sloan-Kettering Cancer Center e il Security Pacific Bank. Il 1º maggio 1983 Gerald Wondra fu condannato a due anni di libertà vigilata. Nel 2006, una pena detentiva di quasi cinque anni è stata tramandata a Jeanson James Ancheta, che ha creato centinaia di computer zombie per eseguire i suoi ordini tramite reti botnet giganti. Egli ha poi venduto le botnet al miglior offerente che a sua volta li ha usati per l'attacco Denial of service.
L'esigenza di punire i crimini informatici emerse già alla fine degli anni ottanta, tanto che, il 13 settembre 1989, il Consiglio d'Europa emanò una Raccomandazione sulla Criminalità Informatica dove venivano discusse le condotte informatiche abusive. I reati vennero divisi in due liste: facevano parte della prima lista detta lista minima quelle condotte che gli Stati sono invitati a perseguire penalmente quali:
- La Frode Informatica che Consiste nell'Alterare un Procedimento di Elaborazione di Dati con lo Scopo di Procurarsi un Ingiusto Profitto.
- Il Falso in Documenti Informatici.
- Il Danneggiamento di Dati e Programmi.
- Il Sabotaggio Informatico.
- L'Accesso Abusivo, Associato alla Violazione delle Misure di Sicurezza del Sistema.
- L'Intercettazione Non Autorizzata.
- La Riproduzione non Autorizzata di Programmi Protetti.
- La Riproduzione non Autorizzata di Topografie di Prodotti a Semiconduttore.
Facevano invece parte della seconda lista detta Lista Facoltativa condotte "Solo Eventualmente" da incriminare, quali:
- L'Alterazione di Dati o Programmi Non Autorizzata Sempre che Non Costituisca un Danneggiamento.
- Lo Spionaggio informatico Inteso come la Divulgazione di Informazioni Legate al Segreto Industriale o Commerciale.
- L'Utilizzo Non Autorizzato di un elaboratore o di una Rete di elaboratori.
- L'Utilizzo Non Autorizzato di un Programma Informatico Protetto, Abusivamente Riprodotto.
Successivamente, in occasione del XV Congresso dell'Associazione Internazionale di Diritto Penale del 1990, emerse la necessità di incriminare non solo i reati previsti dalla lista minima ma anche le condotte descritte nella lista facoltativa. Le varie legislazioni informatiche che hanno seguito il suddetto congresso hanno tenuto conto delle indicazioni date dall'associazione e nel settembre 1994 il Consiglio d'Europa ha aggiornato la precedente Raccomandazione ampliando le condotte perseguibili penalmente, inserendo:
- Il Commercio di Codici d'Accesso Ottenuti Illegalmente.
- La Diffusione di Virus e Malware.
A partire dagli anni 2000 lo United States Department of Defense ha evidenziato che il crimine informatico ha assunto forme che coinvolgono le strategie di politica globale. Nel 2007 si sono verificati degli attacchi contro il sistema informatico dell'Estonia da parte di hackers di origine russa. Analogamente nel 2008 la Russia ha denunciato attacchi da parte dei terroristi ceceni. Nel timore che questi attacchi possano prefigura l'estensione del conflitto di più ampia portata, le forze di spionaggio militare si sono da tempo attivate per predisporre strategie tese ad individuare i campanelli di allarme e prevenire conflitti in futuro. La più lunga condanna comminata prima del 2012 per reati informatici è quella di Albert Gonzalez per 20 anni.
Le successive condanne più lunghe sono quelle di 13 anni per Max Butler, 108 mesi a Brian Salcedo nel 2004 e confermata nel 2006 dalla Corte d'Appello degli USA, e 68 mesi a Kevin Mitnick nel 1999.
Le Caratteristiche e gli Ambiti di Indagine
modificaIl crimine informatico può essere generalmente definito come un'attività criminale che coinvolge la struttura della tecnologia di informazione, compreso l'accesso illegale (l'accesso non autorizzato), intercettazione (con mezzi tecnici di trasmissioni non pubbliche di dati informatici verso, da o all'interno di un sistema informatico), interferenze di dati (danneggiamento, cancellazione, deterioramento, alterazione o soppressione di dati informatici), sistemi di interferenza (interferenza con il funzionamento di un sistema informatico mediante l'immissione, trasmissione, danneggiamento, cancellazione, deterioramento, alterazione o soppressione di dati informatici), uso improprio di dispositivi, contraffazione, furto d'identità, frode informatica ed elettronica. Le persone che commettono questi crimini, se catturate vengono condannate per l'accusa di aver compiuto reati informatici, come accessi non autorizzati in computer o reti di computer.
Le tipologie di reato in Internet possono essere di svariati tipi: dal messaggio offensivo inviato per posta elettronica, alla diffusione di immagini diffamatorie o pedopornografiche, o al download di risorse protette dal diritto d'autore. L'identificazione dell'autore di un reato online è resa problematica da molteplici fattori: in un sistema, quale Internet, non controllato da alcuna autorità sovranazionale che consente agli utenti l'assoluto anonimato, dove i dati si diffondono con rapidità elevatissima oltre i confini nazionali, e dove cancellare le tracce è relativamente semplice, identificare il responsabile di un reato è un'operazione davvero complessa che difficilmente è eseguita con successo.
I Tipi di Reati Informatici
modificaIl Crimine Informatico abbraccia un ampio ventaglio di attività suddivise in due categorie:
- L'Utilizzo della Tecnologia Informatica Per Compiere l'Abuso:
- Spam.
- Malware (Malicious Software).
- L'Utilizzo dell'Elaboratore nella Realizzazione del Fatto:
- Cyberstalking.
- Frode e Falsa Identità.
- Information Warfare.
- Phishing.
Lo Spam
modificaL'inatteso invio di email per fini commerciali è illegale, ma mentre le leggi anti-spam sono relativamente nuove, le comunicazioni inattese esistono da lungo tempo. Spammare significa anche il necropost di un articolo su un forum oppure l'invio ripetuto di messaggi, a volte indesiderati.
La disciplina italiana concernente l'invio di posta elettronica a fini commerciali è disciplinata dall’art. 130 Codice Privacy, rubricato “Comunicazioni indesiderate”. L'ambito di applicazione di detto articolo è proprio quello dello spamming, seppur la rubrica si limiti a parlare di comunicazioni indesiderate e non menzioni quelle semplicemente non richieste. Il modello di regolazione scelto dal legislatore italiano (e in generale da tutti gli stati aderenti alla Comunità Europea) è quello dell’opt-in, che prevede la possibilità di avvalersi del trattamento dei dati personali solo dopo aver ottenuto il consenso del soggetto interessato.
È inoltre vietato, sempre dall'art. 130 Codice Privacy, l'invio di comunicazioni a scopi pubblicitari, per la vendita diretta o per ricerche di mercato effettuato camuffando o celando l'identità del mittente o ancora senza fornire un idoneo recapito presso il quale l'interessato possa esercitare i propri diritti. È però prevista una deroga ai dettami di tale articolo, che consente di utilizzare le coordinate di posta elettronica, fornite dall'interessato nel contesto della vendita di un prodotto o servizio, per l'invio di ulteriori messaggi promozionali aventi ad oggetto simili beni o servizi, senza dover nuovamente chiederne il consenso.
Vi è poi nel nostro ordinamento un'ulteriore disposizione al riguardo, rinvenibile nel d.lgs. 9 aprile 2003, n.70 sul commercio elettronico. L'art. 9 afferma infatti che le comunicazioni commerciali non sollecitate trasmesse da un prestatore per posta elettronica devono, in modo chiaro ed inequivocabile, essere identificate come tali fin dal momento in cui il destinatario le riceve e devono altresì contenere l'indicazione che il destinatario del messaggio può opporsi al ricevimento in futuro di tali comunicazioni.
Va da ultimo esaminato l'impianto sanzionatorio previsto dal nostro ordinamento. Anzitutto lo stesso art. 130 comma 6 attribuisce al Garante per la protezione dei dati personali, in caso di reiterata violazione delle disposizioni previste in tale ambito, il potere di provvedere, negli ambiti di un procedimento di reclamo attivato, tramite prescrizione ai fornitori di servizi di comunicazione elettronica (ISP), adottando misure di filtraggio o altre misure praticabili nei confronti di un certo indirizzo di posta elettronica.
Di ben maggiore deterrenza appare poi l’art. 167 del Codice Privacy, nel quale si prevede che, salvo il fatto non costituisca più grave reato, chiunque proceda al trattamento dei dati personali in violazione di quanto previsto nel Codice stesso, al fine di trarne un profitto o recare ad altri un danno, è punito, se dal fatto deriva nocumento, con la reclusione da sei a diciotto mesi o, se il fatto consiste nella comunicazione o diffusione di tali dati, con la reclusione da sei a ventiquattro mesi. L'attività di spamming espone, infine, ai sensi dell’art. 161 Codice Privacy, alla sanzione amministrativa di omessa informativa (di cui all'art 13), la quale va da un minimo di tremila euro ad un massimo di diciottomila euro. La sanzione viene erogata dall'autorità Garante per la protezione dei dati personali a seguito di un apposito ricorso ai sensi degli artt. 145 ss. Codice Privacy; tale ricorso che non può essere proposto se, per il medesimo oggetto e tra le medesime parti, è già stata adita l'autorità giudiziaria.
La tutela amministrativa risulta dunque essere alternativa a quella giudiziaria, inutile dire che risulta essere anche meno soddisfacente (dal punto di vista economico) per chi se ne avvale, lasciando quindi un ruolo preminente a quella giudiziaria. La prima controversia italiana avente ad oggetto attività di spamming è stata risolta dal Giudice di Pace di Napoli, che, con sentenza 26 giugno 2004, ha riconosciuto l'illiceità di tale attività, condannando il titolare del trattamento al risarcimento del danno patrimoniale, non patrimoniale, esistenziale e da stress subito dal titolare della casella di posta elettronica.
L'assetto che deriva dalle regole appena esposte, in piena coerenza con la vigente disciplina nazionale sulla data protection, qualifica dunque il nostro come un sistema improntato al cosiddetto “opt-in” (necessità del consenso preventivo), salvo il temperamento relativo alla comunicazione via e-mail finalizzata alla vendita di “propri prodotti o servizi analoghi”, ispirato ad un sistema che potremmo definire di “soft opt-out”. Con particolare riferimento al tema delle comunicazioni commerciali, l'art. 58 del Codice del consumo, D.Lgs. 206 del 2005, raccogliendo integralmente il disposto del pre-vigente D.Lgs. 185/99, ha introdotto tuttavia delle norme sostanzialmente differenti ove prevede particolari limiti all'impiego di alcune tecniche di comunicazione a distanza: 1.l'impiego da parte di un professionista del telefono, della posta elettronica, di sistemi automatizzati di chiamata senza l'intervento di un operatore o di fax, richiede il consenso preventivo del consumatore; 2.tecniche di comunicazione a distanza diverse da quelle di cui al comma 1, qualora consentano una comunicazione individuale, possono essere impiegate dal fornitore se il consumatore non si dichiara esplicitamente contrario. Mentre il primo comma prevede un sistema pienamente assimilabile all'opt-in, il secondo è invece apertamente ispirato ai meccanismi dell'opt-out. Questa regolamentazione comportava già alcuni gravi dubbi interpretativi, soprattutto per i riflessi operativi che ne derivavano: che relazione intercorre tra il consenso richiesto dalla normativa privacy e quello imposto dall'art. 58, comma 1, del Codice del consumo? Il tema è ancora oggi fortemente dibattuto, fermi però alcuni punti di riferimento che devono costituire i criteri guida per la soluzione di questo problema esegetico: a) si tratta di due consensi aventi natura diversa, per il semplice fatto che tutelano interessi diversi (quello alla riservatezza da un lato, e quello alla correttezza del comportamento del professionista dall'altro); b) comuni sono le sanzioni che derivano dalla violazione delle norme, come evidentemente dimostrato dall'art. 62 del Codice del consumo, che espressamente prevede la trasmissione al Garante Privacy del verbale ispettivo redatto dagli organi competenti a rilevare le violazioni dei diritti dei consumatori, affinché il Garante stesso irroghi le diverse sanzioni prescritte dal Codice privacy. Qualsiasi scelta nella impostazione della modulistica necessaria alla acquisizione del consenso, deve tenere dunque ben presenti la tratteggiata distinzione. Si deve comunque sottolineare che in questo tema e in virtù di quanto prima sostenuto in tema di sanzioni debba ritenersi più significativo l'orientamento del Garante Privacy il quale, in numerosi provvedimenti, ha dichiarato l'illegittimità di qualsiasi comunicazione non preventivamente autorizzata: RILEVATO che ai sensi dell'art. 130 del Codice (salvo quanto previsto dal comma 4 del medesimo articolo) il consenso preventivo degli interessati è richiesto anche per l'invio di una sola comunicazione mediante posta elettronica volta ad ottenere il consenso per l'invio di materiale pubblicitario o di vendita diretta o per il compimento di ricerche di mercato o di comunicazione commerciale o, comunque, per fini promozionali (come quella contestata volta a rendere noti i servizi offerti attraverso un sito Internet) (Provvedimento del 20 dicembre 2006).
Il Malware
modificaMalware, abbreviazione per Malicious Software (che significa letteralmente software malintenzionato, ma di solito tradotto come software dannoso), indica un qualsiasi programma informatico usato per disturbare le operazioni svolte da un computer, rubare informazioni sensibili, accedere a sistemi informatici privati, o mostrare pubblicità indesiderata. Il termine malware è stato coniato nel 1990 da Yisrael Radai, precedentemente veniva chiamato virus per computer; in italiano viene anche comunemente chiamato codice maligno. Il principale modo di propagazione del malware consiste di frammenti di software parassiti che si inseriscono in codice eseguibile già esistente. Il frammento di codice può essere scritto in codice macchina ed inserito in un'applicazione esistente, in codice di utility, in un programma di sistema o può inserirsi anche nel codice del sistema di boot di un computer. Un malware è caratterizzato dal suo intento malevolo, agendo contro le necessità dell'utente, e non include software che causa un danno non voluto a causa di qualche suo difetto.
Le Categorie di Malware
modificaSi distinguono molte categorie di malware, anche se spesso questi programmi sono composti di più parti interdipendenti e rientrano pertanto in più di una classe. Vista inoltre la rapida evoluzione in questo campo, la classificazione presentata di seguito non è da ritenersi esaustiva.
- Virus: sono parti di codice che si diffondono copiandosi all'interno di altri programmi, o in una particolare sezione del disco fisso, in modo da essere eseguiti ogni volta che il file infetto viene aperto. Si trasmettono da un computer a un altro tramite lo spostamento di file infetti ad opera degli utenti.
- Worm: questi malware non hanno bisogno di infettare altri file per diffondersi, perché modificano il sistema operativo della macchina ospite in modo da essere eseguiti automaticamente e tentare di replicarsi sfruttando per lo più Internet. Per indurre gli utenti ad eseguirli utilizzano tecniche di ingegneria sociale, oppure sfruttano dei difetti (Bug) di alcuni programmi per diffondersi automaticamente. Il loro scopo è rallentare il sistema con operazioni inutili o dannose.
- Trojan Horse: software che oltre ad avere delle funzionalità "lecite", utili per indurre l'utente ad utilizzarli, contengono istruzioni dannose che vengono eseguite all'insaputa dell'utilizzatore. Non possiedono funzioni di auto-replicazione, quindi per diffondersi devono essere consapevolmente inviati alla vittima. Il nome deriva dal famoso cavallo di Troia.
- Backdoor: letteralmente "porta sul retro". Sono dei programmi che consentono un accesso non autorizzato al sistema su cui sono in esecuzione. Tipicamente si diffondono in abbinamento ad un trojan o ad un worm, oppure costituiscono una forma di accesso lecita di emergenza ad un sistema, inserita per permettere ad esempio il recupero di una password dimenticata.
- Spyware: software che vengono usati per raccogliere informazioni dal sistema su cui sono installati e per trasmetterle ad un destinatario interessato. Le informazioni carpite possono andare dalle abitudini di navigazione fino alle password e alle chiavi crittografiche di un utente.
- Dialer: questi programmi si occupano di gestire la connessione ad Internet tramite la normale linea telefonica. Sono malware quando vengono utilizzati in modo illecito, modificando il numero telefonico chiamato dalla connessione predefinita con uno a tariffazione speciale, allo scopo di trarne illecito profitto all'insaputa dell'utente.
- Hijacker: questi programmi si appropriano di applicazioni di navigazione in rete (soprattutto browser) e causano l'apertura automatica di pagine web indesiderate.
- Rootkit: i rootkit solitamente sono composti da un driver e a volte, da copie modificate di programmi normalmente presenti nel sistema. I rootkit non sono dannosi in sé, ma hanno la funzione di nascondere, sia all'utente che a programmi tipo antivirus, la presenza di particolari file o impostazioni del sistema. Vengono quindi utilizzati per mascherare Spyware e Trojan.
- Scareware: non sono altro che porte di accesso che si nascondono sui manifesti pubblicitari e installano altri malware e spesso c'e il pericolo che facciano installare malware che si fingono antivirus tipo il famoso "Rogue Antispyware".
- Rabbit: i rabbit sono programmi che esauriscono le risorse del computer creando copie di sé stessi (in memoria o su disco) a grande velocità.
- Adware: programmi software che presentano all'utente messaggi pubblicitari durante l'uso, a fronte di un prezzo ridotto o nullo. Possono causare danni quali rallentamenti del PC e rischi per la privacy in quanto comunicano le abitudini di navigazione ad un server remoto.
- Malvertising: malicious advertising, sono degli attacchi che originano dalle pubblicità delle pagine web.
- File batch: hanno Estensione ".bat". I file batch non sono veri e propri malware, ma solo semplici File di testo interpretati da Prompt dei comandi di microsoft windows. In base ai comandi imposti dall'utente, il sistema li interpreta come "azioni da eseguire", e se per caso viene imposto di formattare il computer, il file esegue l'operazione imposta, perché eseguire i file inoltrati al processore è un'operazione di routine. Questo rende i file batch pericolosi. I file batch sono spesso utilizzati nel cyberbullismo.
- Keylogger: I Keylogger sono dei programmi in grado di registrare tutto ciò che un utente digita su una tastiera o che copia e incolla rendendo così possibile il furto di password o di dati che potrebbero interessare qualcun altro. La differenza con gli Adware sta nel fatto che il computer non si accorge della presenza del keylogger e il programma non causa rallentamento del pc, passando così totalmente inosservato. Generalmente i keylogger vengono installati sul computer dai trojan o dai worm, in altri casi invece il keylogger viene installato sul computer da un'altra persona che può accedere al pc o attraverso l'accesso remoto (che permette a una persona di controllare un altro pc dal suo stesso pc attraverso un programma) oppure in prima persona, rubando così dati e password dell'utente. Esistono anche i Keylogger Hardware, che possono essere installati da una persona fisica, e poi, sfruttando la rete Internet inviano informazioni al malintenzionato quali password, email, ecc...
- Rogue Antispyware: malware che si finge un programma per la sicurezza del PC, spingendo gli utenti ad acquistare una licenza del programma.
- Ransomware Virus che cripta tutti i dati presenti su un disco, secondo una chiave di cifratura complessa; poi, per ottenerla e decrittografare il computer, bisogna pagare il cracker che ha infettato il pc e quindi ottenere la chiave di cifratura per "tradurre" i dati. Questi software sono pericolosi in modo direttamente proporzionale alla quantità e alla riservatezza dei dati presenti sul disco. Una volta questi virus erano presenti in Windows con diffusione ristretta, mentre oggi la diffusione è aumentata, anche su sistemi operativi mobili.
- "A Comando", cioè vengono attivati secondo le volontà del cracker nel momento che ritiene opportuno.
- "Automatici", che si dividono in altre due sottocategorie:
- "Da Esecuzione", cioè vengono eseguiti e quindi si attivano quando l'utente li avvia;
- "Da Avvio", cioè si attivano quando si spegne/accende il device.
- Bomba Logica: è un tipo di malware che "Esplode" ovvero fa sentire i suoi effetti maligni al verificarsi di determinate condizioni o stati del PC fissati dal cracker stesso.
- Zip Bomb] è un file che si presenta come un file compresso. Deve essere l'utente ad eseguirlo. All'apparenza sembra un innocuo file da pochi Kilobyte ma, appena aperto, si espande fino a diventare un file di circa quattro Petabyte, occupando quindi tutto lo spazio su disco rigido.
Nell'uso comune il termine Virus viene utilizzato come sinonimo di malware e l'equivoco viene alimentato dal fatto che gli Antivirus permettono di rilevare e rimuovere anche altre categorie di software maligno oltre ai virus propriamente detti.
Si noti che un malware è caratterizzato dall'intento doloso del suo creatore, dunque non rientrano nella definizione data i Programmi contenenti Bug, che costituiscono la normalità anche quando si sia osservata la massima diligenza nello sviluppo di un Software.
La Frode
modificaLa Frode Informatica è associata alla frode "tradizionale" con la differenza che è realizzata per mezzo di uno strumento informatico. La legge 547 del 1993 aggiunge al Codice Penale l'art. 640-ter per punire chiunque cerchi di ottenere un arricchimento interferendo abusivamente nell'elaborazione dei dati. Non è identificato come frode informatica l'indebito utilizzo di carte di pagamento magnetiche che è invece disciplinato dall'art. 55 del decreto legislativo 231 del 21 novembre 2007. Altri reati previsti sono:
- La Falsificazione di Documenti Informatici. I documenti informatici sono equiparati a tutti gli effetti ai documenti tradizionali e l'art. 491-bis c.p. prevede l'applicabilità delle disposizioni sulla falsità in atti pubblici e privati. La falsificazione in comunicazioni informatiche ricalca invece il delitto di falsità in scrittura privata (art. 485 c.p.).
- Le Aggressioni all'Integrità dei Dati. La legge 547 del 1993 amplia le precedenti disposizioni in materia e integra al Codice Penale l'art. 635-bis sul danneggiamento dei sistemi informatici e telematici, l'art. 615-quinquies sulla diffusione di virus e malware, l'art. 392 sulla violenza sulle cose (a tal proposito la legge 547 del 1993 precisa le situazioni dove le aggressioni riguardano beni informatici) ed infine l'art. 420 sul reato di attentato ad impianti di pubblica utilità. Forse l'unico caso giudiziario di diffusione di virus per cui si è celebrato un dibattimento (sia in primo grado, sia in appello) è quello deciso dal Tribunale penale di Bologna con la sentenza 1823/05 (la cui decisione è stata parzialmente ribaltata in appello) a proposito del "Caso Vjierika".
- Le Aggressioni alla Riservatezza dei Dati e delle Comunicazioni Informatiche. Riguardo alle forme di intrusione nella sfera privata altrui si incriminano l'accesso abusivo ad un sistema informatico o telematico (art. 615-ter c.p.), la detenzione o diffusione abusiva di codici di accesso (art. 615-quater c.p.) e la rivelazione del contenuto di documenti segreti (art. 621 c.p.), includendo i documenti protetti contenuti su supporti informatici.
Un Esempio di Frode Elettronica: Il Phishing
modificaÈ in aumento esponenziale la truffa on line, nata in Spagna e Portogallo, chiamata "phishing". Si tratta di una nuova forma di spamming, che potrebbe avere come conseguenza il furto del numero di carta di credito o di password, informazioni relative a un account o altre informazioni personali. Tale truffa solitamente ha come campo di azione le banche e l'e-commerce.
Che Cos'è il Phishing?
modificaIl phishing è un tipo di frode ideato allo scopo di rubare l'identità di un utente. Quando viene attuato, una persona malintenzionata cerca di appropriarsi di informazioni quali numeri di carta di credito, password, informazioni relative ad account o altre informazioni personali convincendo l'utente a fornirgliele con falsi pretesti. Il phishing viene generalmente attuato tramite posta indesiderata o finestre a comparsa.
Come Funziona il Phishing?
modificaIl phishing viene messo in atto da un utente malintenzionato che invia milioni di false e-mail che sembrano provenire da siti Web noti o fidati come il sito della propria banca o della società di emissione della carta di credito. Arriva dunque nella propria casella di posta elettronica un'e-mail che sembra provenire dalla banca e vi dice che c'è un imprecisato problema al sistema di "home banking". Vi invita pertanto ad aprire la home page della banca con cui avete il conto corrente gestito via web e di cliccare sul link indicato nella mail. Subito dopo aver cliccato sul link vi si apre una finestra (pop-up) su cui digitare la "user-id" e la "password" di accesso all'home bancking. Dopo pochi secondi, in generale, appare un altro pop-up che vi informa che per assenza di collegamento non è possibile la connessione. I messaggi di posta elettronica e i siti Web in cui l'utente viene spesso indirizzato per loro tramite sembrano sufficientemente ufficiali da trarre in inganno molte persone sulla loro autenticità. Ritenendo queste e-mail attendibili, gli utenti troppo spesso rispondono ingenuamente a richieste di numeri di carta di credito, password, informazioni su account ed altre informazioni personali. Queste imitazioni sono spesso chiamate siti Web "spoofed". Una volta all'interno di uno di questi siti falsificati, è possibile immettere involontariamente informazioni ancora più personali che verranno poi trasmesse direttamente all'autore del sito che le utilizzerà per acquistare prodotti, richiedere una nuova carta di credito o sottrarre l'identità dell'utente.
Come comportarsi?
modifica- Gli istituti bancari e le aziende serie non richiedono mai password, numeri di carte di credito o altre informazioni personali in un messaggio di posta elettronica. L'unica circostanza in cui viene richiesto il numero della vostra carta di credito è nel corso di un acquisto on line che avete voi deciso di fare.
- Non bisogna rispondere mai a richieste di informazioni personali (pin, password, ecc), anche se provenienti dal vostro istituto di credito, ricevute tramite posta elettronica. Nel dubbio, telefonare all'istituto che dichiara di avervi inviato l'e-mail chiedendo una conferma.
- È possibile segnalare il sospetto di abuso anche via e mail. Molte banche ed aziende dispongono infatti anche di un indirizzo di posta elettronica specifico per denunciare questo tipo di illeciti. Per essere sicuri di accedere ad un sito web "reale" di un istituto bancario è indispensabile digitare il rispettivo URL nella barra degli indirizzi, diffidando di link ricevuti via e-mail.
- È fondamentale esaminare regolarmente i rendiconti bancari e della carta di credito e in caso di spese o movimenti bancari non riconosciuti informare immediatamente proprio istituto bancario o la società emittente della propria carta di credito.
- In caso di sospetto di uso illecito delle proprie informazioni personali per operazioni di phishing occorre informare immediatamente la Polizia Postale e delle Comunicazioni.
La Falsa Identità
modificaLa Falsa Identità sul Web è Assimilabile al Falso, Procedibile con "Querela di Falso". Esso è un Reato Previsto e Disciplinato dal Codice Penale Italiano agli Articoli 476 e Seguenti Con Riferimento agli Atti. Esso Si Distingue in "Falso Materiale" e in "Falso Ideologico". Il Bene Giuridico Tutelato dalle Norme Penali sul Falso è Quello della Fede Pubblica.
La Falsa Identità sul Web è un fenomeno diffuso che può essere legato anche ad ulteriori reati come il Cyberstalking e il Cyberbullismo.
Essa è rafforzata dalla disponibilità di anonimato che il Web concede ai propri utenti ed è difficile contrasto se non ad opera di Esperti Informatici.
Bisogna inoltre terner conto dell'articolo 496 del Codice Penale che prevede che "Chiunque, [...] , interrogato sulla identità, sullo stato o su altre qualità della propria o dell'altrui persona, fa mendaci dichiarazioni a un pubblico ufficiale o a persona incaricata di un pubblico servizio, nell'esercizio delle funzioni o del servizio, è punito con la reclusione da uno a cinque anni".
La Fattispecie di Falsità Materiale
modificaLa Falsità è Materiale quando è la provenienza dell'atto in sé a essere fasulla, alterata o contraffatta, indipendentemente dalla verità dei fatti in esso attestati.
La Falsità Materiale Commessa dal Pubblico Ufficiale
modificaGli artt. 476, 477 e 478 prevedono tra distinte fattispecie di falsificazione materiale ovvero contraffazione e alterazione commesse dal pubblico ufficiale, aventi a oggetto rispettivamente atti pubblici, certificati o autorizzazioni amministrative e copie autentiche di atti pubblici o privati e attestati del contenuto di atti.
La Falsità Materiale Commessa dal Privato
modificaL'art. 482 punisce invece le stesse condotte di cui agli articoli citati poste in essere, però, da un privato, mentre gli artt. 485 e 486 sanzionano penalmente la falsificazione di scritture private ovvero chiunque formi una scrittura privata abusando di un foglio firmato in bianco.
La Fattispecie di Falsità Ideologica
modificaLa Falsità Ideologica in atti consiste invece nell'attestazione di fatti e situazioni non veritieri. L'atto è quindi autentico dal punto di vista formale, ma il suo contenuto è infedele alla realtà.
La Falsità Ideologica Commessa dal Pubblico Ufficiale
modificaL'art. 479 punisce il pubblico ufficiale che, nell'esercizio delle sue funzioni, attesta in un atto pubblico fatti non veritieri. L'art. 480 punisce invece il pubblico ufficiale che commetta la falsificazione ideologica in certificati o in autorizzazioni amministrative.
La Falsità Ideologica Commessa dal Privato
modificaUna sanzione meno grave spetta invece, secondo l'art. 483, al soggetto privato che dichiari fatti non veritieri al pubblico ufficiale incaricato di redigere un atto pubblico.
Il Cyberstalking
modificaLe condotte del Cyberstalking sono punite come quelle dello stalking che a loro volta configurano il Reato di "Atti Persecutori" (art. 612-bis c.p.), introdotto con il D.L. 23 febbraio 2009, n. 11 (Decreto Maroni).
La norma introduce nel Codice Penale l'articolo 612-bis, rubricato "Atti Persecutori", che al comma 1 recita:
«Salvo che il fatto costituisca più grave reato, è punito con la reclusione da sei mesi a quattro anni chiunque, con condotte reiterate, minaccia o molesta taluno in modo da cagionare un perdurante e grave stato di ansia o di paura ovvero da ingenerare un fondato timore per l'incolumità propria o di un prossimo congiunto o di persona al medesimo legata da relazione affettiva ovvero da costringere lo stesso ad alterare le proprie abitudini di vita» |
A ciò si aggiungono alcune norme accessorie, ossia l'aumento di pena in caso di recidiva o se il soggetto perseguitato è un Minore, il fatto che lo Stalking costituisca un'aggravante in caso di Omicidio e Violenza Sessuale e la possibilità di ricorrere alle misure di indagine previste per i reati più gravi, quali le Intercettazioni Telefoniche e gli Incidenti Probatori finalizzati ad acquisire le Testimonianze di Minori. Questa fattispecie di reato è normalmente procedibile a Querela, ma è prevista la Procedibilità d'Ufficio qualora la vittima sia un minore, una persona disabile, quando il reato è connesso con altro delitto procedibile d'ufficio e quando lo stalker è già stato ammonito precedentemente dal questore.
Il nuovo Istituto costituisce una sorta di affinamento della preesistente norma sulla Violenza Privata: delinea infatti in modo più specifico la condotta tipica del reato e richiede che tale condotta sia reiterata nel tempo e tale da «cagionare un perdurante e grave stato di ansia o di paura» alla vittima.
A marzo 2011, al Convegno milanese dedicato alla tematica, alcuni esperti di diritto, avvocati e professori universitari hanno espresso dubbi di legittimità costituzionale su alcuni aspetti della Legge sullo Stalking.
Le Molestie e Cyberbullismo
modificaMentre alcuni contenuti possono offendere in maniera indiretta, le molestie informatiche possono colpire la sensibilità di chiunque quali commenti sul genere, etnia, religione e orientamento sessuale. Spesso si verificano nelle chat, nei newsgroup, nelle conferenze virtuali, ecc.
Circa le aggressioni alle comunicazioni informatiche è ampliato il concetto di corrispondenza contenuto nel quarto comma dell'art. 616 c.p. che ingloba anche la corrispondenza informatica e telematica e punisce l'intercettazione e l'interruzione di comunicazioni informatiche (art. 617-quater c.p.) e l'installazione di apparecchiature atte ad intercettare o impedire comunicazioni informatiche (art. 617-quinquies), qualora tali condotte non siano esplicitamente autorizzate.
La legge 48/2008 che recepisce la Convenzione di Budapest sul crimine informatico ha modificato il codice penale e quello di procedura penale riconoscendo implicitamente il ruolo dell'informatica forense nel processo penale.
Il Cyberbullismo
modificaIl Cyberbullismo o Ciberbullismo (ossia «bullismo online») è il termine che indica un tipo di attacco continuo, ripetuto, offensivo e sistematico attuato mediante gli strumenti della rete.
Il termine cyberbullying è stato coniato dal docente canadese Bill Belsey. I giuristi anglofoni distinguono di solito tra il cyberbullying (cyberbullismo), che avviene tra minorenni, e il cyberharassment ("cybermolestia") che avviene tra adulti o tra un adulto e un minorenne. Tuttavia nell'uso corrente il termine cyberbullismo viene utilizzato indifferentemente per entrambi i casi. Come il bullismo nella vita reale, il cyberbullismo può a volte costituire una violazione del Codice civile e del Codice penale e, per quanto riguarda l'ordinamento italiano, del Codice della privacy (D.Lgs 196 del 2003).
Oggi il 34% del bullismo è online, in chat, quest'ultimo viene definito cyberbullismo. Pur presentandosi in forma diversa, anche quello su Internet è bullismo: far circolare delle foto spiacevoli o inviare mail contenenti materiale offensivo può costituire un danno psicologico. In Inghilterra, più di 1 ragazzo su 4, tra gli 11 e i 19 anni, è stato minacciato da un bullo via e-mail o sms. In Italia, secondo l’Indagine nazionale sulla Condizione dell’Infanzia e dell’Adolescenza pubblicata nel 2011 (fonte: Eurispes, Telefono Azzurro, 2011) un quinto dei ragazzi ha trovato su Internet informazioni false sul proprio conto: "raramente" (12,9%), "qualche volta" (5,6%) o "spesso" (1,5%). Con minore frequenza si registrano casi di messaggi, foto o video dai contenuti offensivi e minacciosi, ricevuti "raramente", "qualche volta" o "spesso" dal 4,3% del campione; analoga percentuale (4,7%) si registra anche per le situazioni di esclusione intenzionale da gruppi online.
Il Confronto tra Cyberbullismo e Bullismo
modificaRispetto al bullismo tradizionale nella vita reale, il cyberbullismo lo fa su internet talvolta causando danni violenti.
- Anonimato del molestatore: in realtà, questo anonimato è illusorio, ogni comunicazione elettronica lascia pur sempre delle tracce. Per la vittima, però, è difficile risalire da sola al proprio molestatore; inoltre, a fronte dell'anonimato del cyberbullo, spiacevoli cose sul conto della vittima (spesse volte descritta in modo manifesto, altre in modo solo apparentemente non riconducibile alla sua identità) possono essere inoltrate a un ampio numero di persone.
- Difficile reperibilità: se il cyberbullismo avviene via SMS, messaggistica istantanea o mail, o in un forum online privato, ad esempio, è più difficile reperirlo e rimediarvi.
- Indebolimento delle remore etiche: le due caratteristiche precedenti, abbinate con la possibilità di essere "un'altra persona" online (a guisa di un gioco di ruolo), possono indebolire le remore etiche: spesso la gente fa e dice online cose che non farebbe o direbbe nella vita reale.
- Assenza di limiti spaziotemporali: mentre il bullismo tradizionale avviene di solito in luoghi e momenti specifici (ad esempio in contesto scolastico), il cyberbullismo investe la vittima ogni volta che si collega al mezzo elettronico utilizzato dal cyberbullo (WhatsApp, Facebook, Twitter, blogs, ecc.)
Come nel bullismo tradizionale, però, il prevaricatore vuole prendere di mira chi è ritenuto "diverso", solitamente per aspetto estetico, timidezza, orientamento sessuale o politico, abbigliamento ritenuto non convenzionale e così via. Gli esiti di tali molestie sono, com'è possibile immaginarsi a fronte di tale stigma], l'erosione di qualsivoglia volontà di aggregazione e il conseguente isolamento, implicando esso a sua volta danni psicologici non indifferenti, come la depressione o, nei casi peggiori, ideazioni e intenzioni suicidarie. Spesso i molestatori, soprattutto se giovani, non si rendono effettivamente conto di quanto ciò possa nuocere all'altrui persona. Il fenomeno del cyberbullismo si può considerare strettamente correlato a quello dei cosiddetti "leoni da tastiera".
I Tipi di Cyberbullismo
modificaCategorie di cyberbullismo:
- Flaming: messaggi online violenti e volgari (vedi "flame") mirati a suscitare battaglie verbali in un forum.
- Molestie (harassment): spedizione ripetuta di messaggi insultanti mirati a ferire qualcuno.
- Denigrazione: sparlare di qualcuno per danneggiare gratuitamente e con cattiveria la sua reputazione, via e-mail, messaggistica istantanea, gruppi su social network, etc.
- Sostituzione di persona ("impersonation"): farsi passare per un'altra persona per spedire messaggi o pubblicare testi reprensibili.
- Inganno: (trickery); ottenere la fiducia di qualcuno con l'inganno per poi pubblicare o condividere con altri le informazioni confidate via mezzi elettronici.
- Esclusione: escludere deliberatamente una persona da un gruppo online per provocare in essa un sentimento di emarginazione.
- Cyberpersecuzione ("cyberstalking"): molestie e denigrazioni ripetute e minacciose mirate a incutere paura.
- Doxing: diffusione pubblica via internet di dati personali e sensibili.
- Minacce di morte.
L'Information Warfare
modificaL'Information Warfare (IW) o Guerra dell'Informazione è una metodologia di approccio al conflitto armato, imperniato sulla gestione e l'uso dell'informazione in ogni sua forma e a qualunque livello con lo scopo di assicurarsi il decisivo vantaggio militare specialmente in un contesto militare combinato e integrato. La guerra basata sull'informazione è sia difensiva che offensiva, spaziando dalle iniziative atte a impedire all'avversario di acquisire o sfruttare informazioni, fino alle misure mirate a garantire l'integrità, l'affidabilità e l'interoperabilità del proprio assetto informativo.
Nonostante la connotazione tipicamente militare, la guerra basata sulle informazioni ha manifestazioni di spicco anche nella politica, nell'economia, nella vita sociale ed è applicabile all'intera sicurezza nazionale dal tempo di pace al tempo di guerra. Infine la guerra basata sulle informazioni tende a colpire l'esigenza di comando e controllo del leader nemico e sfrutta le tecnologie per dominare il campo di battaglia.
In realtà in concetto di information warfare è stato ripreso e formulato da numerosi studiosi ed enti di ricerca accademici e militari.
Le Sette Forme della Guerra dell'Informazione
modificaIl professor Martin C. Libicki, dell'Institute for National Strategic Studies, specifica che esistono distinte forme di guerra dell'informazione, ognuna con proprie caratteristiche.
Si hanno quindi sette diverse forme di scontro con l'avversario, sia esso politico, militare o economico, che sono:
- Command and Control Warfare (C2W) (Guerra di Comando e Controllo), che mira a colpire la testa e il collo dell'avversario.
- Intelligence-Based Warfare (IBW) (Guerra Basata sulle Informazioni), che consiste nel progettare e proteggere propri sistemi per la gestione dell'informazione e nell'ingannare e inquinare quelli avversari al fine di dominare il campo di battaglia.
- Electronic Warfare (EW) (Guerra Elettronica) che sfrutta sofisticati apparati radioelettronici e strumenti di crittografia.
- Psychological Warfare (PSYOP) (Guerra di Operazioni Psicologiche sui Singoli o sulla Massa) in cui l'informazione è adoperata per influire e per modificare pensieri e opinioni di soggetti amici neutrali o nemici.
- Hacker Warfare (HW) (Guerra degli Esperti Informatici) che prevede l'attacco a computer, reti telematiche e sistemi di elaborazioni dati.
- Economic Information Warfare (EIW) (Guerra delle Informazioni a Rilievo Economico) con la paralisi delle informazioni o il loro pilotaggio volto a garantire la supremazia economica.
- Cyberwarfare (Guerra Cibernetica), che è la sintesi delle operazioni più futuribili sul campo di battaglia con l'utilizzo di alta tecnologia informatica, elettronica, satellitare ecc.
Lo Spaccio di Sostanze Illecite
modificaI trafficanti di droga stanno ottenendo vantaggi economici tramite messaggi criptati e altre tecnologie virtuali. Gli acquirenti frequentano determinati locali come, ad es., i coffee shop o i milk bar utilizzando siti web finti allo scopo di individuare intere partite di pillole e quantità di anfetamine in chat room.
L'aumento dello spaccio via internet potrebbe essere attribuito alla carenza di comunicazioni dirette in modo da stimolare qualsiasi persona ad acquistare la droga. Gli effetti che sono spesso associati allo spaccio di droga, infatti, sono minimizzati e filtrati dai processi che intervengono dall'interazione virtuale.
Il Terrorismo
modificaAgenti governativi e di sicurezza hanno registrato un sensibile incremento dei problemi virtuali sin dal 2001. Ma c'è una buona parte di coloro che ritengono le intrusioni come parte di un disegno terroristico più grande.
Un terrorista informatico, quindi, è un individuo o un gruppo di soggetti che, tramite l'attacco informatico, la rete o l'acquisizione segreta di informazioni, ricatta o pone in pericolo un governo o un'azienda al fine di ottenere qualcosa in contropartita per raggiungere i propri fini criminali. Il racket delle estorsioni in informatica in particolare, è una forma di terrorismo informatico nella quale un sito, un'email o un server è soggetto a ripetuti attacchi da parte di hackers al fine di ottenere denaro. Seguendo l'FBI, l'estorsione informatica è in aumento nei confronti di aziende e servizi privati, nella media di venti casi al mese, che si trovano costretti a sborsare milioni di dollari pena l'irrimediabile perdita di tutti i propri dati e sistemi informatici.
Il Crimine Informatico in Italia
modificaAl contrasto del fenomeno è deputata la polizia postale e delle comunicazioni; nei casi di pirateria informatica, è punita l'appropriazione indebita dell'idea originale.
Gli oggetti che si intende tutelare sono di diversi tipi:
- Le riproduzioni topografie. La legge 70 del 21 febbraio 1989, n. 70 tutela le topografie di prodotti a semiconduttori ovvero i tracciati incisi sulle piastrine di silicio. A tal proposito non sono previste sanzioni penali per le violazioni dei diritti nonostante la Raccomandazione del 13 settembre 1989 del Consiglio d'Europa le preveda.
- I software. Con la modifica della legge 633 del 22 aprile 1941 sul diritto d'autore, i programmi per elaboratore vengono inclusi tra le opere di ingegno. In seguito alla Direttiva CEE del 14 maggio 1991 recepita dal Dlgs 518 del 29 dicembre 1992, si vuole prevenire la duplicazione e la vendita dei programmi a fine di lucro (art. 171-bis 1.a.). La sanzione pecuniaria prevista è successivamente aggravata dal Dlgs 205 del 15 marzo 1996.
- I database. Il Dlgs 169 del 6 maggio 1999 riconosce i diritti di esclusiva al creatore del database (artt 64-quinquies e sexies) e il diritto di tutela al "costitutore" del database, ovvero a colui che effettua investimenti in termini di tempo e denaro per raccogliere e inserire materiale nel database, con il fine di salvaguardare il valore patrimoniale dell'investimento.
- Le opere fonografiche e videografiche. Gli abusi di duplicazione e distribuzione vengono disciplinati dalla legge 406 del 29 luglio 1981, mentre le opere cinematografiche destinate al circuito cinematografico e televisivo sono tutelate dalla legge 400 del 20 luglio 1985.
- Le modifiche hardware a consolle per videogiochi sono state fatte rientrare, dalla giurisprudenza, nell'ambito della tutela del diritto d'autore. In giurisprudenza è ancora aperto il dibattito sulla legittimità dei modchip, da quando il Tribunale penale di Bolzano, con la sentenza 20 dicembre 2005, li ritenne legali, ma altri tribunali si dimostrarono di avviso contrario.