Studio Legale Fiammella

 Home page

 Lo Studio

 Consulenza

 Convegni-Pubblicazioni
 Giurisprudenza
 Computer  forensics

 

 

Dove siamo

 

Lo studio riceve nei giorni di martedì e giovedì,

ore 15.00-18.00

o per appuntamento.

 

 

 

 

 

 

 

 

 

 

 

 

 

Avv. Bruno Fiammella

www.fiammella.it

 
 
Novità in tema di  ICT Law
 

Associazione a delinquere ed accesso abusivo ad un sistema informatico: un connubio indissolubile nella strategia accusatoria del pubblico ministero ?

(pubblicato anche sul n.10 di Diritto & Diritti - versione cartacea)

L’attenzione del giurista in questi ultimi tempi, come è noto, è frequentemente  rivolta allo studio ed all’analisi di tutte quelle “nuove” situazioni o fattispecie inerenti la concreta applicazione della normativa sui reati informatici di cui alla Legge del 23 dicembre 1993 n. 547.

Dagli atti dei primi procedimenti penali aperti nei confronti dei cosiddetti “ hackers ”,“ cracker ” o presunti tali che dir si voglia, si evince, dall’analisi della strategia accusatoria utilizzata dai pubblici ministeri, la tendenza ad associare, nella ricostruzione dei fatti, il reato di acceso abusivo ad un sistema informatico o telematico di cui all’art. 615 ter c.p. a quello di associazione a delinquere di cui all’art. 416 c.p.

Dalla lettura del primo comma di quest’ultima fattispecie si ricava che “ quando tre o più persone si associano allo scopo di commettere più delitti, coloro che promuovono o costituiscono od organizzano l’associazione sono puniti, per ciò solo, con la reclusione da tre a sette anni ”.[1]

La genesi storica del reato in oggetto, è riconducibile all’intento del legislatore di creare uno strumento volto a reprimere qualsiasi forma di manifestazione della criminalità cosiddetta “ organizzata ”.

Il bene giuridico posto sotto tutela è l’ordine pubblico costituzionalmente costituito, volendo il legislatore, attraverso questa fattispecie di reato, reprimere qualsiasi forma di attacco alle istituzioni poste a fondamento del nostro Stato, punendo la condotta finalizzata all'associazionismo tra soggetti qualora il fine ultimo dello stesso sia la commissione di fatti criminosi, riconoscendo in ciò solo, un elemento di allarme sociale[2] degno di intervento.

L’intento quindi, la cosiddetta “ ratio ” normativa è quella di “ rimuovere il pericolo che vengano commessi i reati oggetto del programma ”[3] criminoso, creando una tutela prodromica o anticipata rispetto alla commissione degli stessi.

Seguendo l’indirizzo più tradizionale, sia in dottrina che in giurisprudenza, gli elementi costituitivi dell’associazione sono dati dalla formazione e dalla permanenza di un vincolo associativo e continuativo fra tre o più persone allo scopo di commettere una serie indeterminata di delitti, con la predisposizione comune dei mezzi occorrenti per la realizzazione del progetto  criminoso, e con la consapevolezza, da parte di ciascun associato, di far parte di un sodalizio e, conseguentemente, di operare ai fini del raggiungimento dell’illecito scopo comune.[4],[5]; dall’esistenza di un programma per il quale il vincolo si è instaurato;[6]  dall’esistenza di una struttura organizzativa idonea.

L’esistenza del vincolo associativo, nel reato in questione, determina in ciascun membro l’apporto di un contributo personale, continuativo e duraturo, finalizzato al raggiungimento degli scopi illeciti. Per aversi associazione a delinquere dunque, l’accordo deve essere finalizzato alla attuazione di un ampio programma criminoso.

Diversamente, qualora l’accordo fosse soltanto occasionale ed accidentale, ricondurremmo la condotta alla fattispecie del concorso di persone nel reato continuato.

Secondo la giurisprudenza infatti, gli elementi discriminatori tra associazione e concorso vanno ricondotti principalmente alla presenza di due requisiti : il primo è dato dall’esistenza, nella associazione a delinquere, di un vincolo stabile o permanente fra tre o più soggetti che perduri anche successivamente alla realizzazione del delitto programmato; il secondo, da una cosiddetta indeterminatezza del programma criminoso. Inoltre, ciascuno dei membri dell’associazione deve avere la consapevolezza di essere associato per l’attuazione del programma criminoso stesso.[7]

La dottrina ha spesso evidenziato la difficoltà nell’individuazione dell’esatto limen tra le due forme.[8]  

Il carattere dell’associazione infatti, induce a ritenere che essa sussista ove la permanenza dell’organizzazione, e la propensione a realizzare gli scopi della stessa, non siano frutto di concomitanze occasionali o comunque prive di quella progettualità minima che consenta di predisporre dei mezzi idonei alla realizzazione di un programma criminoso. L’esistenza di un vincolo inoltre, può essere determinata non necessariamente ( è raro il verificarsi dell’ipotesi ) da un formale atto di costituzione dell'associazione stessa, ma anche dal venire in essere dei cosiddetti facta concludentia, ovvero di quei comportamenti, non equivoci, determinati dalla continuità, frequenza dei rapporti fra gli associati, predisposizione di adeguati mezzi, anche finanziari, utili al raggiungimento ed alla realizzazione del programma.

Il concorso di persone invece si caratterizza per l’esistenza di un vincolo occasionale, non duraturo finalizzato all’esclusiva realizzazione di uno o più reati occasionali ed accidentali con la commissione dei quali si esaurisce l’accordo dei correi.[9]

Quale quindi, per addentrarci nella questione in oggetto, la strada da seguire nell’ipotesi in cui più persone, avvalendosi degli stessi strumenti, perpetrino il reato di accesso abusivo ?

Si stanno cioè prendendo in considerazione tutte quelle ipotesi in cui più soggetti si avvalgano, ad esempio, dello stesso programma ( dal semplice trojan horse[10] fino al più sofisticato software ) illegittimamente inserito su un server, al fine di violarne le misure di sicurezza e così accedere illegalmente alla banca dati dello stesso.

Nell’ambito della fattispecie su menzionata di cui all’art. 615 ter del c.p., introdotta dalla L. 547/93, “ Chiunque abusivamente si introduce in un sistema informatico o telematico protetto da misure di sicurezza ovvero si mantiene contro la volontà di chi ha il diritto di escluderlo, è punito con la reclusione fino a tre anni ”.[11]

Il teorema spesso costruito dalla pubblica accusa riconosce, nel reato in questione, se compiuto da tre o più soggetti, l’esistenza di un sodalizio criminoso tra i soggetti che utilizzano lo stesso programma, sodalizio talmente forte e radicato da arrivare ad ipotizzare la sussistenza anche della fattispecie di cui all’art. 416 c.p.

Tuttavia, dall’analisi precedentemente compiuta, si può asserire come, con le dovute eccezioni, sia più congeniale, di fronte a situazioni simili, il correlarsi dell’ipotesi di un concorso di persone piuttosto che quello di una vera e propria associazione a delinquere.

Sappiamo infatti che la struttura della “ rete delle reti ” consente, attraverso appositi servizi, che più soggetti entrino in contatto tra loro. La posta elettronica, la chat, i newsgroup, le videoconferenze, nient’altro sono che dei moderni strumenti di comunicazione e condivisone di informazioni e documenti.

E’ facile che lo scambio di informazioni, la condivisione illegittima di password, e lo scambio di altri strumenti illeciti per violare le sicurezze dei sistemi, avvenga, così come avviene, tra soggetti che si incontrano occasionalmente e comunque solo in forma virtuale.  

Le indagini compiute in questi anni dalla Polizia Telematica dimostrano che, durante il collegamento, spesso avviene il passaggio o la comunicazione di codici o di password o di programmi potenzialmente  idonei a compiere le violazioni di cui agli art. 615 quater e 615 quinques c.p.[12]

Se in tali casi è inconfutabile il configurasi dell’ipotesi di reato di cui agli articoli sopra citati ( Accesso abusivo ad un sistema informatico o telematico, Detenzione e diffusione abusiva di codici di accesso a sistemi informatici o telematici, Diffusione di programmi diretti a danneggiare o interrompere un sistema informatico, relativamente di cui agli articoli 615 ter, quater e quinquies ) tuttavia, è da ritenere che tale prassi non possa e non debba essere indicativa necessariamente del venire in essere di una associazione a delinquere.

Tali elementi infatti, cioè la condivisione e la diffusione di password, lo scambio di informazioni relative alle cosiddette backdoors [13] o la condivisione di un programma illegittimamente introdotto da un utente che ha poi comunicato l’esistenza dello stesso ad altri soggetti, non implicano né giustificano un costrutto accusatorio di tipo associativo.

L’esistenza dei requisiti dell’associazione infatti, va provata in maniera più fondata e certa, non potendo fondarsi la sussistenza del vincolo associativo, esclusivamente dalla condivisione di chiavi di accesso finalizzate alla violazione di uno o più sistemi di sicurezza.

Dobbiamo infatti tener sempre presente che i cosiddetti pirati informatici sono membri di una comunità virtuale soltanto ipotetica e che spesso non si conoscono, né in forma diretta, né in forma indiretta, vivono in zone geograficamente lontane e, nella maggioranza dei casi, hanno anche una nazionalità diversa. In tale prospetto l’individuazione ed il riconoscimento del soggetto, all’interno del gruppo, avviene esclusivamente attraverso l’utilizzo di uno pseudonimo,[14] con tutte le conseguenze inoltre, relative alla identificazione, che questo aspetto pone sotto il profilo probatorio. Tali presupposti sono lontani, perché insufficienti, a farci ritenere che, come sopra specificato, esistano gli elementi precedentemente individuati relativi ad una associazione a delinquere. 

Non solo la mancanza del requisito della conoscenza personale, pone già di per se forti dubbi relativamente alla configurazione del reato associativo, ma anche quello relativo all’effettiva identità dei soggetti.

Inoltre, lo scambio di informazioni illegali, e conseguentemente la condivisione di strumenti atti a tal fine, non è elemento sufficiente da cui far scaturire l’esistenza di un accordo né, tantomeno, di un comune progetto criminoso.

Se volessimo aderire all’assunto in base al quale utilizzare lo stesso programma è sinonimo di associazionismo, finiremmo con il ritenere che l’aver usato la stessa arma da parte di due soggetti diversi, per compiere, ad esempio, un furto o un omicidio, sia necessariamente sinonimo di associazione a delinquere. E l’esperienza ci dimostra che così non è.

E’ inconfutabile da un lato, che gli hackers o i craker condividono una ideologia  rivolta alla divulgazione, alla conoscenza delle informazioni, alla condivisione, all’interno della loro comunità, del sapere tecnologico ed alla ricerca di un continuo perfezionamento al fine di mostrare e dimostrare le loro capacità applicative, ostentando un atteggiamento che li spinge a non esimersi dal compiere condotte di violazione di qualunque tipo di sistema protetto.

Pur tuttavia, è altrettanto inconfutabile che, se si fondasse l’esistenza di un’associazione a delinquere solo su questi presupposti, dovremmo riconoscere l’esistenza di un sistema associativo capillare e massiccio diffuso in tutto il pianeta per colpire il quale occorrerebbe, “ semplicemente ”  interrompere ogni tipo di comunicazione via internet.

Se, inoltre, vogliamo parlare di un’organizzazione, il termine che maggiormente la rappresenta è quello, meno giuridico ma più consono, della comunità e non quello della associazione a delinquere, almeno per come intesa sotto il profilo normativo.

Come comunità, quella dei pirati informatici vanta diversi sottogruppi così come risulta da numerose ricerche compiute nel settore;[15] ed in questi sottogruppi vi sono anche coloro che, pur avendone le capacità, non dimenticano l’imperativo legale e quindi non utilizzano le loro conoscenze per la violazione dei sistemi informatici.

Inoltre, poiché il nostro è un diritto penale del fatto ( costituzionalmente orientato ), non andremo a punire ideologie o comunità virtuali qualora non si pongano esplicitamente in contrasto con le norme costituzionali[16] o con le fattispecie tipiche.

Ritorniamo quindi al nodo di questa riflessione.

La condivisione di programmi inseriti sulla rete per violare sistemi di sicurezza o la comunicazione di password, sono elementi indizianti di una associazione a delinquere? 

La risposta dovrebbe essere negativa. Scambiarsi codici di accesso o parole d’ordine, identifica di per se un condotta illecita, ma da questo presupporre l’esistenza di un sodalizio criminoso atto al perseguimento di scopi comuni, appare improbabile. Non dimentichiamo che parliamo di individui che possono essersi incontrati occasionalmente in rete, e possono aver agito utilizzando lo stesso programma illegale per accedere al medesimo server, con intenzioni e scopi ben diversi e comunque a prescindere da un accodo sottostante.

L’ulteriore passo che dovrebbe essere posto a fondamento delle indagini è quello di riscontrare, attraverso un monitoraggio più specifico, che le incursioni all’interno del medesimo sito fossero finalizzate al compimenti di uno stesso disegno e che comunque fossero collegate tra loro nelle intenzioni degli autori a causa di un accordo sottostante ed eventualmente antecedente al compimento dell’azione.

Il procedimento inverso, quello di presupporre l’esistenza di un’associazione comprovandolo con il fatto che più soggetti si sono avvalsi dello stesso codice o dello stesso programma non è elemento sufficiente per dedurre l’esistenza del sodalizio criminoso richiesto dalla legge ed è su tale assunto che cade il costrutto accusatorio a volte teorizzato dalla pubblica accusa.

Tuttavia, non possiamo non prendere in considerazione l’ipotesi che ciò si verifichi, cioè che ci sia , in effetti un accordo, avvenuto anche  solo a livello virtuale o telematico.

Il problema allora, a causa di quanto esposto in precedenza, si traslerebbe sul piano probatorio. Non è dalla condivisione dello strumento ( programma o codice di accesso ) che si può automaticamente trarre la conseguenza dell’esistenza di un sodalizio criminoso pari a quello di cui all’art. 416 c.p.; sarà invece compito della Polizia giudiziaria ed in particolare dei reparti di Polizia Telematica accertare, in sede di indagine, se, dalla lettura dei tabulati dei file di log, risulti un’attività di contatto fra tre o più persone alla quale corrisponda un sodalizio con susseguente attività criminosa.

E’ vero infatti che in chat e su internet in generale, lo scambio delle informazioni ai confini della legalità è una prassi consolidata anche da parte di coloro che hanno un bagaglio di conoscenze tecniche limitate o che, purtroppo, ancora non conoscono la sottile linea di demarcazione tra attività lecite ed illecite.[17] Ma il semplice scambio costituisce, quando oggetto dello stesso è la password et similis, un’autonoma fattispecie di reato configurata dall’art. 615 quater c.p. Diventa quindi un problema probatorio, da analizzare sotto il profilo dei tempi di indagine relativi alla raccolta di queste informazioni e dall’esatta lettura delle stesse considerando che la traccia di una comunicazione telematica non avviene con la stessa facilità con la quale si traccia o registra una comunicazione telefonica.

Dalla lettura delle intercettazione di comunicazioni informatiche o telematiche di cui all’art. 266 bis c.p.[18] si possono evincere alcuni dati relativi alle utenze in contatto e quindi ai relativi titolari dei contratti di acceso alla rete, si può quindi ricavare se due o più sistemi hanno dialogato tra loro, se c’è stato o meno scambio di file o di informazioni, ma non sempre si può dedurre il testo della comunicazione se non dal file di log del computer da cui tale operazione è avvenuta.

Gli elementi probatori, cioè le tracce dell'illecita intrusione, e la possibilità di risalire all'autore del reato, sono fortemente legati alle capacità dell’ "intrusore" di celare e modificare le tracce telematiche del suo passaggio da uno o più sistemi. “A volte succede che lo stesso sistemista che ha accertato l'intrusione dopo aver verificato che non siano stati arrecati danni al sistema, provvede a "ripulire" le tracce dell'avvenuta intrusione”[19].

A differenza quindi delle intercettazioni telefoniche dalle quali è possibile risalire, oltre che ai dati tecnici relativi alle apparecchiature in contatto, anche al contenuto materiale e soprattutto integrale della comunicazione, in quelle telematiche, tale contenuto è ricavabile dai file del server. Documenti che il server stesso cancella periodicamente e che comunque, ogni buon  hacker può provvedere a modificare a proprio piacimento proprio al fine di rendersi irrintracciabile, così riuscendo ad aprire la porta alle nuove frontiere dell’anonimato. Il nuovo problema che la tecnologia ci pone e che dovrà essere analizzato sia sotto il profilo sociale che sotto quello giuridico.

Reggio Calabria,  19.12.2001                           Bruno Fiammella

 

 

[1] Vedi art. 416, comma I, del Codice Penale.

[2]  Cass. Pen., sez. I, 1986/173920 in: Commentario Breve al Codice Penale, Crespi-Stella- Zuccalà, Cedam, 2001.

[3] Fiandaca-Musco, Diritto Penale, parte speciale, vol. I, pag. 154, 1997

[4] Cod. Pen. Commentato, pag. 1565, Giuffrè, 1995.

[5] Cass. Pen. Sez. I, 22-2-1979, Pino, Giur. Pen., 1980, pag.162

[6] Cass. Pen. Sez. I, 1993/194209

[7] Cass. Pen. V, 22-2-1999, n. 949, in Giust. Pen., 2000, II, pag.112.; Cass. Pen. V, 20-1-1999, Cass. Pen., 2000, 38.

[8] Fiandaca-Musco, Diritto Penale, parte speciale vol. I, pag.26, 1997.

[9]  Cass. Pen., sez. V, 1999/212816 in : Commentario Breve al Codice Penale, Crespi-Stella- Zuccalà, Cedam, 2001.

[10]  Trojan horse o cavallo di troia, è così definito un piccolo file che eseguito sul computer della “vittima” consente la possibilità di accesso per via telematica al computer stesso da parte di chiunque, secondo lo schema classico del mitico cavallo di troia da cui trae origine il nome.

[11]  Per la Giurisprudenza correlata a tale fattispecie vedi : Trib. Pen. Roma , 04.04.2000 ; Corte di Cassaz. Sez. V , 6 dicembre 2000 n. 1675.

[12] Filippo Leonardo : I reati informatici nell'attività investigativa della Polizia Postale e delle Telecomunicazioni : Relazione per il convegno “I reati informatici e la criminalità aziendale”, Reggio Calabria, Salone degli Industriali, 23 giugno2001 in : www.fiammella.it

[13] Si definisce backdoor la porta di acceso, ad un computer o ad un server, lasciata inavvertitamente “aperta” dal programmatore o dal responsabile del sistema per un errore nella programmazione. Tale porta consentirebbe l’accesso all’interno del sistema a chiunque fosse a conoscenza della sua esistenza semplicemente per averla individuata.

[14] Altrimenti definito nick – name.

[15] Cfr, Marco Strano, Computer crime, pag. 55 e ss., Apogeo, 2000. Il gruppo di ricerca sul computer crime dell’Istituto Universitario di Ricerca Criminologia ha infatti individuato l’esistenza, anche all’interno della categoria dei pirati informatici, di diverse classificazioni tra i soggetti stessi quali quella di lamer, phreehacker, hacker, cracker studiandone le differenziazioni anche sotto il profilo criminale.

[16] Costituzione Italiana, art. 18; Vedi in T. Martines, Diritto Costituzionale, pag. 660 e ss., Giuffrè, 1992.

[17] E’ infatti dimostrato che il personal computer è uno strumento fortemente spersonalizzante nel legame esistente tra chi compie l’azione  ( soggetto attivo ) e chi la subisce ( soggetto passivo ). Il soggetto attivo non avrebbe la percezione dell’illegalità del suo comportamento, anche, e non solo, perché non vedrebbe il soggetto su cui ricade la sua azione illegale e quindi non avendo una diretta percezione del danno da lui causato. ( Cfr. Marco Strano, Computer crime, Apogeo, 2000 ). La spersonalizzazione tra autore ed atto compiuto, attivatasi con lo strumento di comunicazione telematica, ha così compiuto uno dei suoi più drammatici effetti.

[18] Articolo introdotto dall’art. 11 della Legge 23 Dicembre 1993 n. 547 recante modificazioni ed integrazioni alle norme del codice penale e di procedura penale in tema di criminalità informatica

 

[19] Gianfranco Todesco : L'Indagine Informatica di Polizia Giudiziaria: trasmissione dati su rete, perquisizioni ed ispezioni informatiche, Sezione P.G. Reati Informatici Procura Circondariale Torino (Relazione presentata al Convegno Nazionale su 'Informatica e riservatezza' del CNUCE - Pisa 26/27 settembre 1998).