Osservatorio sulla legalita' e sui diritti

who
what
how
when
where
why
news

"INTERNET FRA LIBERTA' E DIRITTI:
prevenzione delle violazioni e prospettiva forense"

Reati informatici e responsabilità dell'Ente: una risposta globale
abstract dell'intervento di Jane MORI*

L'utilizzo di Internet, pur rappresentando una “vitale opportunità” per il sistema economico-sociale, può diventare un possibile “centro di criminalità” capace di generare notevoli danni a livello globale senza trivare una risposta adeguata nella normativa, che dovrebbe essere concordata a livello globale.

Oltre 1 milione di reati informatici vengono commessi, ogni giorno, nel mondo, con conseguenti danni di immagine, dati persi, tempo perduto o danni effettivi al sistema. I paesi con i tassi di criminalità informatica più elevati sono la Cina (85%) e il Sudafrica (84%). Secondo il Rapporto Norton sulla criminalità informatica 2011, i Paesi più colpiti sono gli Stati Uniti, con 74 milioni di denunce e danni diretti per 32 miliardi di dollari, la Cina con danni diretti per 25 miliardi di dollari, il Brasile, con danni diretti per 15 miliardi di dollari. In Italia il danno diretto stimato è di 857 milioni di dollari (8,5 miliardi indiretti).

Inizialmente ciascuno Stato aveva propria normativa di riferimento anche se Convenzioni o Trattati internazionali prevedevano la cooperazione in campo penale tra alcuni Stati Europei ed extra Europei. Iniziative di sensibilizzazione per la cooperazione nella lotta alla criminalità informatica sono state messe in campo dalle Nazioni Unite, dall'OECD, dall'Unione Europea, dal G8, ecc. Nel frattempo l’evoluzione della tecnologia digitale ha portato alla convergenza e alla rapida globalizzazione delle reti informatiche; e’ aumentato il rischio che le reti informatiche e le informazioni in formato elettronico possano essere utilizzate per commettere reati, anche se tramite queste reti è anche possibile conservare e trasferire le prove connesse a tali reati.

Soltanto il primo luglio 2004 entra in vigore la Convenzione di Budapest, risultato di quattro anni di lavoro da parte di esperti non solo del Consiglio d'Europa, ma anche di altre nazioni non facenti parte dell'Unione Europea (Stati Uniti, Canada, Giappone, ecc…). Obiettivi della Convenzione sono

  • perseguire una politica comune in campo penale finalizzata alla protezione della società civile contro la criminalità informatica;
  • facilitare l’individuazione, investigazione e l’esercizio di una azione repressiva comune;
  • avere incriminazioni omogenee, sanzioni comuni, giurisdizione legittimata a perseguire e punire questi reati “globali”.

Nel creare un deterrente per azioni dirette contro la segretezza, l’integrità e la disponibilità dei dati, dei sistemi e delle reti informatiche, così come l’uso improprio di questi sistemi, reti ed informazioni (es. archivi ospedalieri in materia di trasfusioni), la Convenzione si deve misurare con il difficile compito di garantire un bilanciamento tra l’interesse per l’azione repressiva e, da un lato, il rispetto dei diritti umani fondamentali, dall'altro la necessità di tutelare gli interessi legittimi nell’uso e nello sviluppo delle tecnologie informatiche.;

Sul piano del Diritto Penale Sostanziale, la Convenzione prevede che ogni Paese debba prevedere e sanzionare i seguenti reati contro la riservatezza, l’integrità e la disponibilità dei dati e dei sistemi informatici:

  • Accesso illegale ad un sistema informatico;
  • Intercettazione abusiva;
  • Attentato all’integrità dei dati;
  • Attentato all’integrità di un sistema;
  • Abuso di apparecchiature.
  • Falsificazione informatica;
  • Frode informatica.
  • Reati relativi alla pornografia infantile.
  • Reati contro la proprietà intellettuale e diritti collegati.

Sempre sul piano del Diritto Penale Sostanziale, particolare attenzione viene posta alla responsabilità delle persone giuridiche, in materia di reati informatici. La Convenzione, nell’ambito della responsabilità della persona giuridica, chiede agli Stati membri di modulare il tipo di responsabilità (civile - penale - amministrativa) e di applicare sanzioni penali o non penali effettive, proporzionate e dissuasive o altre misure, incluse sanzioni pecuniarie.

I reati hanno infatti per oggetto privilegiato le aziende perchè il patrimonio aziendale è dematerializzato, c’è la possibilità di attaccarlo sia dall’interno che dall’esterno e vi è criminalità inter-aziendale, economica, concorrenziale, finalizzata a produrre danno all’azienda (perdita di immagine, perdita di quote di mercato, sottrazione di clientela, ecc..).

In quest'ambito la prevenzione è più difficile perchè CAMBIA LA SCENA DEL CRIMINE: il diaframma costituito dal computer tra il criminale e la vittima, fa sì che il criminale non sia più quello abituale, ma una persona comune, stimolata a tenere una condotta illecita, grazie al presunto anonimato; l'AZIENDA SPESSO NON COLLABORA: l’azienda spesso decide di non sporgere denuncia per i reati subiti, per evitare di incorrere in una pubblicità negativa (inaffidabilità dei sistemi, mancata protezione dei dati dei propri clienti, ecc..).

La responsabilità delle imprese, in tema di reati informatici, è un tema scottante come rivelano i dati ISTAT (Italia 2010): Per l’informazione e la comunicazione il 95% delle imprese utilizza il computer; il 93,7% dispone di una connessione ad internet; il 42,6% del personale utilizza un supporto informatico per lo svolgimento del proprio lavoro. Le imprese utilizzano molto anche Internet: l'86,6% per accedere a servizi bancario finanziari on-line; il 65,5% per acquisire informazioni sui mercati; il 55,3% per ottenere servizi ed informazioni in formato digitale; il 50,9% per acquisire servizi post-vendita; il 22,6% per proporre progetti di formazione on-line. Il 63,2% delle imprese con almeno 10 addetti scambia elettronicamente informazioni con altre imprese in un formato che ne consente il trattamento automatico.

Sul piano della prevenzione dei reati, l' 88,2% delle imprese italiane adotta misure di sicurezza per evitare la distruzione o corruzione dei dati a causa di un attacco o di un incidente inaspettato; il 75,8% delle imprese adotta misure di sicurezza per evitare la divulgazione di informazioni riservate a seguito di intrusioni o di incidenti. Tuttavia ciò non è sufficiente: l'Impresa per prevenire i reati informatici deve adottare una propria legislazione interna (procedure). Ad oggi, in Italia, 7 imprese su 10 utilizzano metodi di formazione obbligatoria per il personale e azioni di informazione diffusa; il 64,0% delle imprese utilizza la misura di sicurezza dell’utilizzo di password di tipo “forte”; il 41,8% delle imprese esegue il backup dei dati all’esterno.

Il problema tuttavia non è solo italiano. Secondo i dati EUROSTAT (Paesi Europei 2010), il 99% delle grandi imprese europee utilizza la connessione internet; il 94% delle piccole imprese europee utilizza la connessione internet; il 40% delle imprese europee scambia informazioni via internet con altre imprese; il 19% delle imprese europee scambia informazioni via internet con fornitori o clienti . Rischi di sicurezza rilevati: il 91% delle imprese europee adotta misure di sicurezzaper evitare la distruzione o corruzionedei dati a causa di un attacco o di un incidente inaspettato; il 79% delle imprese europee adotta misure di sicurezza per evitare la divulgazione di informazioni riservatea seguito di intrusioni o di incidente.

L'Italia ratifica la Convenzione di Budapest con L. 18.3.2008, n. 48 ed è uno dei primi Paesi ad introdurre una legge organica in tema di delitti informatici (L. 23.12.1993, n. 547), ma così non è per la materia della responsabilità delle persone giuridiche, che prevede il solo Art. 24bis inserito nel corpo del D.Lgs. 231/2001: “Delitti informatici e trattamento illecito dei dati”. In concreto, la normativa richiede un maggior sforzo organizzativo agli Enti non solo per l’estensione delle fattispecie di reato ma per l’esposizione degli Enti ad una “responsabilità amministrativa” da reato, ovvero di una “colpa organizzativa”, per non essersi dotati di meccanismi interni necessari per la prevenzione dei reati informatici.

Anche altri Paesi sottoscrittori della Convenzione di Budapest si sono dotati di una normativa, ma il panorama globale risulta frammentario, oltretutto con rischi di censura in alcuni Paesi che non si uniformano al diritto internazionale. Ma le dimensioni (numeriche, geografiche ed economiche) di questa tipologia di reati, le modalità di esecuzione e la specificità di chi li commette, richiedono nuovi approcci culturali, tecnologiche e normative per garantire risposte adeguate ed innovative, riposte che devono essere necessariamente globali, sebbene si ponga l'interrogativo di chi debbano essere gli autori delle regole mondiali.

Gli U.S.A. hanno lanciato un’importante campagna di sensibilizzazione sul cyber-crime. Determinante è stato in tal senso l’incontro nel maggio 2011 tra il Primo Ministro David Cameron e il Presidente Barack Obama. L’International Cyber Conference a Londra del 7.11.2011 ha raccolto il messaggio e fissato alcuni importanti principi:

  • il cyber-space dovrebbe essere regolato da norme di comportamento non impartite dall’alto a livello governativo, ma condivise con gli stakeholders (veri players) e basate su opportunità, libertà, innovazione, rispetto dei diritti umani;
  • la cyber security non dovrebbe essere il pretesto per operare una subdola censura (Primo Ministro David Cameron);
  • i cyber-criminals non sono il vero problema, la condotta online dei cittadini non dovrebbe essere valutata dall’alto, ma gestita da politiche governative trasparenti e chiare (Portavoce Hillary Clinton).

In definitiva, INTERNET è strumento democratico e pretende un approccio democratico.

* avvocato cassazionista e consulente d'impresa.

GLI ALTRI INTERVENTI ALLA CONFERENZA INTERNET FRA LIBERTA' E DIRITTI

 

chi
cosa
come
quando perchè dovenotizie

resourcesiscrizioni/subsrciberisorse
home 11-12 nov
avviso legale