Il fenomeno della criminalità informatica, sia nell’accezione della commissione di reati “classici” mediante la rete (es. truffa on line, sostituzione di persona), sia nell’accezione dei reati informatici in senso stretto (es. accesso abusivo a sistema informatico, sottrazione dati informatici) appare ormai fuori controllo.

Di converso, i Governi sono sempre più lenti nell’adottare misure efficaci finalizzate al contrasto (o meglio, alla prevenzione) del fenomeno.

Ecco perché è una buona notizia che le Nazioni Unite l’8 agosto 2024 hanno definitivamente approvato la bozza del Trattato globale sulla criminalità informatica che adesso dovrà essere approvato dall’Assemblea Generale, per poi passare alla ratifica da parte degli Stati firmatari.

Il trattato globale sulla criminale informatica dell’Onu

Rubricata come Convenzione ONU contro la criminalità informatica, il documento finale si pone lo scopo di «Rafforzare la cooperazione internazionale per il contrasto di alcuni reati commessi mediante sistemi tecnologici dell’informazione e della comunicazione e per la condivisione delle prove in formato elettronico di reati gravi» mediante gli strumenti tipici della cooperazione internazionale in materia penale e dell’armonizzazione delle legislazioni.

I contenuti della convenzione Onu

Andando con ordine, fra i preamboli del documento è degno di nota quello secondo cui «l’allarmante l’uso dei sistemi ICT possa avere un impatto considerevole sull’entità, sulla velocità e sulla portata dei reati, compresi quelli legati al terrorismo e alla criminalità organizzata transnazionale, come la tratta di persone, il traffico di migranti, la produzione illecita ed il traffico di armi da fuoco, di loro parti, componenti e munizioni, traffico di stupefacenti e traffico di beni culturali »; l’accento del legislatore sovranazionale riguarda i reati più preoccupanti che possono essere agevolati dalle tecnologie IT, con particolare riguardo al terrorismo, alla criminalità organizzata ed al traffico di stupefacenti.

L’art. 1 (Dichiarazione d’intenti) così dice:

«Gli scopi della presente Convenzione sono:

(a) Promuovere e rafforzare le misure per prevenire e combattere la criminalità informatica in modo più efficiente ed efficace;

(b) Promuovere, facilitare e rafforzare la cooperazione internazionale nella prevenzione e nella lotta alla criminalità informatica;

(c) Promuovere, facilitare e sostenere l’assistenza tecnica e il rafforzamento delle capacità per prevenire e combattere la criminalità informatica, in particolare a beneficio dei paesi in via di sviluppo.»

D’altro canto, il vero problema della criminalità “organizzata” informatica sta nella delocalizzazione e diffusione delle fonti di attacco, situate, nella maggior parte dei casi, in paesi in via di sviluppo o con economie emergenti: ci si trova innanzi ad un vero e proprio “far west” fatto di proxy, bot server e computer zombie che rendono impossibile seguire le tracce informatiche, se non con un’efficace collaborazione delle autorità locali.

Gli articoli successivi stabiliscono le linee guida generali in ordine all’applicazione della convenzione e si fondano su due direttrici:

• L’inviolabilità della sovranità nazionale e dell’integrità territoriale -cui consegue il divieto di intervento da parte degli altri Stati parte negli affari nazionali- ed il rispetto della giurisdizione nazionale (art. 5);
• L’obbligo, da parte degli Stati parte, di osservare il diritto internazionale umanitario nell’applicazione della convenzione e di non violare, in alcun modo, i diritti umani o le libertà fondamentali con particolare riguardo alle libertà di espressione, di coscienza, di opinione, religione o credo, riunione ed associazione (art. 6).

L’obbligo di introdurre specifiche figure di reato

Segue l’obbligo di introdurre specifiche fattispecie incriminatrici in relazione a:

• Accesso abusivo a sistema informatico e sottrazione di dati informatici (art. 7);
• Intercettazione informatica illegale (art. 8)
• Danneggiamento, cancellazione, deterioramento, soppressione, o alterazione di dati (art. 9);
• Procurato malfunzionamento di un sistema informativo o di una rete dati mediante le operazioni di cui al punto precedente; (art. 10);
• Ottenimento, produzione, vendita, intermediazione, importazione, distribuzione o con altra forma di cessione di dispositivi hardware e software che agevolino la commissione dei fatti di cui ai punti precedenti o di credenziali di accesso, password firme elettroniche o dati ad essi assimilabili per l’accesso abusivo a sistema informativo o parte di esso (art. 11); anche il possesso degli strumenti precedenti, con l’intenzione fraudolenta, dovrà essere considerato reato: in ogni caso ogni Stato potrà decidere di non applicare l’art. 11 a  condizione che la riserva non riguardi la vendita, la distribuzione o altrimenti la messa a disposizione degli strumenti già descritti;
• L’immissione, l’alterazione, la cancellazione o la soppressione di dati elettronici che danno luogo a dati non autentici che sarebbero stati utilizzati a fini legali (art. 12), previa verifica dell’intento fraudolento da parte dell’agente;
• Truffa alterando, cancellando o sopprimendo dati elettronici, interferendo con il funzionamento di un sistema informativo o utilizzando mezzi fraudolenti per mezzo della rete tali da limitare la volontà della persona offesa (art. 13);
• Pedopornografia infantile in ogni sua forma (detenzione, produzione, ricerca ecc..) anche in relazione a materiale virtuale e con la possibilità che ogni Stato membro decida di non considerare reato: l’autoproduzione di materiale pedopornografico o la produzione, trasmissione o il possesso di detto materiale purché sia consensuale e rimanga nella disponibilità e nell’uso esclusivo delle persone coinvolte e sempre in accordo con la normativa nazionale (art. 14);
• Condotte di adescamento di minori, ovvero il c.d. “grooming” (art. 15);
• Condotte di diffusione illecita di immagini sessualmente esplicite (art. 16), il c.d. “revenge porn”;
• Riciclaggio, autoriciclaggio, ricettazione, associazione a delinquere finalizzata alla commissione dei reati prima descritti. (art. 17).

L’armonizzazione delle procedure, delle misure di sicurezza e della cooperazione investigativa

La Convezione richiede poi agli Stati membri:

• Di estendere la responsabilità dei reati previsti anche alle persone giuridiche (in Italia sarà necessario aggiornare il catalogo ex D.Lgs. 231/2001);
• Di prevedere la partecipazione a titolo di concorso e di tentativo e di preparazione in relazione ai reati descritti.

Seguono le regole sui principi di proporzionalità ed efficacia delle pene previste, nonché quelle relative alla giurisdizione, con particolare riguardo all’obbligo di coordinamento delle investigazioni in caso uno Stato sia notificato o che notifichi un’indagine comune.

Gli Stati membri dovranno procedere al sequestro ed alla pronta messa a disposizione in favore di uno Stato richiedente dei dati informatici utili all’indagine che dovranno essere conservati dal privato per un massimo di 90 giorni, oltre ai dati di traffico utili per consentire l’identificazione del responsabile del reato informatico; a tal proposito, gli Stati dovranno prevedere apposite procedure e punti di contatto nazionali.

Gli Stati dovranno, altresì, implementare idonee misure a tutela della sicurezza, segretezza ed integrità dei dati presenti sul proprio territorio.

Oltretutto, andrà assicurata la memorizzazione in tempo reale dei dati di traffico, l’intercettazione del traffico telematico, nonché il freezing, il sequestro e la confisca dei proventi da reato.

Viene dedicata una specifica norma alla condivisione, a fini investigativi, dei precedenti penali di persone che abbiano commesso i reati previsti nella convenzione.

Programma di protezione testimoni delle vittime da reato ed estradizione

Assai interessanti sono le disposizioni a tutela dei testimoni di giustizia e delle vittime di reati informatici per i quali gli Stati membri devono assicurare adeguata protezione e sostegno in caso di minaccia o pericolo, prevedendo anche misure di sostegno economico, psicologico e di rifusione economica.

Come già detto, lo spirito della Convenzione è quello di rendere effettiva la cooperazione internazionale in tema di reati informatici, elidendo una volta per tutte l’impunità dovuta alla delocalizzazione o al mascheramento degli IP; da questo punto di vista sono state accelerate le procedure di estradizione, trasferimento dei condannati e di spostamento del processo se ciò sia giustificato dall’interesse di giustizia di uno Stato richiedente.

In ogni caso, vengono enunciati i casi di mutua assistenza legale (es. esame documenti, ispezioni, interrogatori, recupero proventi da reato) e i diritti delle persone coinvolte sia come condannati, che come testimoni.

Molto spazio viene dedicato alle procedure di mutua assistenza in caso di registrazione dei dati in tempo reale, intercettazione telematica, accesso ai file, confisca dei proventi da reato.

La Convenzione prevede, altresì, indagini congiunte su richiesta di uno Stato membro e l’obbligo di adottare idonee misure di prevenzione.

Criminalità informatica, perché un trattato globale può mettere a rischio i diritti umani

Un bilancio sul Trattato globale Onu sulla criminalità informatica

Siamo alla fine di un lungo percorso. L’Assemblea Generale delle Nazioni Unite, mediante la Risoluzione 74/247 del 27/12/2019 intitolata «Contrasto all’utilizzo delle tecnologie ICT per scopi criminali» istitutiva  un Comitato intergovernativo di esperti di tutti i paesi con il compito di elaborare una Convenzione globale sul contrasto all’uso delle tecnologie dell’informazione e della comunicazione per commettere reati.

Il documento attuale è frutto di quel Comitato.

In realtà, il Consiglio d’Europa si era già dotato della Convenzione di Budapest contro la Criminalità informatica del 2001 che ha armonizzato le legislazioni 76 paesi, divenendo, di fatto, un sostanziale modello di riferimento della Convenzione ONU arrivata nella sua elaborazione finale con parecchie riserve.

Difatti, da un lato la Russia ha mosso le critiche per l’eccessiva enfasi posta sui diritti umani, mentre gli Stati Uniti, nonostante l’iniziale scetticismo, hanno appoggiato il trattato: in ogni caso, il documento finale è stato approvato nella versione che si andrà ad analizzare per sommi capi.

Il lungo lavoro che ha portato alla redazione della bozza di convenzione è stato caratterizzato da una continua ricerca di punti di contatto fra paesi con diversi impianti istituzionali e sistemi giudiziari e, soprattutto, con limitate risorse da dedicare alla prevenzione, alla repressione ed alla cooperazione in tema di reati telematici.

Tuttavia, appare un buon inizio tenendo conto che molti dei principi della Convenzione ONU posso essere sovrapposti alla Convenzione di Budapest, già ratificata e adottata da oltre 20 anni da più di 70 di Paesi.

Staremo quindi a vedere come, negli anni futuri, cambierà l’approccio dei Governi verso la tutela della sicurezza informatica sia pubblica che privata, bene la cui tutela appare non è più procrastinabile.

Fonti

• https://clusit.it/rapporto-clusit/;
• A. Mattarella, La futura convenzione ONU sul cybercrime e il contrasto alle nuove forme di criminalità informatica, Sistema Penale Fasc. 3/2022 pag. 41-75;
• https://www.federprivacy.org/informazione/flash-news/approvato-dall-onu-il-primo-trattato-internazionale-contro-il-cybercrime ;
• https://www.undocs.org/Home/Mobile?FinalSymbol=A%2FAC.291%2FL.15&Language=E&DeviceType=Desktop&LangRequested=False.