Hackers, crimini informatici e disinformazione

Tutti hanno il diritto di manifestare liberamente il proprio pensiero con la parola, lo scritto ed ogni altro mezzo di diffusione (art. 21, co. 1, Cost.). Così recita l’art. 21, co. 1, della Costituzione Italiana, consacrando nella lex suprema una delle più importanti ed irrinunciabili libertà dell’uomo.

Il diritto di manifestare liberamente le proprie opinioni risulta oggi più importante che in ogni altro momento del passato, poiché, in questa che viene definita società dell’informazione, ciascun individuo, quotidianamente assimila, soprattutto attraverso i mass-media, enormi quantità di dati, che successivamente rielabora, spesso anche inconsciamente, e dai quali trae il proprio “libero pensiero”.

Tale libertà, tuttavia, nonostante sia costituzionalmente garantita, è vincolata alla qualità e all’affidabilità delle informazioni che vengono somministrate agli utenti (il termine medico non è utilizzato a caso, giacchè ogni genere di strumento di informazione viene utilizzato da chi lo controlla con cura ed attenzione, affinchè persegua scopi ben definiti ed individuati).

Il diritto di informarsi e di informare (ossia di acquisire e cedere informazioni) è ormai pacificamente accolto tra le modalità di manifestazione del pensiero e viene ricondotto al già citato art. 21 della Costituzione, in ogni sua forma e in ogni sua conseguenza.

Non può che condividersi il pensiero di quanti ritengono che il diritto all’informazione costituisca il fondamento per la corretta formazione di una opinione pubblica e risulti indispensabile per il controllo democratico di qualunque attività sociale e politica, per l’attuazione dei principi di sovranità popolare, del libero sviluppo della persona umana e del principio di uguaglianza senza alcuna discriminazione.

Il suo esercizio non è, tuttavia, così pacifico come sembrerebbe ad una prima e  superficiale analisi del dettato costituzionale.

L’attuale sistema di accesso all’informazione, infatti, comporta necessariamente l’intermediazione da parte di alcuni soggetti determinati, che filtrano le notizie e sono in grado di rendere la percezione dell’evento diversa da quella che si avrebbe in caso di partecipazione diretta, unica ed insostituibile garanzia di autenticità ed integrità dell’informazione.

In altri termini, sempre più spesso manca nell’informazione quell’oggettività nell’esposizione dei fatti che dovrebbe invece caratterizzare l’operato di quanti lavorano in questo delicato settore, per i quali la rappresentazione imparziale della realtà dovrebbe costituire un modus operandi privo di eccezioni.

Il controllo operato dai mass-media standardizza l’apprendimento, conformandolo alle linee di pensiero e agli obiettivi che la fonte da cui provengono le informazioni persegue.

In tal modo si sottrae all’individuo una fase importantissima della cognizione: il contatto diretto con l’avvenimento.

Il maggiore risalto attribuito ad una notizia determina una percezione, da parte del lettore, dello spettatore, del navigatore, più intensa del normale e, di conseguenza, avrà maggiore incidenza sulla formazione del suo pensiero e del suo giudizio.

Viceversa, se la notizia viene diffusa sommariamente, in modo da non suscitare l’interesse dell’utente, o non viene diffusa affatto, non lascerà in quest’ultimo alcuna traccia, sottraendo alla sua cognizione elementi che, invece, potrebbero risultare importanti.

Appare inutile evidenziare come il funzionamento del mercato delle notizie, rigorosamente governato da criteri  commerciali, abbia a tal punto condizionato le aziende che operano al suo interno da produrre, come risultato, a fronte di un’altissima quantità di dati gestita dai mass media, un basso livello qualitativo delle informazioni rese alla massa, spesso diffuse in modo incontrollato e prive dei necessari riscontri.

Se, da un lato, non appare ipotizzabile un mondo in cui ciascuno possa avere un contatto diretto con ogni evento, dall’altro, non v’è motivo di negare che dalla tesi (ormai pacificamente accolta in dottrina ed in giurisprudenza) secondo la quale dall’articolo 21 della Costituzione discende il diritto di informarsi e d’informare, debba anche e necessariamente discendere il dovere, per chi gestisce l’informazione, di rappresentare la realtà in modo obiettivo e privo di condizionamenti esterni, che potrebbero falsare la percezione della notizia da parte dell’utente.

Contrariamente a quanto si riterrebbe auspicabile, lo stesso Legislatore appare oggi sempre più condizionato dai mass-media nella promulgazione di nuove leggi, che a volte riguardano comportamenti della cui effettiva pericolosità sociale c’è da dubitare fortemente.

Ne sono un evidente esempio le recenti notizie di cronaca riguardanti una serie di reati ad alto contenuto tecnologico perpetrati su vasta scala, alle quali ha fatto seguito la recente promulgazione delle nuove norme poste a tutela del diritto d’autore, da anni ferme in Parlamento e chiaramente ispirate ad una visione commerciale e lobbistica del settore delle opere dell’ingegno e dei diritti ad esse connessi, nonché una proposta di direttiva europea sulla lotta alla criminalità informatica.

Appare subito evidente, a qualsiasi persona dotata di buon senso, come la giustizia spettacolo e la promulgazione di norme frutto delle pressioni di grandi gruppi imprenditoriali comportino delle conseguenze che contrastano in modo evidente con i principi fondamentali del diritto e che si ripercuotono sull’opinione pubblica come messaggi ingiustificatamente esasperati e assolutamente non obiettivi.

L’eccesso di informazione si traduce in uno svantaggio per la collettività giuridicamente organizzata, che subirà le conseguenze di tale modo di operare dei mass media.

Il terrorismo psicologico operato dai mass-media in occasione dei recenti fatti di criminalità informatica ha portato l’utente medio di servizi telematici a ritenere che Internet e le reti telematiche in genere siano ricettacolo di delinquenti, stupratori, assassini, pedofili e quanto di peggio possa offrire il vasto panorama delle umane nefandezze.

Per quanto attiene all’oggetto di questa breve riflessione, è utile evidenziare come i mezzi di informazione abbiano giocato un ruolo determinante nella criminalizzazione di una cultura che, invece, solo marginalmente può essere ritenuta responsabile dell’evolversi e del diffondersi della criminalità informatica, i cui esponenti di spicco, salvo rare eccezioni,  provengono, molto più semplicemente, da frange tecnologicamente avanzate della criminalità organizzata e della delinquenza comune.

Gli avvenimenti del Febbraio dell’anno 2000, riguardanti note organizzazioni commerciali operanti sulla Rete per mezzo di siti web dedicati al commercio elettronico, hanno alimentato per giorni la tiratura e l’audience dei mass media tradizionali, a discapito di un movimento culturale che affonda le sue radici in mezzo secolo di storia.

Gli hacker, di cui diremo più avanti, sono stati citati a sproposito in più di un’occasione, ed equiparati ai cd. crackers e phreakers, dai quali si differenziano in modo sostanziale, senza che, peraltro, venisse minimamente approfondito il modus operandi dei soggetti che avevano portato a termine gli assalti nei confronti dei sistemi informatici delle citate organizzazioni commerciali e che, con ogni probabilità, non appartengono ad alcuna cultura digitale ed altro non sono che comuni delinquenti esperti nell’uso del computer.

A chiunque avesse una minima conoscenza dell’underground informatico, è apparso, invece, evidente che l’evento non poteva essere addebitato ad uno o più hacker, e che gli autori dell’assalto dovevano essere di ben altra estrazione.

Ciò nonostante, ad eccezione di qualche testata specializzata e di alcuni giornalisti “illuminati”, i media tradizionali hanno ingaggiato una paradossale gara alla criminalizzazione della Rete e degli hacker; gara che, pur senza poter annoverare vincitori, ha certamente prodotto l’effetto di terrorizzare l’utente medio di servizi telematici.

Non è possibile affermare che la disinformazione operata sia frutto di malafede, ed è anzi probabile che il coro stonato degli ignoranti (rectius: colui che ignora) altro non sia che il frutto della scarsa cultura informatica che caratterizza il nostro paese, in cui un buon 70% dei computer acquistati sostituisce le consolle da gioco o, addirittura, i soprammobili. Quel che è certo, purtroppo, è che, nel “buon padre di famiglia” di giuridica memoria, si stanno inculcando a forza la cultura del sospetto verso le nuove tecnologie e il timore di utilizzare un mezzo di comunicazione che, invece, ha delle prerogative, delle qualità e delle potenzialità che lo rendono unico nel suo genere ed incredibilmente più efficace ed efficiente di ogni altro strumento.

Tutte le notizie di cronaca che in qualche modo riguardano l’informatica vengono esasperate ed evidenziate oltremodo, solo perché termini come Internet e hackers aumentano l’audience e la tiratura.

Le stesse forze dell’ordine, nonostante siano, almeno a livello centrale, sufficientemente preparate, confondono ancora, nel linguaggio comune, gli hackers, i phone phreakers e i crackers, che, di simile, altro non hanno che l’uso della tecnologia.

Se i mezzi di informazione, anziché “sparare alzo zero” sulla Rete e sull’intero underground informatico, provvedessero, come sembrano ormai aver fatto la Polizia di Stato, la Guardia di Finanza, l’Arma dei Carabinieri, consci dell’importanza dell’iniziativa, a creare dei gruppi specializzati nel trattamento delle notizie che provengono da Internet o che ad essa si riferiscono, probabilmente l’audience e la tiratura aumenterebbero ugualmente, ma non si leggerebbero titoli che, pur nella loro demenzialità, sono comunque in grado di fuorviare ed intimorire chi della tecnologia non fa un uso quotidiano.

E’ lecito chiedersi, a questo punto, se la reazione del Legislatore ai fatti di criminalità informatica sia stata corretta o sia invece il risultato delle notizie esasperate e poco obiettive diffuse dai mass-media.

Appare opportuno premettere che la storia degli hackers inizia negli anni ’50, presso il Massachusetts Institute of Technology di Cambridge, grazie ad un plastico ferroviario realizzato dal gruppo di studenti noto come Tech Model Railroad Club.

Il Signal & Power Subcommittee era il gruppo di ragazzi che si occupava della parte elettrica del sistema; al suo interno, alcuni membri, capaci di realizzare strabilianti collegamenti in grado di far funzionare meglio il plastico, si fregiavano, con orgoglio del termine “hacker”.

L’istituzione del primo corso di informatica della storia consentì a molti di questi brillanti studenti di dedicarsi alla programmazione dei sistemi informatici messi a disposizione dall’Istituto.

Ben presto le capacità degli allievi, applicate al settore informatico, e una notevole dose di spregiudicatezza, ebbero la meglio sui ritmi pacati e tradizionali dei professori, che si piegarono ben volentieri al modus operandi dei loro allievi dopo averne sperimentato la validità.

In quegli anni si gettarono le basi della cultura degli hacker, ossia i principi della libera disponibilità delle tecnologie, della libera disponibilità delle informazioni e del rispetto reciproco.

L’evoluzione tecnologica e la rivoluzione informatica sono in gran parte frutto della diffusione di quella cultura nel mondo.

Nel 1989, ad Amsterdam, si tenne la festa galattica degli hackers, durante la quale i principi ispiratori della cultura furono definitivamente consacrati in una dichiarazione d’intenti che può così riassumersi: 1) l’accesso alle tecnologie e alle informazioni deve essere libero, illimitato e gratuito; 2) il lavoro deve essere ispirato a criteri di collaborazione e cooperazione per il perseguimento dell’obiettivo comune; 3) gli uomini devono essere giudicati in base alle loro azioni e alle loro capacità e non secondo criteri superati quali il sesso, la razza, la religione, la posizione sociale; 4) l’autorità non deve utilizzare la tecnologia contro il suo popolo, ma sfruttarla per promuovere la democrazia, il decentramento, l’effettiva gestione della cosa pubblica da parte del cittadino.

Detti principi e la storia degli hackers d’america sono stati superbamente descritti da Steven Levy nell’opera che più di ogni altra ha reso giustizia alla cultura digitale in esame: “Hackers – Gli eroi della rivoluzione informatica”, Ed. Shake, Milano, 1996.

L’attività di hacking è solitamente finalizzata alla raccolta di informazioni riservate, alla scoperta di dati che sono tenuti deliberatamente nascosti, ed è animata dalla curiosità, dal gusto della sfida, dalla voglia di confrontarsi con le misure di sicurezza poste a protezione di un sistema informatico o telematico.

Un’attività prettamente ludica e certamente non rivolta all’uso illecito delle tecnologie informatiche, che è stata tuttavia travisata dai mass media ed imposta al grande pubblico come nuova forma di aggressione a beni giuridicamente rilevanti, senza operare alcuna distinzione tra ciò che aveva di positivo e ciò che altri soggetti utilizzavano per fini illeciti.

Il reato di accesso abusivo ai sistemi informatici e telematici è disciplinato dall’art. 615 ter c.p., introdotto con Legge 23.12.1993, n. 547, ed è assimilato, per collocazione sistematica, alla violazione di domicilio di cui all’art. 615 c.p., fattispecie dalla quale mutua anche la pena della reclusione fino a tre anni.

Tale previsione normativa è completata dall’art. 615 quater c.p., volto ad impedire la detenzione e diffusione abusiva di codici di accesso a sistemi informatici o telematici.

La norma di cui all’art. 615 ter non fa alcuna distinzione tra accesso fisico e logico, né tra accesso locale o da remoto. E’ quindi incomprensibilmente carente di elementi che risultano invece fondamentali per un corretto inquadramento della fattispecie di reato e della sua gravità.

Viene peraltro punito un comportamento che non necessariamente arreca un danno di natura patrimoniale alla presunta vittima. Al contrario, come già accennato, l’attività di hacking è solitamente finalizzata al mero superamento delle misure di sicurezza poste a difesa del sistema, e termina in genere con la comunicazione all’amministratore del medesimo dell’avvenuta violazione affinchè prenda adeguate contromisure.

A tale modus operandi si sono da tempo conformate imprese specializzate in misure di sicurezza che, previa acquisizione del consenso dei titolari dei sistemi interessati, simulano assalti ai medesimi per testarne il grado di affidabilità.

E’ inutile sottolineare, pertanto, che l’assalto finalizzato esclusivamente al superamento delle misure di sicurezza non deve necessariamente essere considerato un evento negativo.

Se, nel caso di violazione di domicilio, la sola penetrazione nell’abitazione di uno sconosciuto incute un comprensibile timore nel proprietario, appare evidente come, invece, la violazione delle misure di sicurezza di un elaboratore collegato ad una rete telematica non sia vissuta con identica traumaticità e possa, anzi, servire ad individuare eventuali debolezze del sistema che non erano note.

E’ opportuno, inoltre, evidenziare come non possa ritenersi riservato, al punto da essere assimilato al domicilio fisico, un qualsiasi elaboratore collegato ad una rete telematica, giacchè la stessa decisione di condividere, seppure con una cerchia ristretta di persone, le informazioni in esso contenute, comporta la relativa riservatezza delle stesse, se non l’assoluta indifferenza del titolare delle medesime rispetto alla loro diffusione (ciò, in particolare, quando l’unica ragione della limitazione posta agli accessi risulta essere di natura economica, come nel caso di servizi erogati a pagamento, e la reazione dell’ordinamento dovrebbe, pertanto, essere di natura civilistica e non penalistica).

Una sostanziale differenza, infine, esiste tra l’attività degli hacker e quella dei comuni criminali informatici, dediti a ben altre tipologie di assalto, solitamente finalizzate alla perpetrazione di diversi e più gravi fatti di reato, quali il danneggiamento del sistema, l’interruzione del suo funzionamento, la cognizione di dati riservati da sfruttare economicamente, ecc.

La norma non prende in alcuna considerazione tali circostanze che, invece, dovrebbero influire, e in modo rilevante, sull’irrogazione della pena.

E’ evidente che la sottrazione della cartella clinica del Presidente degli Stati Uniti ad opera di un giovane informatico in cerca di notorietà non può essere equiparata alla violazione delle misure di sicurezza di un centro di ricerche e alla sottrazione di progetti o segreti industriali da sfruttare economicamente.

Eppure, in base alla stesura dell’art. 615 ter del codice penale, l’azione risulta avere le medesime conseguenze, fatta salva l’applicazione di altre norme concorrenti.

Il medesimo ragionamento deve essere spostato, seppur in termini leggermente diversi, sull’art. 615 quater c.p., secondo il quale la semplice detenzione di codici di accesso a sistemi informatici costituisce un reato punibile con la reclusione fino ad un anno e con la multa sino a dieci milioni.

Non v’è dubbio che sussista una notevole differenza tra la detenzione di un qualsiasi codice di accesso ad un sistema, da parte di uno studioso o di un hacker che intenda capirne il funzionamento, rispetto alla medesima situazione in cui è protagonista un qualsiasi delinquente di estrazione informatica.

Eppure, anche tale norma risulta di difficile e dubbia applicazione, ed anzi, potrebbe, ad un’interpretazione restrittiva, rendere perseguibile persino la pubblicazione di manuali tecnici o giuridici, orientati allo studio ed al perfezionamento della sicurezza dei sistemi informatici, nei quali siano descritte le modalità di assalto affinchè si possano approntare idonee contromisure (“…o comunque fornisce indicazioni o istruzioni idonee al predetto scopo” – art. 615 quater c.p.).

In sostanza, l’hacker è moralmente e intellettualmente più simile ad un ricercatore che ad un delinquente, e numerosi comportamenti tipici delle culture digitali sono considerati perseguibili dagli ordinamenti giuridici di vari paesi industrializzati solo a causa dell’ignoranza e della disinformazione operata dai mass-media.

La paura di perdere il controllo di un mondo che non si conosce e contro il quale troppo spesso tuonano riviste, quotidiani e televisioni, ha indotto il Legislatore ad assumere un atteggiamento repressivo ed eccessivamente cauto nei confronti di ogni comportamento ritenuto potenzialmente negativo.

Ed invece, ad un attento esame dell’underground informatico, risulta palese che l’uso dei sistemi informatici e telematici non comporta pericoli immediati e concreti.

Appare evidente che difficilmente il personal computer di un comune individuo potrebbe essere attaccato, salvo voler prendere in considerazione assalti portati a termine per scherzo o per dispetto.

Le ragioni sono diverse. Innanzitutto è difficile individuare sulla rete un personal computer collegato ed associarlo ad un determinato utente, perché ad ogni connessione viene assegnato un riferimento elettronico (chiamato IP address) che è variabile. Solo gli elaboratori permanentemente collegati alla rete sono individuati da un IP address di tipo statico, che non cambia e che consente, pertanto, la loro immediata individuazione (ne è un esempio l’attuale connessione ADSL).

In secondo luogo, salvo casi particolarissimi, un criminale è spinto ad agire dall’intenzione di concretizzare rapidamente un vantaggio economico. Avrebbe quindi scarso interesse ad attaccare un comune personal computer, obiettivo poco appetibile rispetto ad un server con migliaia di informazioni memorizzate.

La perseguibilità penale dell’azione, infine,  salvo il caso di sistemi di pubblica utilità, che godono di una tutela accentuata, sarebbe identica; l’eventuale individuazione del responsabile dell’azione delittuosa comporterebbe, per quest’ultimo, l’applicazione delle medesime sanzioni, sia in caso di attacco portato a termine contro il personal computer di un privato, sia in caso di assalto ai danni del server di una grande azienda.

Analoghe considerazioni possono essere fatte, seppure basandosi su tutt’altri motivi,  circa la possibilità per un utente normale di subire un attacco da parte di  un hacker, poiché il computer di un privato non risulta in alcun modo interessante; non è protetto, non contiene informazioni riservate, non costituisce alcun ostacolo alla libera diffusione delle informazioni. L’assalto portato a termine nei confronti di una grande azienda o di un ente governativo potrebbe invece costituire una sfida interessante, dato che, solitamente, tali sistemi sono protetti da misure di sicurezza anche piuttosto robuste e gestiti da un amministratore di sistema, vero contraltare umano di ogni hacker.

Anche in questo caso, tuttavia, il risultato dell’assalto sarebbe diverso (con ogni probabilità comporterebbe il miglioramento delle misure di sicurezza del sistema) rispetto a quello portato a termine da un comune criminale informatico.

Appare evidente, pertanto, che la normativa attuale sia quantomeno carente di precisazioni che consentano di calibrare la reazione dell’ordinamento all’effettiva pericolosità dell’assalto e che tale interpretazione restrittiva dei principi di diritto che ispirano il codice penale e, più in generale, l’ordinamento italiano e gli ordinamenti stranieri, sia frutto principalmente di norme promulgate frettolosamente dai vari legislatori sulla scia delle polemiche e dei timori generati principalmente da una pessima informazione. Per l’appunto da una “disinformazione” in materia che ha portato, come già detto, ad equiparare una cultura che affonda le sue radici in mezzo secolo di storia a comuni delinquenti tecnologicamente evoluti che con essa non hanno nulla a che fare.

Gianluca Pomante

Lascia una risposta

Il tuo indirizzo email non sarà pubblicato. I campi obbligatori sono contrassegnati *