Oggi è all’esame dell’aula di Montecitorio la ratifica della Convenzione del Consiglio di Europa sui Crimini informatici.
La convenzione in sè contiene elementi positivi ed altri criticabili ma ad essa occorre, al meglio, adeguarsi. Solo che la formulazione originaria era alquanto stramba:
Art. 4.
(Modifiche al titolo XII del libro secondo del codice penale).
1. L’articolo 615-quinquies del codice penale è sostituito dal seguente:
«Art. 615-quinquies. – (Diffusione di apparecchiature, dispositivi o programmi informatici diretti a danneggiare o interrompere un sistema informatico o telematico). – Chiunque, al fine di procurare a sé o ad altri un profitto o di arrecare ad altri un danno, si procura, produce, riproduce importa, diffonde, comunica, consegna o, comunque, mette a disposizione di altri apparecchiature, dispositivi o programmi informatici aventi per scopo o per effetto il danneggiamento di un sistema informatico o telematico, delle informazioni, dei dati o dei programmi in esso contenuti o ad esso pertinenti, ovvero l’interruzione, totale o parziale, o l’alterazione del suo funzionamento, è punito con la reclusione fino a due anni e con la multa fino a euro 10.329».
Ora immaginiamo dei casi particolari, magari un po’ esagerati (alla fine i giudici agiscono anche secondo il senso comune) ma paradossali:
1) il titolare e il responsabile commerciale di una società che produce software di sicurezza informatica. Tale software dovendo testare i sistemi in cui è usato, deve cercare di danneggiarli o di introdurvisi tali società non potrebbero commercializzare in Italia…
2) il ricercatore o lo studente informatico che, avendo scoperto una certa vulnerabilità (ad esempio un errore di programmazione di un programma, oppure una falla nel sistema di crittografia dei dati) scrive un programma che usa tale vulnerabilità a fini di test come dimostrazione o esercizio didattico o tesi universitaria (difatti si potrebbe intravedere in tale attività un “profitto” = voto più elevato, conseguimento della laurea o del dottorato…, che hanno ricadute economiche dirette in molti casi, ad esempio in quello dell’assegno di ricerca)
3) la cosa più incredibile: il poliziotto della polizia postale o l’investigatore o l’informatico forense che per raccogliere prove o controprove devono ovviamente possedere programmi che tentino di procurare violazioni della sicurezza dei sistemi… ma se non si possono commercializzare, come fanno a procurarseli? Inoltre, almeno nel caso del difensore, il “profitto” potrebbe essere rappresentato dalla parcella che presenta all’imputato.
4) l’utente che ha perso la password del proprio pc o di un proprio documento e cerca un software di cracking… come farebbe a procurarselo legalmente?
Per fortuna abbiamo approvato un parere in commissione e in Aula sono state apportate le conseguenti modifiche…
La VII Commissione,
considerato che:
a) il disegno di legge in esame, recante ratifica ed esecuzione della convenzione del Consiglio d’Europa sulla criminalità informatica, e relative norme di adeguamento del diritto interno, presenta all’art.4 norme che elevano a reato penale l’uso, la diffusione e il possesso di apparecchiature o di programmi informatici atti o anche solo utilizzabili per il danneggiamento di un sistema informatico ed anche solo l’alterazione del suo funzionamento, quando vi sia il fine di procurare “a sè o ad altri un profitto o di arrecare danno altrui”;
b) tale disposizione, di per sé, rende punibile la commercializzazione e la diffusione di strumenti elettronici o di programmi informatici atti alla verifica di sicurezza delle reti telematiche e/o dei singoli elaboratori elettronici, poiché, da parte del fornitore dell’apparecchio, ovvero del programma, si configurerebbe un profitto, in altre circostanze legittimo;
c) l’introduzione del concetto di “profitto”, inoltre, oltre a ricomprendere il lucro derivante da attività commerciale, potrebbe configurare il reato anche in altre circostante;
d) si andrebbe così a rendere illegale e finanche penalmente rilevante alcune attività di verifica della sicurezza informatica, attraverso strumenti commerciali e, in potenza, anche gratuiti, questi ultimi spesso sviluppati da programmatori esperti che intendono mettere a disposizione del pubblico programmi informatici atti a tentare danneggiamento o intrusione nel sistema allo scopo di testarne l’effettiva vulnerabilità;
e) con particolare preoccupazione va valutata questa previsione in riferimento allo studio e la ricerca nell’ambito della sicurezza informatica, materia di sempre maggiore rilevanza nei corsi universitari e di specializzazione, e che in modo crescente interessa l’ambito di ricerca tecnologica e teorica della scienza informatica;
f) paradossalmente, tali proibizioni colpirebbero per primi gli organi di investigazione e di polizia, che non potrebbero acquisire tali strumenti che invece sono indispensabili all’accertamento dei reati informatici e delle circostanze ad essi collegati, vanificando lo scopo stesso del disegno di legge e della Convenzione;
g) quest’ultima, di fatti, prevede esplicitamente che la rilevanza penale debba intendersi solo nel causo in cui vi sia da parte del soggetto l’intenzione di commettere un reato informatico, come anche per il collaudo o la protezione dello stesso (art.6)
h) appare pertanto valicare i confini della Convenzione, arrecare pregiudizio ingiustificato ad attività commerciali lecite, nonché allo studio e alla ricerca informatica e all’attività di protezione della stessa sicurezza informatica e all’accertamento dei fatti delittuosi in ambito telematico e informatico, la previsione dell’art.4 del ddl in esame;
ESPRIME PARERE FAVOREVOLE
a condizione che l’art. 4 sia modificato nel senso di non prevedere il mero scopo di profitto ma esclusivamente l’altrui danno nell’ipotesi dell’intenzionale commissione dei reati di cui agli articoli 2, 3, 4 e 5 della Convenzione come stabilito dal paragrafo 2 dell’art. 6 della stessa.
L’Aula, su indicazione della Commissione Giustizia che ha recepito il nostro parere, ha modificato così il testo:
“Chiunque,
allo scopo di danneggiare illecitamente
un sistema informatico o telematico, le informazioni, i dati o i programmi in esso contenuti o ad esso pertinenti, ovvero di favorire l’interruzione, totale o parziale, o l’alterazione del suo funzionamento, si procura, produce, riproduce, importa, diffonde, comunica, consegna o, comunque, mette a disposizione di altri apparecchiature, dispositivi o programmi informatici, è punito con la reclusione fino a due anni e con la multa dino a euro 10.329″