Il diritto italiano ed internazionale nell’epoca dei cybercriminali

Il diritto italiano ed internazionale nell’epoca dei cybercriminali

Il mondo Cyber. Passeggiando per la città di Austin in Texas non è  difficile incontrare qualche vecchio nostalgico che indossa ancora la maglietta col motto “Old Austin”, ricordando quando negli anni 60, la città offriva riparo e riposo a pittori, musicisti e bohemiens, guadagnandosi la fama di città artistica, nonché adottando un nuovo motto” The Live Music Capital of the World”. La “Old” era già cambiata moltissimo dalla metà dell’800, quando un imprenditore di nome Fred Austin, persona dal quale prende il nome il paese, condusse 300 famiglie dallo stato della Virginia nel Texas, guadagnandosi  con le armi il diritto di vivere vicino alle sponde del fiume Colorado. Anche i tempi della beat generation  e degli artisti  come Willie Nelson , Asleep at the Wheel e Stevie Ray Vaughan nonché dei locali storici come il caratteristico tempio del rock locale l’Armadillo World Headquarters erano passati. Un altro motto guadagnava il posto,  identificando meglio lo spirito del suo tempo, ovvero “Keep Austin Weird”. Il locale rock aveva lasciato posto ai lucenti e cristallini grattacieli, headquarters di importanti società come IBM, Amazon, Microsoft, Intel, Tesla nonché Meta e SolarWinds(SW). L’agglomerato di società tech non poteva non essere terreno fertile per uno degli attacchi hacker più importanti della storia.

Sul finire del Novembre del 2019, alla sede della SW  i giorni erano pressoché tranquilli, gli oltre 3000 dipendenti lavoravano senza sosta affinché i vari prodotti di gestione, monitoraggio ed ottimizzazione delle infrastrutture IT fossero costantemente aggiornati. Tuttavia uno di quest’ultimi incubava in se stesso una backdoor. La modifica dell’aggiornamento iniziò con un esperimento (proof of concept) di un gruppo di hacker russi chiamato Cozy Bear[1]. L’esperimento era andato a buon fine. Si può solo immaginare la soddisfazione degli offensori che avevano trovato, con un metodo alquanto vetusto ma eccezionalmente ingegnoso e complicato,  come impadronirsi di dati riguardanti le supply chain di società importanti inquadrate anche in Fortune 500 o di entrare nelle infrastrutture IT di agenzie governative[2]. Con l’esperimento andato a buon fine, più tardi il gruppo reiterò  l’operazione inserendo ulteriori backdoors come nell’aggiornamento CVE-2020-10148. Tali backdoors rendevano “aperte” intere versioni di Orion  come la versione HF5, DLL 2019.4.5200.9083[4]. L’attacco durò mesi tantoché si evidenzia come alcuni differenziano in più fasi, a seconda della tipologia del malaware, l’attacco Sunburst,Sunspot, Teardrop e Supernova  , attribuendoli anche a gruppi hacker differenti[5][6]. Tuttavia di parere opposto è la  CrowdStrike dove identifica col termine sunspost il contenitore della backdoor quest’ultima chiamata Sunburst. Inoltre la società non attribuisce a nessuno la paternità dell’attacco. In effetti al momento in cui si scrive le considerazioni da avanzare sono tre : la prima è che la backdoor era estremamente ben congegnata e disegnata in maniera tale da essere difficilmente intercettabile. Come ha scritto la CrowdStrike: la backdoor era rinchiusa in un contenitore, il quale aveva, metaforicamente la funzione di cavallo di Troia; la seconda considerazione è in relazione alla paternità[7]. Al netto delle attribuzione non risultano rivendicazioni dalla Cozy Bear  ma semplicemente si è attribuito a loro la paternità degli attacchi sulla base di modus operandi, tuttavia non esistono prove al riguardo o documenti accessibili. Un’altra ancillare considerazione riguarda invece il tempo. Infatti solo nel Dicembre del 2020 la società di cybersecurity  FireEye divulgherà la notizia che la SolarWinds era stata hackerata[8]. La scoperta del massiccio attacco, avvenne in maniera singolare poiché la società di cybersicurezza scopri’ di essere stata violata, attraverso le indagini interne si individuò la presenza della backdoor in un aggiornamento della SolarWinds. Dopo l’attacco la FireEye commentò  che l’attacco fosse stato uno dei più articolati  e massicci mai registrati ed in effetti per quasi nove mesi gli hackers avevano avuto accesso a segmenti di logistica di piccole e grandi società nonché agenzie governative. Il 14 Dicembre alla SEC[9], la SW identificherà una platea di possibili danneggiati in una cifra di circa 18.000 soggetti giuridici e fisici su una platea di clienti di oltre 300.000 soggetti. Tra i mal capitati spiccavano: Amazon, Cisco, Intel, Deloitte, la NASA, l’italiana Telecom e sei agenzie europee.

A metà 2021, la società SolarWinds era ancora sotto attacco, tuttavia aveva speso già 18 milioni[10][11] per le indagini nonché per aggiornare i propri sistemi. Di proseguo alcune stime parlano di una perdita possibile di 90 milioni di dollari[12] complessivi nonché danni  attualmente inquantificabili circa la reputazione nonché perdita di competitività a causa di rallentamenti sofferti. La situazione potrebbe stabilizzarsi solo entro la fine del 2022 o metà 2023.

L’evento della SW ha sollevato importanti questioni circa il diritto internazionale[13], l’importanza della cybersecurity nonché la necessità di una evoluzione normativa e di visione per una minaccia che tendenzialmente è fantasma ma può creare ingenti danni soprattutto immateriali è divenuta causa anche di frizione tra paesi, è pleonastico evidenziare che i paesi maggiormente interessati sono gli Stati Uniti e la Russia. Ma il caso SolarWinds non è stato l’unico nel 2020 e 2021 ma a farle compagnia vi è stata la Colonial Pipeline[14],ovvero la società che gestisce il più grande sistema di oleodotti per prodotti petroliferi raffinati negli Stati Uniti. Il gasdotto è lungo 5.500 miglia e può trasportare fino a 3 milioni di barili di carburante al giorno tra il Texas e New York. L’8 maggio, a seguito di un attacco informatico, si sono fermati 8.850 chilometri di oleodotti. Si pensa che sia stato a causa di un ransomware, ovvero un codice che si installa nel computer nel momento in cui viene scaricato un file infetto e che blocca con una crittografia tutti i contenuti che incontra sulla sua strada. Altro caso è del  14 maggio 2021, la Toshiba ha dichiarato di essere stata hackerata e di aver perso il controllo di circa 740GB di dati personali e informazioni riservate. Il bottino per gli Hackers nei confronti di Luxottica è di circa 2GB di dati. Dati riguardanti il mercato del Sudafrica. L’attacco ha causato il blocco totale delle attività produttive di Luxottica negli stabilimenti di Agordo e Sedico, entrambi nel bellunese, e anche di quelle in Cina. Gli investigatori hanno potuto verificare che gli hacker sono riusciti ad entrare in possesso e a copiare esclusivamente i file inerenti a materiali interni, e quindi nessun dato personale rilevante. Luxottica si è rifiutata di pagare il riscatto nonostante alcuni dati, in particolare quelli del mercato sudafricano, siano stati rubati e quindi persi. Nemmeno il mondo del gaming si è salvato dagli hackers, cosi il  10 giugno i cybercriminali hanno rubato il codice sorgente di FIFA 21 e di Frostbite Engine, trafugando 780GB di dati che poi sono stati messi in vendita. Oltre al codice sorgente di FIFA 21 e Frostbite Engine, gli hacker hanno rubato anche i  dati di DevDit EA, l’insieme di strumenti di sviluppo delle diverse piattaforme di gaming. Sembrerebbe che i dati e le informazioni personali dei giocatori non siano stati violati e che non ci sia stato nessun rischio per la privacy degli utenti. Non poteva mancare la Microsoft. L’attacco al Microsoft Exchange Server è iniziato a Gennaio 2021 ed è stato scoperto a Marzo. I server incriminati sono stati quelli “on-premises” ovvero quelli locali, e non quelli sul cloud. Gli Hackers, entrando nei server, hanno ottenuto il completo controllo delle piattaforme. Tale controllo avrebbe permesso ai criminali di leggere le email dunque di cancellarle, trasferirle nonché secondo la società avrebbero ottenuto il controllo dell’intero sistema. Avrebbero potuto installare anche una “web shell”, un programma che consente di mantenere aperto l’accesso al sistema e di prenderne il controllo anche in futuro ma la risposta della società è stata veloce infatti Microsoft ha risposto all’attacco inserendo una patch, ovvero un aggiornamento correttivo al fine di eliminare le vulnerabilità del sistema. Secondo quanto dichiarato da Microsoft l’attacco sarebbe collegato al governo cinese, il quale ha smentito ogni responsabilità.

Ma la minaccia degli hacker è globale ed è massiccia . Basti vedere gli aggiornamenti del CSIS[15] che prende nota degli attacchi informatici più rilevanti, ad esempio di recente :

“Ottobre 2021.  Secondo un rapporto di CrowdStrike, un gruppo di hacker collegato alla Cina ha ottenuto l’accesso ai record delle chiamate e ai messaggi di testo degli operatori di telecomunicazioni di tutto il mondo. Il rapporto delinea che il gruppo ha iniziato i suoi  attacchi informatici nel 2016 e si è infiltrato in almeno 13 reti di telecomunicazioni.”

“Ottobre 2021.  Un attacco informatico ha preso di mira le carte elettroniche emesse dal governo che gli iraniani usano per acquistare carburante sovvenzionato e ha alterato il testo dei cartelloni pubblicitari elettronici per mostrare messaggi anti-regime contro il leader supremo Ayatollah Ali Khamenei.”

Inoltre secondo i dati diffusi in occasione del mese europeo della cybersecurity da Check point research, divisione Threat intelligence di Check Point Software Technologies[16], quest’anno nel nostro Paese la percentuale di cyberattacchi verso le organizzazioni è cresciuta del 36% rispetto al 2020. Il dato vale il secondo posto, solo dietro alla Spagna, nella speciale classifica, dalla quale si evince anche che settimanalmente le aziende italiane hanno subito 903 attacchi informatici. Nelle altre parti del mondo  l’Africa è l’area maggiormente presa di mira, l’Europa e il Nord America sono alle prese con il più grande aumento del numero di attacchi tra il 2020 e il 2021. Le aziende in Africa hanno registrato il più alto volume di attacchi fino a ora nel 2021, con una media di 1615 attacchi alla settimana per azienda. Questo rappresenta un incremento del 15% rispetto allo scorso anno ed è seguito dalla regione AsiaPacific con una media di 1299 attacchi settimanali per azienda (incremento del 20%), dall’America Latina con una media di 1117 attacchi settimanali (aumento del 37%), dall’Europa con 665 (incremento del 65%) e il Nord America con 497 (57% di crescita).

Dati preoccupanti sono stati pubblicati dalla Cloudflare[17], nel suo rapporto DDoS attack trends for 2021 Q1, evidenzia che nel primo trimestre del 2021, il paese con la più alta percentuale di traffico di attacchi HTTP sono stati  la Cina, gli Stati Uniti, la Malesia e l’ India. Tra i settori maggiormente colpiti quello  delle telecomunicazioni ha subito più attacchi nel primo trimestre, seguito dal Consumer Services, Security and Investigations, Internet e Cryptocurrency. Di proseguo il rapporto individua tra i seguenti server  Jenkins e TeamSpeak3 quelli maggiormente colpiti.

Malgrado l’ultimo rapporto evidenzi l’attacco DDoS, ovvero “ingolfare” il device con eccessive richieste, la tipologia di attacco più utilizzato è il famigerato ransomware, ovvero una forma di ricatto tramite la crittazione di dati e la minaccia di pubblicare dati personali o brevetti, avvenuta dopo una violazione del device. Di proseguo, nel rapporto Global Threat Report 2021[18], redatto e pubblicato da un’azienda leader della cybersecurity come la CrowdStrike, Il  Big Game Hunting, ovvero il nome dato dagli hacker alla sfida di violare i siti di importanti società, si è evoluto nel tempo. Infatti la diffusione dei dati sottratti alle aziende da parte dei gruppi criminali è avvenuta secondo modalità diverse, molti hanno scelto l’esposizione scaglionata. Rilasciando a intervalli regolari blocchi che corrispondono a una determinata percentuale dei dati esfiltrati, il Twisted Spider è diventato il capofila di questa tecnica. Gli altri avversari che hanno adottato la tecnica della diffusione graduale dei dati sono i gruppi hacker Wizard Spider con le vittime di Conti e gli operatori del ransomware MountLocker. Una strategia alternativa consiste nel rilasciare porzioni numerate di dati, come fanno Riddle Spider e Viking Spider, scegliendo manualmente la data del rilascio. Carbon Spider ha sviluppato un sistema automatico che visualizza un orario di pubblicazione predeterminato definito da un conto alla rovescia. In casi più rari, i dati vengono esposti per tipologia: gli avversari creano pacchetti separati con dati personali, informazioni finanziarie, dati aziendali sensibili e informazioni su partner e clienti, e li rilasciano a intervalli regolari. Per le aziende che vantano un forte riconoscimento del marchio, ogni nuova esposizione di dati trova eco sui social media e nei canali di notizie. Gli affiliati di Pinchy Spider hanno adottato questa strategia per un piccolo numero di vittime di REvil, e lo stesso ha fatto Viking Spider A prescindere dalla modalità di esposizione dei dati scelta dal gruppo criminale, l’intento resta quello di fare pressing sull’azienda perché paghi il riscatto.

Ovviamente i settori maggiormente oggetto di tali attacchi sono la ricerca, specialmente nell’ambito dei brevetti, il mondo della manifattura, l’ambito legale ed infine l’ambito sanitario.

Come il lettore avrà potuto ben capire, il mondo cybercriminale è molto più complesso ed evanescente. E’ oramai abbandonata l’idea di hacker che si divertono ad entrare nei sistemi solo seguendo la propria curiosità, un po’ come Kevin Mitnick[19], forse uno degli primi hacker al mondo, che dopo varie vicissitudini hackerando la Apple e la Microsoft, è stato catturato e riconosciuto di non aver mai lucrato sulle informazioni. Dopo essere stato arrestato da un suo “collega” ed aver scontato la pena,  è divenuto  un rinomato consulente informatico, pubblicando le sue “avventure” in libri come l’ “arte dell’inganno”. Oggi la maggior parte degli hacker agisce in gruppo, ad esempio la Cozy Bear, secondo alcuni potrebbero essere circa 80 membri;  il gruppo turco filo marxista RedHack è invece formato da 12 membri circa; il gruppo di White Hackers Caos Computer Club[20] è formato da oltre 5000 membri. Come in ogni formazione sociale, anche il mondo cybercriminale ha i suoi fenomeni. Ad esempio nei primi anni 90,  vi fu la Grande Guerra degli Hacker[21] tra il 1990 ed il 1992. Conflitto tra i Masters of  Deception( MOD ) e una frazione del più vecchio  gruppo legion of Doom ( LOD ). Molto più grave è stata la recente battaglia tra gli hackers della REvil, gruppo russo, nei confronti dell’FBI avvenuta nel Dark Web. Dopo settimane l’agenzia investigativa è riuscita a fermare il gruppo russo. Ma nel mondo cyber esistono anche frazioni e divisioni. Ad esempio, la storica squadra Legion of Doom ( LOD ) si formò dopo una spaccatura  di alcuni membri col gruppo Knights of Shadow. Ma oltre alle divisioni ci sono anche cartelli criminali[22]. Quest’ultimo fenomeno è stato registrato dalla CrowdStrike che ha  identificato due cartelli quello di Maze, un consorzio costituito da Twisted Spider, Viking Spider e dagli hacker del ransomware LockBit, di cui sembra facciano parte anche gli operatori di SunCrypt eWizard Spider e del consorzio similare di “Egregor”, ovvero la continuazione del cartello Maze. Quest’ultimo fenomeno si è caratterizzato per la pubblicazione di dati  a goccia tramite la tecnica del ransomware per spingere le vittime a pagare i riscatti.

Non manca che vedere il “campo di battaglia” ovvero il Dark Web, ovvero quella parte della rete, alla quale si può accedere attraverso appositi browser come Tor. Insomma una parte della rete offuscata che nasconde dentro di esso altri piccoli networks ai quali è possibile accedervi attraverso appositi inviti, semplici iscrizioni oppure passare vari esami, un esempio pratico è il blog di Daniel per le iscrizioni od inviti personali mentre per gli esami ho riscontrato ciò per l’accesso su vari gruppi di hacker, i quali proponevano la risoluzione di un problema come prova di una adeguata competenza in informatica.

Ad oggi il Dark Web è diventato abbastanza famoso tantoché sulla rete Tor esistono oltre 65.000 URL[23] che terminano con .onion. Uno studio del 2018 della società di sicurezza informatica Hyperion Gray ha catalogato circa il 10% di questi siti e ha scoperto che le funzioni più diffuse facilitano la comunicazione tramite forum, chat room e host di file e immagini, nonché il commercio tramite i marketplace. Questi ruoli funzionali, particolarmente legati alla comunicazione, supportano molti usi che sono considerati legali e legittimi nelle società libere. Inoltre, uno studio del 2016 della società di ricerca Terbium Labs che analizza 400 siti .onion selezionati casualmente suggerisce che oltre la metà di tutti i domini sul dark web sono in realtà legali. D’altra parte, le  varie dicerie che sul dark web si possano comprare prodotti illegali è vera, anche se in  alcuni casi(se non molti) sono agenti undercover o semplici truffe. Infatti partendo dalla pagina principale di Hidden Wiki è possibile accedere (o anche tramite l’URL) a vari marketplaces dove è possibile comprare[24] per 15 $ una Mastercard clonata con PIN; 10 $ Accessi bancari online rubati, con C/C con mimino $ 100; per 500 $ è possibile comprare una Carta d’identità nazionale europea; per gli influencers è invece possibile comprare 1000 followers per 10 $ ed infine è possibile assoldare hackers per campagne di diffamazione oppure sicari. Continuando sul tema degli hackers, è in questo luogo che si consumano le faide e le battaglie, come la già citata faida tra la REvil e l’FBI ma è anche piattaforma di scambio per gli  initial access[25] broker, quest’ultimi sono gruppi di hacker che violano i sistemi di grandi aziende o enti governativi e vendono questo accesso su forum underground o tramite canali privati. Gli operatori malware che acquistano accessi diretti ai sistemi possono procedere direttamente all’estorsione e avere prospettive di guadagno molto superiori visto che non perdono tempo a individuare le vittime e a infiltrarne gli ambienti. Alcuni broker usano la tecnica di privilege escalation per ottenere l’accesso come amministratore di dominio – pubblicizzandolo come “accesso completo” – mentre altri si limitano a fornire le credenziali e gli endpoint da utilizzare per accedere al sistema. Sia le operazioni legali che quelle illegali sono concluse col pagamento dell’oramai conosciuta moneta bitcoin. In un recente rapporto [26] di una delle principali società di analisi dei pagamenti crittografici, Chainalysis, mostra che le transazioni  in Bitcoin sul dark web siano cresciute da circa $ 250 milioni nel 2012 a $ 872 milioni nel 2018. L’azienda ha previsto che le transazioni Bitcoin sul dark web raggiungeranno più di $ 1 miliardo nel 2019. Malgrado l’andamento  delle criptomonete sia instabile[27], di conseguenza criticato[28] d’altra parte è un buon indice di come il volume del mercato del dark web sia in netta espansione.

La risposta del diritto. Nel paragrafo precedente si è analizzato, seppur superficialmente, il mondo cyber criminale. Di esso sono state date le coordinate circa i gruppi più importanti, le loro azioni, il loro comportamento ed infine il  loro principale “habitat” ovvero il dark web. Una delle prime risposte del parlamento italiano alle minacce cyber fu durante uno dei periodi più travagliati della repubblica, ovvero i primi anni 90. La crisi politica, dovuta all’esplosione dello scandalo di tangentopoli, alla crisi dei grandi partiti protagonisti della politica nazionale nei decenni precedenti e ad una recessione economica internazionale, aggravata, in Italia, dalle conseguenze di una crisi valutaria che aveva visto la lira esposta ad una speculazione persistente nonché ad una persistente inflazione, erano lo sfondo emergenziale entro il quale il governo Ciampi[29] fu chiamato ad operare per ridare dignità alla politica nonché a condurre la campagna per le privatizzazioni. In tale clima in commissione giustizia[30], su proposta del governo seguendo le raccomandazioni del consiglio europeo  del 9  settembre  1989,  n.  R  (89) , venne trattato per la prima volta il 29 Giugno del 1993 l’atto 2773, ovvero la futura legge 547/93, che introdurrà una decina di articoli riguardanti il cybercrime. Dagli atti della camera[31] risultano le perplessità di un mondo in movimento, perplessità che inficeranno il linguaggio utilizzato e dunque la qualità della legge. Il primo Luglio, l’atto ritornò per una ulteriore votazione, nella discussione spicca l’intervento di Roberto Cicciomessere[32], esponente dei radicali ed informatico. Cicciomessere espose la necessità di tali norme ma evidenziò anche l’estrema difficoltà di applicazione di esse. Tali affermazioni risultano ancora più attuali nonché difficili da applicare. Si pensi alla possibilità degli hacker di mascherarsi, utilizzando la strategia della false flag. Il 6 [33]Luglio, in commissione, le perplessità continuarono ad animare la discussione: da un lato vi fu la comprensione di un problema da affrontare, dall’altra parte invece si ricercano i modelli e le formulazione più idonee: si passò dal modello anglossassone, francese, tedesco per arrivare in Giappone, ma nessuna di essere, parve essere corrispondente, dunque si optò per un aggiustamento del codice. Una volta conclusa la discussione su quale modello fosse maggiormente pertinente la discussione si sposto vagliando anche la giurisprudenza.

Lino Diana, avvocato ed esponente del partito popolare, richiamò l’atteggiamento aggressivo della giurisprudenza del suo tempo che nella volontà di perseguire i reati informatici, la quale si orientò con la teoria del diritto d’autore. Continuò Diana che propose di utilizzare la leva giurisprudenziale al fine di perseguire i vari reati informatici nei limiti del principio del divieto di analogia, d’altra parte approvò la volontà del governo di non utilizzare legislazioni “speciali”. Il 29[34] Luglio, l’atto ritorna in votazione e dopo l’approvazione della legge Rutelli in materia di abrogazione della pena di morte nel codice penale militare in commissione, il tema fu di nuovo sul tavolo e malgrado qualche critica il testo passa con l’ unanimità.

La legge composta da una dozzina di articoli si concentra nell’introduzione di nuove figure di reato nella sezione dedicata all’inviolabilità del domicilio. La sezione, dall’introduzione dell’articolo art. 1, della l. 8 aprile 1974, n. 98 nell’articolo 615bis c.p., ha  ampliato il concetto di proprietà nell’ottica di una progressiva virtualizzazione di essa. Di conseguenza l’introduzione del corpo principale della legge ordinaria nell’ottica di un disegno sempre più complesso e distinto appare ragionevole, tuttavia se anche il corollario degli articolo 615ter e seguenti appaiono maggioritari, la legge ordinaria predispone ulteriori modifiche ed introduzioni sia nel codice penale che nel codice processuale penale.

Volendo esaminare sommariamente gli articoli più importanti certamente spicca l’articolo 615 ter c.p. che tratta i delitti contro la inviolabilità del domicilio. Infatti l’art 615 ter c.p. punisce l’accesso abusivo ad un sistema informatico o telematico protetto, l’analogia con la violazione di un domicilio, anche se digitale, è evidente, infatti un sistema informatico è assimilabile ad un domicilio digitale. Questa previsione normativa sanziona anche chi, pur essendo abilitato all’accesso al sistema, viola le condizioni e i limiti di accesso determinati dal titolare del sistema. Una delle finalità che inducono taluno a compiere un accesso abusivo ad un sistema informatico o telematico protetto, viene esplicitata dall’Art 615 quater c.p., che punisce la detenzione e diffusione abusiva di codici di accesso a sistemi informatici e telematici protetti. Una delle condotte, che integra questo reato, è quella di chi riceve i codici di carte di credito o bancomat da parte di un terzo, per inserirle su carte clonate e prelevare del contante o compiere pagamenti. Spesso il disegno criminoso è articolato in due fasi, la prima è accedere abusivamente al sistema informatico per sottrarre i codici delle carte di credito e nella seconda rivenderli, quindi diffonderli, per poter dar vita a delle carte di pagamento clonate.

Un’altra possibile finalità, che induce taluno ad entrare abusivamente in un sistema informatico o telematico, è sabotarlo, questa condotta è punita dall’art 615 quinquies, che prevede l’irrogazione di una pena per la diffusione di apparecchiature, dispositivi o programmi informatici diretti a danneggiare o interrompere un sistema informatico o telematico.

 L’ art.617 quater c.p. persegue  i casi di intercettazione, impedimento o interruzione illecita di comunicazione informatiche o telematiche   mentre l’art 617 quinquies c.p. sanziona l’installazione di apparecchiature atte ad intercettare, impedire od interrompere comunicazioni informatiche e telematiche, le conseguenze di queste condotte molto spesso portano alla previsione normativa contenuta nell’articolo successivo il 617 sexies c.p. che punisce la falsificazione, alterazione o soppressione del contenuto di comunicazioni informatiche o telematiche. Ultimo articolo particolarmente importante è il 640ter c.p. che introduce la frode informatica. Introdotto come prosecuzione logico/sistematica dell’art 640 c.p., che disciplina il reato di truffa. Infatti, la frode informatica è strettamente riconnessa alla truffa, poiché in entrambi gli articoli viene punito il conseguimento di un ingiusto profitto. Nella frode informatica viene sanzionata l’alterazione, in qualsiasi modo, del funzionamento di un sistema informatico al fine di trarne un ingiusto profitto, nella truffa viene punito il conseguimento di un ingiusto profitto attraverso l’uso di artifizi o raggiri. Una delle frodi informatiche più comuni, è la pratica del phishing.

Ciò che colpisce nell’intervento legislativo del 1993 è la terminologia. Nella norma sull’accesso abusivo nel sistema informatico si utilizza, infatti, l’espressione “si introduce” (ripresa dall’art. 614 c.p.), la quale risulta essere impropria in quanto non attinente alla realtà informatica, perché tale locuzione allude al passaggio fisico di chi varca un confine spaziale di un luogo. Quando, invece, ci si imbatte nella realtà cibernetica le tradizioni categorie spazio-temporali vanno abbandonate per cui il termine “introduzione” risulta anacronistico, in quanto non adeguato a tale mondo. Di fatti, le nuove caratteristiche di quello che oggi è definito come cyber space sono: la smaterializzazione di dati e informazioni che vengono scambiati nel mondo virtuale, la delocalizzazione (superamento delle tradizionali categorie spaziali),la de- temporalizzazione (nel cyber space anche le categorie cronologiche saltano), l’ubiquità, la velocità, l’anonimato.

Altra critica alla legge deriva dall’assenza di definizioni[36] invero nemmeno nella successiva legge  n. 48 del 18 marzo 2008, esse sono presenti. A tale vuoto normativo la più recente giurisprudenza in materia riconduce la definizione più complessa, ovvero sistema informatico, alla sentenza delle Sez. U, N. 17325 del 26/03/2015 per altre definizioni si affida alla convenzione di Budapest.

Il primo intervento normativo, seppur importante, presentava le precedenti critiche alla quale si deve aggiungere la limitazione dell’essere una legge nazionale. A tale andamento si sviluppò nella sede del consiglio europeo l’idea di dare vita ad una convenzione internazionale cosi da fronteggiare la minaccia cyber. La convenzione di Budapest sarà firmata il  23 novembre del  2001 mentre acquisterà  la sua efficacia nel 2004. La convenzione strutturalmente mira ad essere un elenco di “linee-guida” e  di definizioni con la pretesa di  raggiungere due principali obiettivi ovvero perseguire i cybercrime in tutti i paesi nonché armonizzare le varie legislazioni. Ma le opinioni sulla bontà della convenzione non sono unanimi. E’ vero che la convenzione aiuta l’armonizzazione di procedure nonché agevola l’ estradizione ed il perseguimento dei crimini online ma  gli scettici[37] sottolineano che per fungere da deterrente il numero degli stati sarebbe dovuto essere maggiore. I critici hanno notato che gli stati, i quali hanno partecipato ai negoziati della convenzione, non sono i “paesi problematici” in cui i criminali informatici operano in modo relativamente libero. Gli hacker indirizzano spesso attacchi informatici attraverso portali in Cina,Russia,Iran, Yemen o Corea del Nord, nessuno dei quali fa parte della Convenzione. Anzi la Russia[39] nel Giugno del  2021 ha proposto una propria convenzione.

Tra le nazioni che hanno ratificato la convenzione è presente l’Italia, la quale contestualmente alla legge di ratifica, ha approfittato con la   Legge 18 marzo 2008, n. 48 pubblicata in Gazzetta Ufficiale 4 aprile 2008, n. 80, di apportare modifiche ed integrazioni agli articoli introdotti dalla legge 547/93. Una prima integrazione è fatta all’articolo 615 quinques ove la condotta punita consiste nel “procurarsi, produrre, riprodurre, importare, diffondere, comunicare, consegnare, mettere a disposizione di altri apparecchiature, dispositivi o programmi informatici” e l’azione deve essere volontariamente e consapevolmente finalizzata a “danneggiare illecitamente un sistema informatico o telematico, le informazioni, i dati o i programmi in esso contenuti o ad essi pertinenti” oppure a “favorire l’interruzione, totale o parziale, o l’alterazione del suo funzionamento”. A detta di Andrea Calice[40], procuratore della repubblica, la nuova norma sarebbe stato rivista l’estensione della portata della norma sotto il profilo oggettivo e la riformulazione dell’elemento soggettivo in termini di dolo specifico anziché generico. Altra importante integrazione è stata fatta “dividendo” l’articolo 635 bis in nuovi quattro articoli. La modifica ed integrazione ha avuto l’obiettivo di andare incontro alla convezione ma anche specificare alcune dinamiche della fattispecie del danneggiamento informatico che la Convenzione distingue e disciplina in due separati articoli il danneggiamento dell’integrità dei dati e il danneggiamento dell’integrità del sistema, introducendo anche una disciplina penale differenziata a seconda che l’oggetto della tutela abbia, o meno, rilevanza a fini pubblicistici. Altra modifica riguarda l’art. 491-bis c.p., con riferimento alla definizione di documento informatico (nel testo previgente, era indicato come “supporto informatico contenente dati o informazioni aventi efficacia probatoria programmi destinati ad elaborarli”; infatti, ai fini penali, si è accolta la nozione di documento informatico contenuta nel D.P.R. 513/97, in cui viene definito come “rappresentazione informatica di atti, fatti o dati giuridicamente rilevanti”, abrogando il secondo periodo dell’art. 491-bis c.p.  Altre modifiche  sono state fatte agli articoli 244,247,259,352 e 354 c.p.p. che, in sintesi, espandono le misure cautelari come il sequestro anche ai dati ed apparecchi informatici. Ultima modifica è stata fatta al Codice della Privacy (Dlgs 196/2003) che introduce la  possibilità da parte del  Ministro dell’interno o, su sua delega, i responsabili degli uffici centrali specialistici in materia informatica o telematica della Polizia di Stato, dell’Arma dei carabinieri e del Corpo della guardia di finanza, nonché gli altri soggetti indicati nel comma 1 dell’articolo 226 delle norme di attuazione di ordinare, anche in relazione alle eventuali richieste avanzate da autorità investigative straniere, ai fornitori e agli operatori di servizi informatici o telematici di conservare e proteggere, secondo le modalità indicate e per un periodo non superiore a novanta giorni, i dati relativi al traffico telematico, esclusi comunque i contenuti delle comunicazioni, ai fini dello svolgimento delle investigazioni preventive previste dal citato articolo 226 delle norme di cui al decreto legislativo n. 271 del 1989, ovvero per finalità di accertamento e repressione di specifici reati.

Altro intervento legislativo degno di nota è certamente, anche se marginale, l’adozione del  codice della privacy (Dlgs 196/2003). Il codice è la base per una delle figure prodromiche nell’era dei dati, ovvero il garante della privacy. In sintesi, il garante provvede alla trasparenza nonché alla regolarità dei trattamenti dei dati ma con lo sviluppo dell’era di un mondo sempre più connesso e smaterializzato anche il suo ruolo assume una rilevanza maggiore nonché un aumento delle competenze. A tal punto un recente articolo dell’avvocato Borghi(41) evidenzia le principali fattispecie di reati che riguardano il garante circa i cybercrime. Borghi evidenzia che tra le fattispecie legate direttamente al GDPR sono : Trattamento illecito di dati personali ,la fattispecie riguardante la comunicazione e diffusione illecita di dati personali oggetto di trattamento su larga scala,  la  violazione delle disposizioni in materia di controllo a distanza e indagini sulle opinioni dei lavoratori, e la fattispecie legata alla compliance aziendale, ovvero all’adozione di protocolli idonei a diminuire il rischio base(Risk Base).

CSIRT. Ma l’azione di contrasto al cybercrime non è solo di carattere legislativo ma anche politico. Infatti seguendo il format dei CERT, il bel paese ha seguito l’esempio di altri paesi come la Francia, Germania, Stati Uniti,Giappone e Russia, ovvero quello di dotarsi di una unità, o meglio agenzia governativa, che si occupi della protezione dalle minacce informatiche. L’agenzia italiana chiamata Csirt è la nuova agenzia nata nell’agosto del 2021 ed apparterrà alla galassia dell’intelligence italiana.

La storia del Csirt inizia nel 2016, quando l’Unione Europea si  dotò della direttiva 2016/1148(detta NIS)[42].  La direttiva mirava  ad armonizzare i   livelli di sicurezza informatica dei paesi europei, di conseguenza anche all’Italia, in alcuni campi ovvero energia, trasporti, banche, mercati finanziari, sanità, fornitura e distribuzione di acqua potabile e infrastrutture digitali; nonché motori di ricerca, servizi cloud e piattaforme di commercio elettronico. All’adempimento dell’ art 7 di tale direttiva, l’Italia si dotò di una propria strategia nazionale di cybersecurity col D.Lgs.65/18 prendendo molti spunti da precedenti relazioni dei SISR[43]. La strategia nazionale si completerà nel 2019  con l’istituzione del  perimetro di  sicurezza nazionale cibernetica e l’istituzione del CSIRT col DPCM 8 agosto 2019, recante le “Disposizioni sull’organizzazione e il funzionamento del Computer security incident response [44].Forse anche a causa del cambio di governo dal Conte II al governo Draghi si sono registrati dei rallentamenti e delle modifiche che hanno ritardato la concretizzazione del Csirt e del  D.L.48 la cui stabilità  è stata acquisita solo nell’Agosto del 2021[45].

In sintesi i legislatori hanno deciso che  il Csirt sostituirà il Cert-Pa e il Cert nazionale, le due strutture che finora avevano supportato rispettivamente le pubbliche amministrazioni e il settore privato nella prevenzione e nella risposta agli incidenti cyber. La nuova agenzia avrà nel DIS[46] il suo punto apicale e sarà dunque il centro di coordinamento delle attività inerenti alla sicurezza delle reti e dei sistemi informativi, ma anche della cooperazione fra autorità competenti Nis italiane ed altre autorità di Paesi Ue, così come con il Gruppo di cooperazione della Commissione Ue. In poche parole, il nuovo Csirt renderà, attraverso un sistema cloud, più semplice e immediata la gestione tecnica degli incidenti informatici a livello nazionale e internazionale. Fra i compiti del Csirt italiano rientrerà non solo la prevenzione degli incidenti cyber, ma anche la ricezione delle segnalazioni, l’invio di informazioni al soggetto vittima di un incidente/attacco, il coordinamento informativo con le autorità degli altri Stati Ue. Nello svolgimento delle sue funzioni il Csirt sarà coadiuvato dall’Agid (Agenzia per l’Italia digitale).

L’operazione di costituzione si è conclusa nel 2/11 quando il premier Mario Draghi ed il ministro dell’economia Daniele Franco hanno firmato il decreto che dà il via al “trasloco” di una parte dell’intelligence nella nuova agenzia che dovrà garantire la “cyber-resilienza” del Paese.

Conclusioni.A conclusione di questi brevi e certamente superficiali paragrafi si è  voluto dare un’accenno  di come sia composto il mondo dei cybercriminali. A seguito, si è vista l’evoluzione legislativa italiana partita dall’impulso dell’UE. Si è visto come i mezzi di contrasto non siano solo legislativi ma concernente anche l’ambito delle  policies come l’istituzione di apposite agenzie. Quest’ultime incastrate sempre più in quadro internazionale, si veda la convenzione di Budapest, la NIS oppure la nuova proposta dell’UE della NIS2, una nuova direttiva che ha l’obiettivo di garantire maggiore sicurezza, certamente una direttiva che va a certificare l’esperienza ambigua della NIS1 che ha avuto tra i suoi lati positivi   l’aver dato un impulso importante  all’Italia nel dotarsi, anche se con un marcato ritardo, di una agenzia di cybersicurezza mentre d’altra parte gli effetti della NIS sono rimasti abbastanza oscuri.  A questa crescente consapevolezza dei reati informatici anche la giurisprudenza in un importante convegno tenutosi presso la corte di Cassazione[47] ha iniziato un percorso di riflessione sulle varie figure del reato informatico. Una figura che consta non solo  dei classici elementi del reato ma evidenzia anche elementi , a detta dell’autore, che immergono il diritto in una nuova dimensione dove il reato non è solo un fatto statico ma liquido e dunque capace di una maggiore difficoltà al ritorno dello status quo ante nonché ad una azione presuntivamente offensiva nel tempo poiché come si è visto nel paragrafo 2 difficilmente, anche in presenza del diritto all’oblio, i dati possono essere realmente cancellati. Basta un backup. In via di conclusione la via del diritto è certamente importante ed assumerà una reale effettività solo in una visione mondiale. Si pensi che gli hackers della Cozy bear non sono stati catturati cosi come in tanti altri casi, tuttavia in questo panorama pare che il diritto debba assumere una veste importante ma anche ancillare poiché la differenza nel mondo dei cybercriminali  la  farà la preparazione delle forze di polizia, degli utenti nonché dei membri del mondo giuridico e politico; altro punto importante sarà anche l’aggiornamento dei sistemi e dei computer poiché come si è visto nel punto 2 il reato  informatico può avere una sua afflittività e un tempo di recovery per gli utenti, specialmente soggetti aziendali, molto lungo e faticoso.

 

 

 

 

 

 


Note
[1] NPR,A ‘Worst Nightmare’ Cyberattack: The Untold Story Of The SolarWinds Hack 16/04/2021. https://www.npr.org/2021/04/16/985439655/a-worst-nightmare-cyberattack-the-untold-story-of-the-solarwinds-hack
[2] Isabella Jibilian and Katie Canales, The US is readying sanctions against Russia over the SolarWinds cyber attack. Here’s a simple explanation of how the massive hack happened and why it’s such a big deal,Insider,15/4/2021. https://www.businessinsider.com/solarwinds-hack-explained-government-agencies-cyber-security-2020-12?r=US&IR=T
[3]CrowdStrike Intelligence Team Research & Threat Intel,SUNSPOT: An Implant in the Build Process,January 11, 2021 CrowdStrike https://www.crowdstrike.com/blog/sunspot-malware-technical-analysis/
[4]Emergency Directive 21-01 https://cyber.dhs.gov/ed/21-01/
[5]Sergiu Gatlan, New Sunspot malware found while investigating SolarWinds hack, bleepingcomputer, https://www.bleepingcomputer.com/news/security/new-sunspot-malware-found-while-investigating-solarwinds-hack/
[6]Gareth-Corfield, SolarWinds malware was sneaked out of the firm’s Orion build environment 6 months before anyone realised it was there – report, the register 2021 https://www.theregister.com/2021/01/12/solarwinds_tech_analysis_crowdstrike/
[7]ibidem
[8] NPR,A ‘Worst Nightmare’ Cyberattack: The Untold Story Of The SolarWinds Hack 16/04/2021. https://www.npr.org/2021/04/16/985439655/a-worst-nightmare-cyberattack-the-untold-story-of-the-solarwinds-hack
[9]Report SEC 14 Dicembre 2020 https://www.sec.gov/ix?doc=/Archives/edgar/data/1739942/000162828020017451/swi-20201214.htm
Major Juliet Skingsley, The SolarWinds hack: A valuable lesson for cybersecurity,02/02/2021 https://www.chathamhouse.org/2021/02/solarwinds-hack-valuable-lesson-cybersecurity?gclid=Cj0KCQiAhf2MBhDNARIsAKXU5GQnqNShhb77qYGzziV4QtVk7JftVSiqjo-J4VFWDrKi6eqMJlsP0MUaAhsmEALw_wcB
G.Porro, L’attacco a SolarWinds ha coinvolto 6 agenzie dell’Unione 19/04/2021 Europea,WiredHttps://www.wired.it/internet/web/2021/04/19/solarwinds-cybersecurity-unione-europea/
[10]Raphael Satter, SolarWinds says dealing with hack fallout cost at least $18 million,Reuters.13/04/2021https://www.reuters.com/technology/solarwinds-says-dealing-with-hack-fallout-cost-least-18-million-2021-04-13/
[11]Patrick Howell O’Neill, Recovering from the SolarWinds hack could take 18 months,MIT Technology Review,03/02/2021. https://www.technologyreview.com/2021/03/02/1020166/solarwinds-brandon-wales-hack-recovery-18-months/
[12]Samit Shah, The Financial Impact of SolarWinds: A Cyber Catastrophe… But Insurance Disaster Avoided?, bitsight 12/01/2021 https://www.bitsight.com/blog/the-financial-impact-of-solarwinds-a-cyber-catastrophe-but-insurance-disaster-avoided
 [13]Michael Schmitt, Top Expert Backgrounder: Russia’s SolarWinds Operation and International Law,JustSecurity, December 21, 2020 https://www.justsecurity.org/73946/russias-solarwinds-operation-and-international-law/
[14] I 10 attacchi hacker più importanti nel primo semestre del 2021. https://www.webforma.it/news/top10-attacchi-informatici-primo-semestre-2021
[15]CSIS, Incidenti informatici significativi https://www.csis.org/programs/strategic-technologies-program/significant-cyber-incidents
[16]Veronica Balocco, Cybersecurity, Italia secondo Paese in Europa per attacchi hacker,NetworkDigital360https://www.corrierecomunicazioni.it/cyber-security/cybersecurity-italia-secondo-paese-in-europa-per-attacchi-hacker/
[17]CloudFlare, DDoS attack trends for 2021 Q1 https://blog.cloudflare.com/ddos-attack-trends-for-2021-q1/
https://www.theverge.com/2021/10/22/22740239/revil-ransomware-hacking-fbi-cyber-command-secret-service-down
[18]CrowdStrike, Global Threat Report 2021.
[19] Redazione Digitally,La storia di Kevin Mitnick, l’hacker più famoso del mondo https://thedigitally.it/post/storia-kevin-mitnick-hacker/
[20] Sito Ufficial del CCC ,https://www.ccc.de/en/club
[21] The Book of MOD: Part Four: End of ’90-‘1991 http://www.textfiles.com/hacking/modbook4.txt
[22]CrowdStrike, Global Threat Report 2021.
[23]Aditi Kumar ed Eric Rosenbach, The Truth about the Dark Web,IFM 2019. https://www.imf.org/external/pubs/ft/fandd/2019/09/the-truth-about-the-dark-web-kumar.htm
[24]M.Gomez, Dark Web Price Index 2020,PrivacyAffairs 21 Nov.2021. https://www.privacyaffairs.com/dark-web-price-index-2020/
[25] CrowdStrike, Global Threat Report 2021
[26]Aditi Kumar ed Eric Rosenbach, The Truth about the Dark Web,IFM 2019. https://www.imf.org/external/pubs/ft/fandd/2019/09/the-truth-about-the-dark-web-kumar.htm
[27] La criptomoneta più conosciuta è il bitcoin, quest’ultimo è cresciuto da 734 euro nel 2016  ad oltre 56.000 euro il 12 novembre del 2021. Al momento in cui si scrive il 29 Novembre la moneta è in discreta discesa. https://www.google.com/finance/quote/BTC-EUR?sa=X&ved=2ahUKEwi0lrSs_r30AhVG26QKHf7qCgEQ-fUHegQIDRAS&window=5Y
[28]La banca centrale europea ha più volte criticato le “monete”. Ad esempio La Garde ha definito le monete come “altamente speculative e sospette”. La banca centrale cinese è stata ancora più dura, mettendo le criptovalute al bando.1-(https://gadgets.ndtv.com/cryptocurrency/news/cryptocurrencies-bitcoin- trading-currencies-suspicious-speculative-european-central-bank-president-christine-lagarde-2544125)
[29] Lamberto Frontera, Quando il governo Ciampi ha salvato l’Italia dal naufragio,uniinfonews. https://www.uninfonews.it/quando-il-governo-ciampi-ha-salvato-litalia-dal-naufragio/
[30] Atto Camera: 2773, Modifiche ed integrazioni alle norme del codice penale e del codice di procedura penale in tema di criminalità informatica. http://legislature.camera.it/_dati/leg11/lavori/schedela/trovaschedacamera.asp?pdl=2773
[31]Ibidem
[32]Ibidem
[33]Ibidem
[34]Ibidem
[35]D.Scrivano,I crimini del terzo millennio: i reati informatici.
[36] Sentenza penale : Sez. 5   Num. 40470  Anno 2018
[37] Declan McCullagh, “Global Cybercrime Treaty Gets Senate Nod,” Silicon.com, Aug. 7, 2006.
[38]Convenzione di Budapest, paesi aderenti https://www.fedlex.admin.ch/eli/cc/2011/888/it
[39] Arjun Ramprasad, Russia gives the UN draft convention to fight cybercrime  Previewtech Security News 05/07/2021.
[40] Andrea Calice,le principali modifiche introdotte con la legge 18/03/2008 n48 di ratifica ed esecuzione della convenzione europea sulla criminalità informatica. chrome-extension://efaidnbmnnnibpcajpcglclefindmkaj/viewer.html?pdfurl=http%3A%2F%2Fwww.distretto.torino.giustizia.it%2Fdocumentazione%2FD_1967.pdf&clen=158074&chunk=true
[41]G.Borghi, Reati informatici e tutela dei dati personali: alcuni punti di contatto tra la normativa privacy e il D.Lgs.N.231/2001,SalvisJuribus 22/05/2021. http://www.salvisjuribus.it/reati-informatici-e-tutela-dei-dati-personali-alcuni-punti-di-contatto-tra-la-normativa-privacy-e-il-d-lgs-n-231-2001/#_ftn12
[42] Direttiva (UE) 2016/1148 del Parlamento europeo e del Consiglio, del 6 luglio 2016, recante misure per un livello comune elevato di sicurezza delle reti e dei sistemi informativi nell’Unione https://eur-lex.europa.eu/legal-content/IT/TXT/?uri=CELEX%3A32016L1148
[43] SISR ,Piano Nazionale per la protezione cibernetica e la sicurezza informatica nazionali (PN),2017chrome-extension://efaidnbmnnnibpcajpcglclefindmkaj/viewer.html?pdfurl=https%3A%2F%2Fwww.sicurezzanazionale.gov.it%2Fsisr.nsf%2Fwp-content%2Fuploads%2F2017%2F05%2Fpiano-nazionale-cyber-2017.pdf&clen=1988581&chunk=true
[44] DECRETO-LEGGE 21 settembre 2019, n. 105, https://www.gazzettaufficiale.it/eli/id/2019/09/21/19G00111/sg
[45 ] DECRETO LEGISLATIVO 18 maggio 2018, n. 65 https://www.normattiva.it/uri-res/N2Ls?urn:nir:stato:decreto.legislativo:2018-05-18;65!vig=
[46]F.Bechis, Il decreto cyber è legge. Che cosa cambia per l’Italia,Formiche 2019. https://formiche.net/2019/11/decreto-cyber-legge-cosa-cambia-litalia/
[47] Convegno, Le  nuove  forme  di  criminalità  virtuale,14  Aprile 2021. chrome-extension://efaidnbmnnnibpcajpcglclefindmkaj/viewer.html?pdfurl=https%3A%2F%2Fwww.cortedicassazione

Salvis Juribus – Rivista di informazione giuridica
Direttore responsabile Avv. Giacomo Romano
Listed in ROAD, con patrocinio UNESCO
Copyrights © 2015 - ISSN 2464-9775
Ufficio Redazione: redazione@salvisjuribus.it
Ufficio Risorse Umane: recruitment@salvisjuribus.it
Ufficio Commerciale: info@salvisjuribus.it
***
Metti una stella e seguici anche su Google News
The following two tabs change content below.

Articoli inerenti