Reati informatici

Reati informatici e Cybercrime

La maggior diffusione e conoscenza delle nuove tecnologie e tecnologie emergenti ha portato, negli ultimi anni, a evidenti cambiamenti non solo nelle abitudini di vita quotidiana, ma anche nel modo di produzione, diffusione e fruizione dei beni di consumo. È ormai un dato di fatto che la digitalizzazione è presente in ogni fase della nostra vita, non solo privata ma anche e soprattutto lavorativa: computers, smartphones, case, automobili, fabbriche, ospedali, città, mostrano come i chips e i softwares oramai ci circondano, aumentando le opportunità di sviluppo di nuovi servizi per i cittadini e nuovi modelli di business per le aziende, ma, al contempo, alimentando i rischi di crimini informatici.

Il Rapporto CLUSIT (Associazione Italiana per la Sicurezza Informatica) sulla sicurezza ICT in Italia, pubblicato nell’aprile 2018, ha stimato che i costi generati globalmente dalle attività di cyber crime e dai vari reati informatici come la frode informatica sono stati, nel 2017, di 500 miliardi di dollari; in particolare, le truffe, le estorsioni, i furti di denaro e di dati personali hanno colpito nel 2017 quasi un miliardo di persone nel mondo, causando ai soli privati cittadini una perdita che è stata stimata in 180 miliardi di dollari.

Per quanto riguarda l’Italia, i dati a disposizione stimano che nel 2016 i danni derivanti dai reati informatici sono stati di quasi dieci miliardi di euro, mentre un’altra ricerca, eseguita da Il Sole 24 Ore all’inizio del 2018 e relativa ai costi medi per un’azienda manifatturiera con 120 milioni di euro di ricavi annui, ha calcolato in 20 milioni di euro l’esborso a cui la società deve far fronte in caso di attacco ransomware o di altro virus informatico che riesca a bloccare l’intera attività aziendale. Il calcolo si basa sull’impiego di risorse e il tempo necessari per far ripartire a pieno regime la produzione aziendale, che gli esperti calcolano fra le 2 e le 52 settimane a seconda della pervasività e gravità dell’intrusione.

Negli ultimi anni, l’esperienza maturata nelle aule di giustizia ha mostrato come gli autori di reati informatici agiscano, quasi sempre, in base a due modelli: individuano come obiettivo sistemi o gadget informatici di privati o istituzioni (pubbliche o private) per diffondere virus informatici o per sottrarre, alterare e riutilizzare dati sensibili; utilizzano apparati o sottosistemi elettronici (come server, database, mainframe, modem, terminali) per porre in essere reati di natura comune come molestie, minacce, estorsioni, atti persecutori, diffamazione, compravendita di beni o servizi illeciti, frodi, scommesse illegali, reati pedopornografici.

Da un punto di vista legale, è utile distinguere, all’interno della macro-categoria dei reati informatici, due sotto-categorie di condotte illecite: i computer crimes, che si riferiscono alle condotte di rilevanza penale che hanno i computer e gli altri devices elettronici come obiettivi primari dell’atto criminoso; i computer facilitated crimes, cioè i crimini comuni realizzati attraverso l’impiego di strumenti informatici.

Nella prima categoria rientrano gli attacchi informatici a infrastrutture digitali di privati e aziende tramite computer viruses, denial-of-service attacks, malware (malicious code) con l’obiettivo primario di danneggiare un sistema informatico, quasi sempre a scopo di lucro. Nella seconda categoria possono rientrare svariati esempi di condotte criminali, come il furto o il trattamento illecito di dati, l’appropriazione indebita, il riciclaggio di denaro, la clonazione di carte di credito, lo stalking informatico, le molestie, le ingiurie, la diffamazione e il cyberbullismo, la pornografia, l’estorsione, la frode informatica, l’information warfare, il phishing, il dialer, lo spam. Quest’ultima categoria ricomprende, quindi, una serie di condotte che possono avere le finalità illecite più disparate, non solo di danneggiamento.

Da un punto di vista criminal-sociologico, invece, è interessante la classificazione effettuata dall’UNODC (United Nations Office on Drugs and Crime) nel documento del febbraio 2013 dal titolo Comprehensive Study on Cybercrime. In esso, i reati informatici vengono distinti in base all’oggetto dell’offesa e al modus operandi del criminale, nel modo seguente:

  • reati informatici contro la confidenzialità, l’integrità e la disponibilità dei dati di un computer o di altro sistema elettronico (Acts against the confidentiality, integrity and availability of computer data or systems), in cui si possono ricomprendere condotte come l’accesso abusivo a un sistema informatico; l’intercettazione o acquisizione di dati informatici; la manomissione abusiva di dati; la produzione, distribuzione o possesso di strumenti che favoriscano l’abuso informatico; la violazione delle misure di tutela della privacy o di dati personali;
  • reati informatici con modus operandi finalizzato al guadagno personale o al danneggiamento di un’altra persona (Computer-related acts for personal or financial gain or harm), come la frode informatica o le falsificazioni tramite sistema informatico, (tra cui il c.d. phishing); furti di identità; violazioni di copyright o di marchi registrati; spamming; mobbing e stalking informatici; trolling (invio di messaggi o immagini contenenti minacce); cyberbullismo; adescamento di minori on-line (c.d. grooming);
  • reati informatici relativi al contenuto del materiale digitale prodotto e/o distribuito (Computer content-related acts), come i comportamenti che coinvolgono razzismo o xenofobia; la produzione, distribuzione o semplice possesso di materiale pedo-pornografico (tra cui anche il c.d. sexting); i comportamenti informatici a sostegno di reati di terrorismo.

In Italia, il primo provvedimento normativo volto a punire i crimini informatici risale alla legge 23 dicembre 1993 n. 547 in tema di “Modificazioni e integrazioni alle norme del Codice Penale e del Codice di Procedura Penale in tema di criminalità informatica”. Successivamente, il legislatore italiano ha recepito le indicazioni derivanti dalla normativa europea, in particolare la Convenzione di Budapest del 2001 sui reati informatici, ratificata dall’Italia nel 2008.

Attualmente, nel nostro ordinamento possono individuarsi i seguenti comportamenti illeciti, da ricomprendersi nella categoria concettuale dei crimini informatici:

  • accesso abusivo a un sistema informatico o telematico (art. 615-ter c.p.);
  • detenzione e diffusione abusiva di codici di accesso a sistemi informatici (art. 615-quater c.p.);
  • diffusione di programmi diretti a danneggiare o interrompere un sistema informatico (vale a dire la diffusione di virus e malware) (art. 615-quinquies c.p.);
  • intercettazione, impedimento o interruzione illecita di comunicazioni informatiche o telematiche; installazione di apparecchiature dirette a intercettare, interrompere o impedire comunicazioni informatiche o telematiche; falsificazione, alterazione o soppressione del contenuto di comunicazioni informatiche o telematiche (articoli 617-quater, 617-quinquies e 617-sexies c.p.);
  • danneggiamento di sistemi informatici o telematici (articoli 635-bis, 635-ter, 635- quater e 635-quinquies c.p.);
  • frode informatica (art. 640-ter c.p.);
  • falsificazione di documenti informatici (art. 491-bis c.p.);
  • il c.d. Spamming (disciplinato dall’art. 130 del Codice in materia di protezione dei dati personali, intitolato “Comunicazioni indesiderate”);
  • il c.d. grooming (art. 609-undecies c.p.) ovvero l’adescamento di minori attraverso la rete;
  • il fenomeno del cyber-bullismo, definito dalla legge n. 71 del 29 maggio 2017 come “qualunque forma di pressione, aggressione, molestia, ricatto, ingiuria, denigrazione, diffamazione, furto d’identità, alterazione, acquisizione illecita, manipolazione, trattamento illecito di dati personali in danno di minorenni, realizzata per via telematica, nonché la diffusione di contenuti on line aventi ad oggetto anche uno o più componenti della famiglia del minore il cui scopo intenzionale e predominante sia quello di isolare un minore o un gruppo di minori ponendo in atto un serio abuso, un attacco dannoso, o la loro messa in ridicolo”;
  • la produzione, il possesso e la diffusione di materiale pedo-pornografico, riscontrabili anche all’interno del fenomeno del c.d. sexting, regolato dagli articoli 600-ter c.p. (“Produzione di materiale pedo-pornografico”) e 600-quater c.p. (“Detenzione di materiale pornografico riguardante i minori”).

Non vi è da dimenticare, poi, il diffusissimo fenomeno del c.d. Phishing, vale a dire una tecnica di social engineering, finalizzata a estorcere informazioni personali e riservate oppure abitudini e stili di vita. Nel nostro ordinamento non vi è una norma specifica che incrimina tale fenomeno, ma la copertura legislativa si ottiene attraverso il ricorso a varie norme penali: sostituzione di persona (art. 494 c.p.); detenzione abusiva di codici di accesso informatico (art. 615 quater c.p.); accesso abusivo a sistema informatico (art. 615 ter c.p.), per citare quelle maggiormente usate nelle aule di giustizia.

Come sopra detto, l’Italia non è messa bene. Il nostro Paese è il quarto al mondo per incidenza di attacchi informatici, e analizzando più approfonditamente i dati del già citato Rapporto CLUSIT, si scopre che l’utilizzo di malware, creati con costi sempre più bassi a livello industriale, è un vettore di attacco il cui utilizzo nel 2017 è aumentato del 95% rispetto al 2016, quando già era cresciuto del 116% rispetto al 2015. Gli attacchi più articolati, definiti come “Multiple Threats/APT” sono invece cresciuti del 6%, così come gli attacchi basati su tecniche di “Account Cracking”, mentre le tecniche di Phishing hanno avuto un incremento del 34%.

Considerato che il Rapporto CLUSIT analizza i dati ricavati dagli attacchi informatici più gravi del periodo, compiuti contro primarie aziende del settore pubblico e privato a livello mondiale, si evidenzia il fatto che la somma delle tecniche di attacco più banali (SQLi, DDoS, Vulnerabilità note, Phishing, malware “semplice”) rappresenta addirittura il 68% del totale (l’anno precedente era il 56%), considerazione che porta necessariamente a rilevare come gli hacker riescano, più che in passato, a realizzare attacchi di successo contro le loro vittime con relativa semplicità e a costi sempre più bassi.

A tal proposito, gli esperti di sicurezza informatica (assolutamente da non confondere con l’attività di IT management) suggeriscono una serie di punti chiave che l’imprenditore, ma anche il privato cittadino, dovrebbe seguire per sentirsi maggiormente cyber-sicuro:

  1. rendersi conto che il cyber-crimine può colpire chiunque, anche la semplice (e preziosa) casalinga;
  2. essere sempre aggiornato in tema di cybersecurity – meno se ne sa, e più si è esposti alle minacce on-line;
  3. avere una buona conoscenza delle competenze informatiche presenti nella propria realtà aziendale;
  4. informare e formare adeguatamente il proprio personale e i propri collaboratori in tema di sicurezza informatica, per evitare di essere vittime involontarie degli hackers;
  5. tenere ben distinti i concetti di cybersecurity e di IT management;
  6. sapere che un attacco informatico da parte di hackers potrebbe anche far fallire l’azienda;
  7. dare valore primario ai dati del cliente (come fossero un lingotto d’oro), perché chi li perde, mette in pericolo il proprio business;
  8. essere coscienti che più si è connessi alla rete informatica, maggiori sono i rischi di attacchi criminali;
  9. dare molta importanza agli aggiornamenti dei devices e degli altri strumenti informatici utilizzati dall’azienda.

Come buona pratica, dunque, ogni imprenditore dovrebbe curare la formazione del proprio personale aziendale in tema di cybersecurity, fornendo corsi sul tema e manuali pratici ai propri dipendenti, per far capire che il rischio di reati informatici, oramai, fa parte della nostra vita quotidiana, e che il rischio di esserne vittima da parte di coloro che usano internet è costante, sia in ambiente di lavoro che a casa, sul divano, mentre si sta guardando un film sulla propria Smart-TV.

Un profilo interessante, trascurato da molti esperti, è quello della convergenza e dalla fusione delle tecnologie, che stanno assottigliando il confine tra la sfera fisica, quella biologica e quella digitale; a causa di ciò, le tematiche di cybersecurity assumono una importanza ed un impatto estremo anche per le cosiddette Life Sciences, dove si parla più correttamente di CYBERBIOSECURITY.

Su questo affascinante tema, abbiamo realizzato una pubblicazione per la rivista “Cyber & Security Affairs Magazine” qui di seguito linkato.

In proposito al tema della sicurezza informatica, P&S Legal offre a privati cittadini e aziende, assistenza legale sia nella fase di prevenzione che di reazione (Incident Response) alle aggressioni informatiche, oltre che di consulenza strategica e assistenza alla formazione del personale aziendale.

Lo Studio Legale, altresì, offre assistenza giudiziale specifica sia in sede civile che penale, con la possibilità di affiancamento di tecnici informatici in grado di effettuare qualificate indagini forensi, comprensive di analisi e recupero dati informatici.

1 Star2 Stars3 Stars4 Stars5 Stars (4 votes, average: 5,00 out of 5)
Loading...