Una linea sottile

La politica ha incluso il contrasto alla criminalità informatica nell’agenda delle sue priorità. Gli ordinamenti giuridici nazionali hanno provveduto ad aggiornare il catalogo dei reati per colmare le lacune svelate dalla realtà tecnologica. Sul piano sovranazionale sono state intraprese iniziative di semplificazione dei rapporti tra le diverse giurisdizioni nazionali.

Sicurezza informatica, libertà della rete e diritto penale dopo il caso WikiLeaks.

1. L’utilizzo dei sistemi informatici per finalità illecite esprime una poliedrica offensività. Sul piano qualitativo amplia le modalità di aggressione ad interessi già ritenuti meritevoli di tutela (danneggiamento; danneggiamento informatico). Su quello quantitativo moltiplica le possibilità realizzative di violazioni ad interessi altrui proporzionalmente alle capacità di funzionamento delle risorse informatiche (phishing). Tale diffusività frustra le capacità di contrasto delle agenzie di controllo, apportando note di ulteriore offensività, come chiarito dalla Corte europea dei diritti dell’uomo: apparati di enforcement inefficaci minano la tenuta dei diritti fondamentali. Limitazioni indotte anche da un altro segno caratteristico della criminalità informatica, la transnazionalità che l’utilizzo illecito delle risorse informatiche mutua dalla rete di cui si avvale.

2. Su questi problemi si è lavorato molto. La politica, ad ogni livello, ha incluso il contrasto alla criminalità informatica nell’agenda delle sue priorità. Gli ordinamenti giuridici nazionali hanno provveduto ad aggiornare il catalogo dei reati per colmare le lacune svelate da una realtà tecnologica in tumultuoso progresso. Sul piano sovranazionale sono state invece intraprese iniziative di armonizzazione finalizzate ad indirizzare l’impegno nazionale senza trascurare le esigenze di semplificazione dei rapporti tra le diverse giurisdizioni nazionali e di adeguamento degli istituti processuali coinvolti. Spiccano, tra queste, la Convenzione del Consiglio d’Europa del 2001 e la Decisione quadro europea del 2005. Inputs che hanno innescato un circolo virtuoso, sollecitando ulteriori cambiamenti e significative convergenze nazionali sul piano della prevenzione e della repressione.

3. Molto resta però da fare. Non solo per gli inevitabili ritardi che l’apparato regolamentare sconta rispetto ai progressi giornalieri delle tecnologie informatiche. Il problema è più profondo, specie quando a venire in rilievo è l’uso illecito di Internet. Qualunque disciplina deve infatti fare i conti con la strutturale duplicità delle possibilità di utilizzo della rete. Risposte adeguate richiedono, quindi, capacità selettive che la legge, con i suoi caratteri di generalità ed astrattezza, non è sempre in grado di soddisfare. Solo un’inedita classe di strumenti disciplinari duttili e concreti può utilmente discriminare tra i costi (criminali) e i benefici (sociali) di Internet, garantendo così la collettività con un rete sicura, ma non imbrigliata da limitazioni illiberali.

4. Il caso WikiLeaks sintetizza al meglio quanto in precedenza osservato. Dimostra che non esistono significative lacune nell’arsenale di risorse penalistiche poste a presidio dell’integrità dei sistemi informatici: da questo punto di vista, l’intera vicenda può essere degradata a caso di ordinaria criminalità informatica. I soli dubbi che affliggono l’interprete riguardano le situazioni in cui WikiLeaks ha recitato il ruolo passivo di content provider di informazioni da altri acquisite, assumendo formalmente la responsabilità per l’avvenuta intrusione captativa al dichiarato scopo di proteggere le proprie fonti. Non è infatti scontato che tale rivendicazione possa superare il rigoroso vaglio imposto dai criteri liberali che sovrintendono all’operatività del diritto penale (art. 27/1 Cost.).
Attesta, al contempo, il basso livello di efficacia del reticolo sanzionatorio e preventivo messo in campo per dare corpo a quella che ai più appare, nonostante l’acribia impiegata, poco più di una chimera: la sicurezza informatica.

5. Insoluto è anche il quesito sulla giustificabilità, in nome di superiori interessi di trasparenza democratica, dell’operato diffusivo di WikiLeaks quale veicolo di ‘lotta’ ai segreti, di Stato e non. L’interrogativo svela infatti l’esistenza di un altro nodo problematico nei rapporti tra sicurezza informatica, libertà e diritto penale: l’assenza o la non chiara messa a fuoco dello statuto “costituzionale” della rete, delle libertà che consente e veicola e degli interessi collettivi che espone a rischio. L’istintiva preferenza a favore di soluzioni che risolvono l’intera vicenda in un caso di libertà di manifestazione del pensiero, esercitata attraverso la più grande arena democratica che l’umanità abbia mai conosciuto, deve fare i conti, oltre che con la disciplina nazionale in tema di segreto (artt. 256; 616 c.p. e 39 L.134/04), anche con le suggestioni originate dal principio di garanzia dell’integrità e riservatezza dei sistemi informativi. Concetto di recente espresso dalla Corte costituzionale tedesca, il cui perimetro operativo non risente della diversa natura (pubblica vs privata) dell’utilizzatore del sistema informatico, a fronte di una dimostrata pari capacità di intaccare l’integrità della rete da parte di soggetti pubblici ed agenti privati. In senso contrario, non varrebbe osservare che quel diritto, nella sua originaria declinazione, soddisfa un’esigenza di protezione della sfera privata rispetto ad invadenze pubbliche. Tacendo il fatto che l’utilizzo delle risorse informatiche per scopi pubblicistici non differisce sostanzialmente dall’utilizzo delle stesse per finalità comunicative tra privati, è vero, infatti, come dimostra la più recente proposta di direttiva europea in materia (2010), che l’interesse collettivo ad un’efficace prevenzione di tali forme di criminalità si giova anche della funzionalizzazione a fini pubblici di diritti individuali. È il caso della privacy. Il rafforzamento dell’effettività di tale diritto è qui considerato strumento di garanzia della reale integrità dei sistemi informatici. Condizione altresì essenziale per decretare l’illiceità di prassi intrusive e per attivare le risorse punitive del diritto penale, come dimostrano, a livello nazionale, la decisione del caso “Google-Vividown” e, prima, l’art. 169 D.lgs 196/03.

6. Il richiamo al principio di integrità dei sistemi informatici consente di sviluppare ulteriori considerazioni in tema di sicurezza degli stessi. L’integrità non è, almeno in prima battuta, concetto di valore. È nozione dotata di un evidente spessore empirico, pregna di contenuti tecnologici. La sua garanzia è, d’altra parte, condizione essenziale per un’efficace protezione dei beni finali (patrimonio, onorabilità, sicurezza nazionale): chi desidera la tutela di questi ultimi non può quindi lesinare l’impegno nel predisporre tutti gli strumenti allo scopo necessari. L’esigenza di fissare l’insieme delle condizioni tecniche idonee a garantire il maggior grado possibile di invulnerabilità dei sistemi informatici si impone così all’attenzione dei policy makers. Come si legge in alcuni documenti comunitari, per “creare una società dell’informazione sicura” occorre migliorare “la sicurezza delle infrastrutture dell’informazione” (Decisione-quadro 2005). Trasformata in un interesse dotato di spiccata autonomia funzionale, la sicurezza reclama, nonostante la problematicità del connubio, l’intervento del diritto penale a garanzia della sua effettività. Segue una marcata anticipazione delle soglie di intervento (art.617-bis c.p.), la moltiplicazione delle fattispecie incriminatrici (artt.615-ter e ss. c.p.) e dei soggetti potenzialmente responsabili (art.24-bis Dlgs 231/01). Valorizzando l’innervatura empirica delle istanze sottese alla tratteggiata nozione di sicurezza, si prefigura una trama di protagonisti i cui nodi sono rappresentati da quanti controllano uno o più fattori di rischio. In questa prospettiva, utenti, intermediari e fornitori di servizi della più varia natura divengono partners necessari della pluralità di istituzioni pubbliche impegnate a salvaguardare la sicurezza dei sistemi informatici. La lettura della citata proposta di direttiva, con i suoi plurimi riferimenti all’indifferibile esigenza di implementare la cooperazione tra pubblico e privato, è, sul punto, assai istruttiva: conferma l’avvenuto consolidamento di un orizzonte ‘”costituzionale” che, relativizzata la preminenza imperativa dei pubblici poteri, si sviluppa secondo cadenze dettate da più duttili istanze cooperative. I tentativi intrapresi per disinnescare la mina WikiLeaks agendo sui fornitori dei servizi di connessione o sui gestori dei servizi necessari al suo sostentamento finanziario lasciano invece intuire le risorse preventive che i provider sono in grado di mettere efficacemente in campo, se richiesti od obbligati.

7. È uno scenario caratterizzato da un denso sistema di controlli ad alta intensità e senza lacune: pienamente giustificato in termini di efficacia preventiva, ma certamente bisognoso di un più profondo vaglio alla luce di tutti gli interessi in gioco. Il richiamo alla sicurezza non può infatti essere il Trojan Horse utilizzato per aggirare l’integrità dei sistemi di tutela dei diritti individuali in nome dell’onnivora razionalità di scopo a quella sottesa. Si ripropone, come ineludibile, l’esigenza di mettere ordine nel mosaico dei principi che sovrintendono agli sviluppi della disciplina di Internet. Una miglior comprensione dei contenuti e della portata dell’idea di neutralità può costituire un buon viatico in questa direzione. Fornisce una ‘piattaforma’ di dialogo tra diritto ed informatica. Il primo beneficia della spinta libertaria che deriva dall’originaria caratura tecnologica del principio in parola. L’architettura tecnologica della rete, invece, dei contenuti sociali propri di una sua declinazione in termini di ragionevolezza normativa. Operando sinergicamente, possono disinnescare il rischio che reticoli securitari superficiali soffochino le ragioni della libertà della rete, senza però disarmare i primi, nei limiti della necessità. Echi d’oltreoceano attestano che anche di ciò si continuerà a parlare dopo il caso WikiLeaks.

Gabriele Marra
Professore Associato di Diritto Penale Università di Urbino “Carlo Bo”

 

Massimiliano Fanni Canelles

Viceprimario al reparto di Accettazione ed Emergenza dell'Ospedale ¨Franz Tappeiner¨di Merano nella Südtiroler Sanitätsbetrieb – Azienda sanitaria dell'Alto Adige – da giugno 2019. Attualmente in prima linea nella gestione clinica e nell'organizzazione per l'emergenza Coronavirus. In particolare responsabile del reparto di infettivi e semi – intensiva del Pronto Soccorso dell'ospedale di Merano. 

Rispondi