di Andrea Monti – PC Professionale n. 205
Modificata, dopo quattordici anni, la legge sui reati informatici. La computer forensics entra ufficialmente nel codice di procedura penale e le imprese diventano responsabili per i computer crime commessi dai dirigenti a vantaggio dell’azienda.
A camere sciolte, lo scorso 27 febbraio il Senato ha approvato definitivamente il progetto di legge S2012 che applica la Convenzione di Budapest sul crimine informatico e modifica il decreto legislativo 231/01 sulla responsabilità penale delle imprese. La legge entra in vigore il giorno dopo la pubblicazione sulla Gazzetta Ufficiale. Cosa significa, in pratica, tutto questo? Cominciamo dalla Convenzione di Budapest sul crimine informatico. A distanza di quattordici anni circa, il Parlamento ha modificato la legge sui reati informatici recependo la Convenzione sul crimine informatico. La novità più importante della legge è sicuramente il pesante intervento sulle tecniche di indagine utilizzate dalle forze di polizia.
Gli articoli 244 [perquisizione] e 247 [ispezione] del codice di procedura penale sono stati modificati, imponendo alla polizia giudiziaria di adottare misure tecniche dirette ad assicurare la conservazione dei dati originali e ad impedirne l’alterazione. Queste modifiche pongono fine a un dibattito che da anni si trascinava nelle aule di giustizia e che vedeva contrapposto chi – tipicamente, le forze di polizia – riteneva di poter sequestrare e analizzare computer senza adottare particolari cautele tecniche a chi – gli avvocati – chiedeva il rispetto dei principi fissati dalla computer forensics [la disciplina che studia il modo di eseguire le “autopsie informatiche”]. Dall’entrata in vigore della legge, le forze di polizia sono obbligate ad adottare questi sistemi. Il che implica decidere quali sono quelli che hanno un qualche valore giuridico, e stabilire regole tecniche chiare per l’esecuzione delle operazioni. Quello che sarà interessante vedere, ora, è l’effetto di questa nuova legge sui processi in corso. Senza entrare in complessi ragionamenti interpretativi, potrebbero esserci infatti degli spazi, estremamente ristretti, per sostenere che le nuove norme sulle indagini informatiche diano ragione a chi ha sostenuto l’inutilizzabilità delle prove digitali acquisite senza rispettare gli standard della computer forensics. La conseguenza sarebbe “annulare” il valore di prova di molte operazioni di polizia.
Al di là degli aspetti giuridici, comunque, è pensabile che queste modifiche normative alle tecniche di indagine aprano finalmente in modo serio il mercato dello sviluppo di applicazioni, piattaforme [specie open source] e servizi per magistratura e avvocatura. Cambiano, parzialmente, anche le norme sui sequestri informatici registrando un piccolo passo avanti e confermando la validità di quanto associazioni per la tutela dei diritti civili online stanno sostenendo, in Italia e all’estero, da oltre dieci anni. Le autorità devono sequestrare [senza alterarli] i soli file interesse di indagine [e non i supporti che li contengono, o le macchine] quando questi risiedono presso operatori telefonici Isp e uffici postali. Mentre, e non si capisce il perché di questa disparità di trattamento, quando intervengono presso un provato cittadino sono ancora liberi di sequestrare interi computer [monitor e tappetini dei mouse compresi, come accade ancora oggi ininterrottamente dal 1995 http://www.alcei.it/?p=53]. Viene infine estesa anche alle perquisizioni informatiche la possibilità per la polizia giudiziaria di procedere anche in presenza di misure di sicurezza. La norma potrebbe quindi essere interpretata nel senso che sarebbe addirittura legittimo “bucare” un sistema, se non se ne possiedono le password, pur di accedervi e prendere le prove.
Dal punto di vista dei reati, viene introdotto quello di falsa dichiarazione al certificatore di firme elettroniche: in pratica, è sanzionato con la reclusione fino a un anno il furto di identità o l’uso di false generalità nei confronti di chi deve certificare l’identità del titolare di una firma elettronica. Simmetricamente, la legge punisce il certificatore di firma elettronica che non rispetta le regole normative per il rilascio dei certificati di qualificati. Inoltre la legge tenta di razionalizzare i reati che puniscono il cracking di sistema e il danneggiamento di informazioni. Sono previsti, in successione, i reati di: danneggiamento di dati, informazioni e programmi [fatto esteso da uno specifico articolo anche a quanto utilizzato dallo Stato ed enti pubblici], danneggiamento di sistemi informatici [che punisce esplicitamente gli attacchi di DoS] anche di pubblica utilità.
Modifiche anche per la disciplina dei dati personali per quanto riguarda la data retention dei dati di traffico. Su semplice disposizione delle autorità di polizia che esegue indagini preventive, e anche su richiesta di autorità straniere, operatori e Isp sono obbligati a conservare i dati di traffico per almeno novanta giorni. È una magra consolazione, o rassicurazione, il fatto che la richiesta di data retention preventiva debba essere convalidata dal pubblico ministero entro le quarantotto ore successive alla sua esecuzione. Infine, vale la penna evidenziare la modifica alla disciplina della responsabilità penale delle imprese [DLGV 231/01]. Questa norma impone alle imprese di adottare dei complessi schemi di gestione interna per evitare che amministratori, dirigenti, o dipendenti con ruoli di responsabilità, possano commettere reati a vantaggio dell’azienda stessa, tramite le strutture aziendali [come per esempio nel caso Enron, o quello di Parmalat]. La legge appena approvata dal senato allunga la lista dei reati che le imprese devono prevenire, includendo anche molti reati informatici e in particolare quelli relativi alle falsificazioni di file, agli accessi abusivi e alle frodi digitali. Questo significa che – per potersi tirare fuori dai guai ed evitare di pagare sanzioni che possono arrivare fino a un milione e mezzo di euro – le imprese dovranno rivedere i propri processi di gestione dei sistemi informatici per far si che i livelli di sicurezza dichiarati nelle policy aziendali corrispondano effettivamente a quelli in concreto utilizzati. È la fine della “sicurezza di carta”?
Possibly Related Posts:
- Chi ci protegge dal dossieraggio tecnologico?
- Webscraping e Dataset AI: se il fine è di interesse pubblico non c’è violazione di copyright
- Perché Apple ha ritirato la causa contro la società israeliana dietro lo spyware Pegasus?
- Le sanzioni UE ad Apple e Google aprono un altro fronte nella guerra contro Big Tech (e incrinano quello interno)
- La rottura tra Stati e big tech non è mai stata così forte