Il fenomeno della criminalità informatica, sia nell’accezione della commissione di reati “classici” mediante la rete (es. truffa on line, sostituzione di persona), sia nell’accezione dei reati informatici in senso stretto (es. accesso abusivo a sistema informatico, sottrazione dati informatici) appare ormai fuori controllo.
Di converso, i Governi sono sempre più lenti nell’adottare misure efficaci finalizzate al contrasto (o meglio, alla prevenzione) del fenomeno.
Ecco perché è una buona notizia che le Nazioni Unite l’8 agosto 2024 hanno definitivamente approvato la bozza del Trattato globale sulla criminalità informatica che adesso dovrà essere approvato dall’Assemblea Generale, per poi passare alla ratifica da parte degli Stati firmatari.
Rubricata come Convenzione ONU contro la criminalità informatica, il documento finale si pone lo scopo di «Rafforzare la cooperazione internazionale per il contrasto di alcuni reati commessi mediante sistemi tecnologici dell’informazione e della comunicazione e per la condivisione delle prove in formato elettronico di reati gravi» mediante gli strumenti tipici della cooperazione internazionale in materia penale e dell’armonizzazione delle legislazioni.
Il rapporto Clusit 2024 parla di 2.779 incidenti definiti “gravi” a livello globale nel 2023 con un picco del +12% rispetto alla precedente annualità, con una media mensile di 232 attacchi (solo 270 nel mese di aprile 2023); l’associazione degli esperti in cybersecurity, sulla base di una scala di gravità utilizzata, ha rilevato che nell’81% dei casi si può parlare di gravità elevata o critica.
Sul fronte Italia le cose sono peggiorate, con un totale dell’11% degli attacchi gravi globali (310 attacchi accertati), con una crescita del 65% rispetto al 2022.
Oltre la metà degli attacchi – il 56% n.d.r.– ha avuto conseguenze di gravità critica o elevata: monitorando cinque anni (2019-2023) si è accertato che oltre il 47% degli attacchi totali censiti in Italia si è verificato nel 2023.
La crescita del fenomeno è legato a doppio filo con la diffusione capillare di dispositivi telematici, nonché con la digitalizzazione della maggioranza dei servizi pubblici che privati.
Andando con ordine, fra i preamboli del documento è degno di nota quello secondo cui «l’allarmante l’uso dei sistemi ICT possa avere un impatto considerevole sull’entità, sulla velocità e sulla portata dei reati, compresi quelli legati al terrorismo e alla criminalità organizzata transnazionale, come la tratta di persone, il traffico di migranti, la produzione illecita ed il traffico di armi da fuoco, di loro parti, componenti e munizioni, traffico di stupefacenti e traffico di beni culturali »; l’accento del legislatore sovranazionale riguarda i reati più preoccupanti che possono essere agevolati dalle tecnologie IT, con particolare riguardo al terrorismo, alla criminalità organizzata ed al traffico di stupefacenti.
L’art. 1 (Dichiarazione d’intenti) così dice:
«Gli scopi della presente Convenzione sono:
(a) Promuovere e rafforzare le misure per prevenire e combattere la criminalità informatica in modo più efficiente ed efficace;
(b) Promuovere, facilitare e rafforzare la cooperazione internazionale nella prevenzione e nella lotta alla criminalità informatica;
(c) Promuovere, facilitare e sostenere l’assistenza tecnica e il rafforzamento delle capacità per prevenire e combattere la criminalità informatica, in particolare a beneficio dei paesi in via di sviluppo.»
D’altro canto, il vero problema della criminalità “organizzata” informatica sta nella delocalizzazione e diffusione delle fonti di attacco, situate, nella maggior parte dei casi, in paesi in via di sviluppo o con economie emergenti: ci si trova innanzi ad un vero e proprio “far west” fatto di proxy, bot server e computer zombie che rendono impossibile seguire le tracce informatiche, se non con un’efficace collaborazione delle autorità locali.
Gli articoli successivi stabiliscono le linee guida generali in ordine all’applicazione della convenzione e si fondano su due direttrici:
Segue l’obbligo di introdurre specifiche fattispecie incriminatrici in relazione a:
La Convezione richiede poi agli Stati membri:
Seguono le regole sui principi di proporzionalità ed efficacia delle pene previste, nonché quelle relative alla giurisdizione, con particolare riguardo all’obbligo di coordinamento delle investigazioni in caso uno Stato sia notificato o che notifichi un’indagine comune.
Gli Stati membri dovranno procedere al sequestro ed alla pronta messa a disposizione in favore di uno Stato richiedente dei dati informatici utili all’indagine che dovranno essere conservati dal privato per un massimo di 90 giorni, oltre ai dati di traffico utili per consentire l’identificazione del responsabile del reato informatico; a tal proposito, gli Stati dovranno prevedere apposite procedure e punti di contatto nazionali.
Gli Stati dovranno, altresì, implementare idonee misure a tutela della sicurezza, segretezza ed integrità dei dati presenti sul proprio territorio.
Oltretutto, andrà assicurata la memorizzazione in tempo reale dei dati di traffico, l’intercettazione del traffico telematico, nonché il freezing, il sequestro e la confisca dei proventi da reato.
Viene dedicata una specifica norma alla condivisione, a fini investigativi, dei precedenti penali di persone che abbiano commesso i reati previsti nella convenzione.
Assai interessanti sono le disposizioni a tutela dei testimoni di giustizia e delle vittime di reati informatici per i quali gli Stati membri devono assicurare adeguata protezione e sostegno in caso di minaccia o pericolo, prevedendo anche misure di sostegno economico, psicologico e di rifusione economica.
Come già detto, lo spirito della Convenzione è quello di rendere effettiva la cooperazione internazionale in tema di reati informatici, elidendo una volta per tutte l’impunità dovuta alla delocalizzazione o al mascheramento degli IP; da questo punto di vista sono state accelerate le procedure di estradizione, trasferimento dei condannati e di spostamento del processo se ciò sia giustificato dall’interesse di giustizia di uno Stato richiedente.
In ogni caso, vengono enunciati i casi di mutua assistenza legale (es. esame documenti, ispezioni, interrogatori, recupero proventi da reato) e i diritti delle persone coinvolte sia come condannati, che come testimoni.
Molto spazio viene dedicato alle procedure di mutua assistenza in caso di registrazione dei dati in tempo reale, intercettazione telematica, accesso ai file, confisca dei proventi da reato.
La Convenzione prevede, altresì, indagini congiunte su richiesta di uno Stato membro e l’obbligo di adottare idonee misure di prevenzione.
Criminalità informatica, perché un trattato globale può mettere a rischio i diritti umani
Siamo alla fine di un lungo percorso. L’Assemblea Generale delle Nazioni Unite, mediante la Risoluzione 74/247 del 27/12/2019 intitolata «Contrasto all’utilizzo delle tecnologie ICT per scopi criminali» istitutiva un Comitato intergovernativo di esperti di tutti i paesi con il compito di elaborare una Convenzione globale sul contrasto all’uso delle tecnologie dell’informazione e della comunicazione per commettere reati.
Il documento attuale è frutto di quel Comitato.
In realtà, il Consiglio d’Europa si era già dotato della Convenzione di Budapest contro la Criminalità informatica del 2001 che ha armonizzato le legislazioni 76 paesi, divenendo, di fatto, un sostanziale modello di riferimento della Convenzione ONU arrivata nella sua elaborazione finale con parecchie riserve.
Difatti, da un lato la Russia ha mosso le critiche per l’eccessiva enfasi posta sui diritti umani, mentre gli Stati Uniti, nonostante l’iniziale scetticismo, hanno appoggiato il trattato: in ogni caso, il documento finale è stato approvato nella versione che si andrà ad analizzare per sommi capi.
Il lungo lavoro che ha portato alla redazione della bozza di convenzione è stato caratterizzato da una continua ricerca di punti di contatto fra paesi con diversi impianti istituzionali e sistemi giudiziari e, soprattutto, con limitate risorse da dedicare alla prevenzione, alla repressione ed alla cooperazione in tema di reati telematici.
Tuttavia, appare un buon inizio tenendo conto che molti dei principi della Convenzione ONU posso essere sovrapposti alla Convenzione di Budapest, già ratificata e adottata da oltre 20 anni da più di 70 di Paesi.
Staremo quindi a vedere come, negli anni futuri, cambierà l’approccio dei Governi verso la tutela della sicurezza informatica sia pubblica che privata, bene la cui tutela appare non è più procrastinabile.