Credenziali e virus informatici

La gestione dei codici di accesso ad un sistema informatico costituisce uno degli aspetti fondamentali della sicurezza, poiché è attraverso essi che l’amministratore attribuisce agli utenti la possibilità di compiere determinate operazioni ed accedere a determinati dati.

In un sistema tradizionale, costituito dall’elaboratore elettronico stand-alone di casa o dell’ufficio, non c’è, di solito, la necessità di gestire l’accesso di diversi utenti, salvo situazioni particolari in cui la stessa macchina sia utilizzata da due o più soggetti.

Il problema, invece, si pone con le reti locali e geografiche, in cui le risorse devono necessariamente essere amministrate con cautela e, soprattutto, deve essere possibile stabilire chi ha fatto cosa e quando.

Per consentire tale attività di assegnazione, ripartizione e controllo delle risorse e dei dati, un  sistema informatico è solitamente dotato di codici di identificazione attribuiti in modo univoco ad ogni utente, normalmente associati a delle parole di accesso, che impediscano, se custoditi con la necessaria cautela e riservatezza, l’eventuale sottrazione del codice di accesso e l’indebito utilizzo da parte di un altro utente.

Nel collegamento ad Internet, ad esempio, il navigatore deve disporre di User Id e password per poter avere accesso alla Rete, così come avviene nelle reti locali di uffici ed aziende. Nel primo caso l’esigenza cui è preordinata tale soluzione è rappresentata dalla necessità di individuare l’utenza telefonica da cui proviene la chiamata e procedere all’addebito del relativo costo in bolletta. Nel secondo caso l’identificazione dell’utente consente il controllo della sua attività.

In una diversa tipologia di rete, quale può essere quella del servizio bancomat, l’utente viene riconosciuto per ciò che possiede (la tessera magnetica, che sostituisce la User Id) e per ciò che conosce (il PIN – Personal Identification Number, che sostituisce la password) e quindi abilitato ad effettuare determinate operazioni (prelievo, visualizzazione saldo contabile, ricariche telefoniche, ecc.)

Altri sistemi sono progettati per identificare gli utenti autorizzati mediante smart card, lettori di impronte digitali o apparecchi per la scansione dell’iride, tutti aventi comunque un obiettivo in comune: quello di generare codici di accesso destinati ad identificare l’utente e consentirgli l’accesso alle risorse del sistema.

Nonostante tali operazioni vengano ormai compiute quotidianamente da milioni di persone (è sufficiente pensare alla diffusione delle tessere bancomat e delle connessioni ad Internet) sono davvero pochi gli utenti che comprendono quanto sia pericoloso custodire in modo insufficiente o superficiale i  codici di accesso personali.

Fin da quando sono stati installati i primi Bancomat, gli Istituti di Credito hanno costantemente informato i propri correntisti della inopportunità di annotare il PIN sulla tessera, ma una percentuale comunque maggioritaria di questi ultimi ha ancora tale pessima abitudine.

Anche alla sicurezza informatica si attribuisce ogni giorno maggiore importanza, soprattutto nelle aziende, ma è facile (per non dire che è praticamente la prassi) trovare una password annotata sul classico foglietto giallo adesivo, posto sul bordo esterno del monitor, sotto la tastiera o, nella migliore delle ipotesi, nel primo cassetto della scrivania.

Salvo il ricorso a tecniche biometriche o a sistemi di monitoraggio ambientale (molti bancomat sono ormai dotati di telecamera di videosorveglianza), è difficile distinguere il legittimo possessore di un codice di accesso rispetto a chi lo sta utilizzando illegalmente, e questo fa comprendere le difficoltà che le Forze del’Ordine e la Magistratura incontrano nella gestione delle notizie di reato nel momento in cui sono gli stessi utenti autorizzati a non rispettare le regole basilari della sicurezza informatica.

Preso atto delle problematiche connesse all’utilizzo dei sistemi informatici e alla loro crescente diffusione nel mondo aziendale (la legge 547 è del 1993, periodo in cui i computer erano utilizzati solo in ambito professionale, salvo alcune eccezioni, ed Internet era ancora pressochè sconosciuta) il Legislatore ha introdotto nel codice penale, a completamento della più generale fattispecie di cui all’art. 615 ter c.p. (accesso abusivo ad un sistema informatico), la condotta di cui all’art. 615 quater, volta a punire ogni comportamento finalizzato a procurare, riprodurre, diffondere, comunicare o consegnare codici, parole chiave o altri mezzi idonei all’accesso ad un sistema informatico.

L’allarme destato dai primi atti di criminalità informatica ha tuttavia indotto il Legislatore ad anticipare eccessivamente la soglia di punibilità, fino alla condotta consistente nel fornire indicazioni o istruzioni idonee a consentire la violazione delle misure di sicurezza poste a tutela di un elaboratore elettronico, decisione, quest’ultima, quantomeno discutibile, posto che in qualsiasi manuale di informatica è possibile rinvenire notizie, dati e informazioni che possono anche essere utilizzati per tale finalità, ma ciò non consente di poter catalogare automaticamente come illegale l’anzidetto materiale.

Problemi etici a parte, risulta evidentemente plurioffensiva la fattispecie di reato, poiché un inquadramento restrittivo tra le ipotesi di violazione del domicilio comporterebbe inevitabilmente l’inutilizzabilità della norma nella maggioranza dei casi.

L’attenzione dell’interprete, pertanto, deve essere incentrata non tanto sulla collocazione sistematica dell’art. 615 quater, bensì sulla condotta materiale, sull’intenzione dell’autore e sul momento consumativo del reato

L’attività volta ad acquisire i mezzi necessari per accedere al sistema informatico altrui può consistere sia nel riceverli da altri soggetti che nel produrli autonomamente, come peraltro espressamente previsto dalla relazione al disegno di legge n. 2773, dal quale è scaturita la 547/93.

Diverse sono invece le condotte tramite le quali le informazioni possono essere trasmesse ad altri. L’art. 615 quater parla, infatti, di diffusione, comunicazione, consegna e fornitura, con la chiara intenzione di ricomprendere qualsiasi condotta comunque finalizzata a procurare ad altri detto materiale.

Per diffusione si intenderà ovviamente quella condotta, già delineata dalla giurisprudenza di merito e di legittimità, anche in relazione ad altre fattispecie penalmente rilevanti, consistente nel rendere disponibile un’informazione ad un numero indefinito di soggetti.

La comunicazione è invece la trasmissione di informazioni ad uno o più soggetti determinati, mentre per consegna non può che intendersi la cessione di un oggetto materiale quale una smart card, una chiave, un badge magnetico, ecc.

L’espressione estremamente generica “fornisce indicazioni o istruzioni” è chiaramente finalizzata ad estendere il più possibile la portata della norma, ma contiene anche, come già detto, un eccessivo arretramento della tutela penale, che più autori hanno considerato costituzionalmente illegittimo, soprattutto alla luce dell’effetto che un’interpretazione restrittiva potrebbe avere sulla ricerca e sul progresso tecnologico.

Un limite che è stato contestato anche in relazione alle recenti modifiche alla legge sul diritto d’autore e alla proposta di assoggettare il software alla tutela brevettuale delle invenzioni anziché a quella delle opere dell’ingegno prevista dalle norme vigenti.

Il momento consumativo del reato è perfezionato nel momento in cui il soggetto completa la condotta di acquisizione delle informazioni o degli oggetti, ovvero nel momento in cui ha temine la consegna o la trasmissione ad altre persone. Ovviamente il tentativo di delitto di cui all’art. 56 c.p. non è configurabile, essendo già la fattispecie di cui all’art. 615 quater configurata come reato di pericolo.

E’ controverso, in dottrina, se la semplice detenzione di codici di accesso possa concretizzare il reato in esame. Il problema non è di scarsa rilevanza, dato che è normalmente riscontrabile, nella mentalità dell’utente medio di Internet, la “sindrome del collezionista”, per cui il soggetto tende a memorizzare e conservare sul proprio hard disk ogni informazione che in qualche modo può essere considerata “preziosa” secondo vari metri di valutazione.

E’ quindi evidente che la semplice detenzione di codici di accesso a sistemi informatici, pur nella consapevolezza di non volerli utilizzare, costituisca un forte richiamo per quanti sono interessati esclusivamente ad accrescere il proprio prestigio presso amici e colleghi, dimostrando, in qualche modo, di poter violare liberamente un sistema informatico ma di non avere interesse a farlo.

Peraltro, atteggiamenti esibizionistici a parte, la detenzione di codici di accesso o di informazioni idonee all’accesso a sistemi informatici è oggetto di studio per chiunque si occupi di sicurezza informatica o di diritto delle tecnologie, al fine di comprendere al meglio i fenomeni connessi a tali tipologie di problemi.

E’ quindi opportuno, nell’esame delle singole condotte pervenute all’attenzione delle Forze dell’Ordine e della Magistratura, risalire alla intenzionalità della condotta posta in essere dall’agente e, soprattutto, alla reale volontà di penetrare all’interno di un sistema informatico del quale possiede i codici o le informazioni.

In ultima analisi, è doveroso evidenziare che la fattispecie è caratterizzata da un elemento psicologico specifico, consistente nell’arrecare ad altri un danno o nel trarre profitto, per sé o per altri, dall’operazione, circostanza che esclude la punibilità di ogni altra condotta diversa da queste ultime e consente di circoscrivere il campo di applicazione della norma che, altrimenti, come già evidenziato, porrebbe non pochi problemi per le inevitabili interferenze con i principi costituzionali posti a tutela della libertà di manifestazione del pensiero e di diffusione della cultura e delle informazioni.

Quanto alla produzione dottrinale e giurisprudenziale in materia, sono assolutamente prive di fondamento, invece, le elucubrazioni di alcuni operatori del diritto che hanno inteso inquadrare in tale fattispecie di reato l’utilizzo di smart card per l’accesso a trasmissioni televisive ad accesso condizionato ovvero la modifica di alcuni tipi di videogiochi elettronici.

In entrambi i casi, per fortuna, nuovi interventi legislativi e opportune pronunce giurisdizionali hanno ristabilito l’ordine, assegnando le trasmissioni satellitari al settore che è loro naturale (quello della tutela delle opere dell’ingegno) e propendendo per una soluzione indolore (il fatto non è previsto dalla legge come reato) in relazione alla modifica delle apparecchiature elettroniche.

In realtà, benchè lodevoli, gli sforzi interpretativi di taluni “esperti” mancavano di conoscenza tecnica e, soprattutto, di scarsa capacità analitica in relazione alla normativa esistente, volta a tutelare, in ogni caso, la riservatezza del domicilio informatico e, in subordine, dei dati e dei programmi in esso contenuti, potendosi infine ipotizzare forme indirette di tutela del patrimonio e dell’affidabilità dei sistemi informatici (quest’ultima per gli effetti che può avere sulla collettività).

Erano quindi assolutamente fuori luogo le pretese di assoggettare a tale normativa situazioni che non possono trovare altra tutela che quella destinata a preservare gli interessi commerciali delle aziende coinvolte, in relazione ai quali risulta invece evidente la difficoltà di applicazione dell’art. 615 quater c.p.

Occorre, infine, rimarcare l’intenzione del Legislatore di mantenere la norma al passo con i tempi, per l’adozione della definizione “altri mezzi idonei all’accesso”, che consente un interpretazione elastica della fattispecie in ordine alle metodologie e tecniche utilizzate per violare la sicurezza dei sistemi informatici e telematici; per contro, l’uso del termine “parole chiave” per identificare le c.d. “password” di accesso ai sistemi (confondendo così tale espressione – che è propria dell’Informatica Giuridica e non del Diritto dell’Informatica, e indica le parole utilizzate come base per la ricerca documentale – con i più corretti termini parola d’accesso o chiave logica di accesso) indica una scarsa familiarità dello stesso Legislatore con il vocabolario degli informatici. 

 ***

Con l’introduzione all’interno del Codice Penale del successivo art. 615 quinquies, il Legislatore ha inteso dare una risposta alla crescente diffusione di virus informatici, che già nei primi anni 90 aveva mostrato una crescita esponenziale.

La condotta rilevante, ai fini della punibilità, consiste nella diffusione, comunicazione o consegna di un qualsiasi programma informatico (e quini non solo virus informatici ma anche cavalli di troia, bombe logiche, ed ogni altra tipologia di software distruttivo o disturbante), realizzato dall’agente o da altri, avente per scopo o per effetto il danneggiamento di un sistema informatico o telematico, dei dati o dei programmi in esso contenuti o ad esso pertinenti, ovvero l’interruzione, totale o parziale, o l’alterazione, del suo funzionamento. 

Benchè impropriamente collocata tra i delitti contro l’inviolabilità del domicilio, la norma mira a reprimere una serie di condotte prodromiche alla realizzazione del reato di danneggiamento di sistemi informatici, di cui al successivo art. 635 bis c.p., attraverso la configurazione di un reato ostacolo volto a tutelare l’integrità e la funzionalità dei sistemi aggrediti.

Sono infatti punibili le condotte della diffusione, comunicazione o consegna di programmi aventi per scopo o per effetto il danneggiamento del sistema.

Si avrà diffusione in tutti quei casi in cui il programma infetto sia trasmesso ad un numero indefinito di soggetti (ad esempio, a seguito di pubblicazione su un sito web che consente il download del programma), mentre le condotte della consegna e della comunicazione saranno rispettivamente ipotizzabili quando si verificherà la cessione materiale di un supporto o la trasmissione per via telematica del programma ad una o più persone determinate (ad esempio, a mezzo posta elettronica).

Ovviamente il programma deve essere idoneo a creare una situazione di pericolo per il sistema aggredito, poiché, in caso contrario, non vi sarebbe una reale possibilità di danneggiamento, come nel caso, ad esempio, di un programma sviluppato per il mondo Windows che venisse copiato su un sistema Linux. Non essendo progettato per operare su tale sistema operativo, il programma sarebbe ineseguibile e del tutto innocuo.

L’elemento psicologico è costituito dalla coscienza e volontà di commettere l’azione, essendo irrilevante il fine cui tale comportamento è preordinato.

A questo proposito, tuttavia, appare evidente che la formulazione dell’articolo sia quantomento inquietante (“…programma… …avente per scopo o per effetto il danneggiamento…”), non essendo in realtà così semplice ed agevole distinguere un software progettato e realizzato con l’intenzione di ledere beni giuridicamente rilevanti da un software malfunzionante, ma comunque in grado di danneggiare il sistema sul quale viene eseguito.

Né il Legislatore sembra essere a conoscenza dell’esistenza di utility di sistema potenzialmente molto più pericolose della maggioranza dei virus in circolazione. Tali sono, ad esempio, i comandi Format, Fdisk, Deltree, ecc., che ogni comune utente di sistemi informatici ben conosce.

Un’interpretazione restrittiva della norma potrebbe comportare la responsabilità a tale titolo di qualsiasi casa di software che produce utility di sistema. 

Appare evidente come l’esame della fattispecie delittuosa debba, pertanto, incentrarsi sull’elemento psicologico del dolo, anch’esso tuttavia difficilmente individuabile nella realtà processuale. E’ necessario, infatti, dimostrare che l’agente era a conoscenza del potenziale lesivo del software e che abbia intenzionalmente portato a termine, con coscienza e volontà, il disegno criminoso. Concetto semplice da esporre in teoria, ma difficile da dimostrare nella pratica, circostanza che potrebbe portare la Magistratura ad emettere un giudizio di colpevolezza basato esclusivamente sull’evento lesivo e, quindi, a reintrodurre una ipotesi di responsabilità oggettiva che non trova dimora nell’ordinamento italiano.

Da tempo, ad esempio, le mailboxes italiane sono invase da virus informatici che si replicano automaticamente a tutti gli indirizzi di posta elettronica in rubrica, prelevando blocchi di testo dai documenti presenti su disco e simulando, in tal modo, l’invio di una normale e-mail di corrispondenza, nel tentativo di trarre in inganno il destinatario ed indurlo ad attivare il virus aprendo l’allegato, ritenuto affidabile data la provenienza da un indirizzo reale, associato ad un utente conosciuto.

Il computer del destinatario sarà a sua volta compromesso dal virus, che genererà una nuova ondata di e-mail, finalizzate a riprodurre la medesima situazione con i titolari degli altri indirizzi presenti in rubrica.

Alla luce di quanto sopra, potrebbe configurarsi, per l’ignaro utente, un’ipotesi di responsabilità penale. Il funzionamento del virus, infatti, è legato al normale uso della posta elettronica e l’apertura dell’allegato infetto provoca automaticamente l’entrata in funzione del virus. Risulta complesso, pur in presenza di approfonditi accertamenti tecnici, valutare se il danneggiamento ha fatto seguito all’azione di un virus o all’attività consapevole dell’utente, soprattutto se, nel frattempo, è stato installato un antivirus che ha rimosso il problema o se il disco è stato riformattato per l’aggiornamento del sistema operativo (considerati i tempi della giustizia, non è sbagliato ipotizzare un aggiornamento da Windows 95 a Windows 98 e perfino a Windows ME, nel “breve” lasso di tempo di un procedimento penale).

Con l’avvento della Legge 675/96 e l’obbligo di adozione delle misure di sicurezza per i sistemi informatici utilizzati per il trattamento di dati personali, è stato di fatto introdotto, nel nostro ordinamento, un principio generale di responsabilità dell’amministratore di sistema e, in via subordinata, di ogni utente di computer e apparati tecnologici, per i quali si configura l’obbligo di utilizzare il proprio strumento con competenza e professionalità.

In particolare, in presenza di un trattamento di dati personali, l’attività svolta tramite il computer viene assimilata alle attività pericolose, le cui conseguenze negative sono risarcibili ai sensi dell’art. 2050 C.C. (art. 18, Legge 675/1996)

L’onere di adottare un software antivirus ed ogni altro accorgimento idoneo ad evitare di arrecare ad altri un danno, è quindi rinvenibile, nel gruppo di norme sopra richiamate, a carico di ciascun utilizzatore di sistemi informatici, per il quale potrebbe ben configurarsi una responsabilità penale a seguito della mancata adozione di tale misura.

In caso di evento lesivo, peraltro, comunque si concretizzerebbe una responsabilità civile per i danni arrecati a terzi dal comportamento omissivo del titolare del sistema informatico dal quale si è diffuso il virus, in una reazione a catena destinata a travolgere tutti i proprietari e responsabili dei sistemi infetti.

Si potrebbe obiettare che è comunque necessario dimostrare l’intenzionalità della condotta posta in essere dal soggetto ritenuto responsabile dell’evento, ma a ben vedere, ciò rileva innanzitutto per la sola fattispecie penale (dato che in ambito civile è sufficiente che l’evento sia addebitabile al soggetto) e, in ogni caso, trattandosi di un reato di pericolo – che si consuma nel momento e nel luogo in cui avviene la diffusione, comunicazione o consegna del programma, non essendo necessaria la realizzazione dell’effettivo danneggiamento – le probabilità di dover affrontare un giudizio e di venire finanche condannati non sono poi così remote.

Oggetto materiale della condotta sanzionata dal codice è qualsiasi programma infetto idoneo a produrre l’effetto indesiderato. Il Legislatore ha infatti redatto una definizione funzionale dei software di cui è vietata la diffusione, basata sulla loro idoneità a danneggiare il sistema informatico  aggredito, ovvero i dati e programmi in esso contenuti.

Parte della dottrina ritiene che per virus informatico o programma distruttivo o disturbante si possa considerare esclusivamente il codice eseguibile e non anche il codice sorgente, che deve essere compilato o interpretato da un programma idoneo per poter essere eseguito sulla macchina; ammettere la rilevanza penale anche di tali programmi comportarebbe un innalzamento eccessivo della soglia di punibilità, attraverso la repressione di una condotta decisamente troppo lontana dalla possibile lesione del bene protetto.

Per la stessa ragione non è ammissibile la perseguibilità della diffusione di informazioni relative alla produzione o al funzionamento di uno dei programmi di cui all’art. 615 quinquies.

Non è altresì punibile l’acquisizione di software idoneo allo scopo, sia per l’assenza di specifica previsione normativa in tal senso, sia perché le finalità della raccolta potrebbero essere ricondotte a comportamenti perfettamente leciti e rientrare, pertanto, nelle ipotesi scriminanti di cui all’art. 51 c.p., potendo legittimamente i soggetti agenti giustificare il possesso dei programmi ed esercitare il diritto di perseguire i propri interessi (ad es.: la produzione di programmi antivirus da parte di una casa di software o lo studio del tipo di azione condotta dal virus da parte di un esperto di sicurezza, nonché la verifica dell’efficienza del proprio antivirus da parte di qualsiasi utente normale). 

E’ appena il caso di evidenziare, infine, che trattasi ancora una volta di reato di pericolo (una prassi in materia di reati informatici che sottolinea l’importanza, forse eccessiva, prestata dal Legislatore per tali tipologia di reati), per il quale non è ammissibile il tentativo ex art. 56 c.p., attraverso il quale si innalzerebbe eccessivamente la soglia di punibilità.

E, a tal proposito, è forse altrettanto opportuno sottolineare che, nonostante l’allarmismo dei media, sempre pronti a dedicare ampi titoli in apertura agli eventi legati alle tecnologie informatiche, i danni effettivamente arrecati alla collettività dalla diffusione dei virus informatici non sembrano poter superare quelli effettivamente arrecati dall’ignoranza delle più elementari misure di sicurezza informatica, né quelli, purtroppo, derivanti dall’operato della criminalità tradizionale.

Gianluca Pomante

Lascia una risposta

Il tuo indirizzo email non sarà pubblicato. I campi obbligatori sono contrassegnati *