L’urgenza – reale o percepita – di fronteggiare gli attacchi alle infrastrutture di trasporto e di servizio italiane ha spinto il legislatore italiano a dotarsi di nuovi strumenti giuridici che, da un lato, “rinforzano le mura” e, dall’altro, potenziano le capacità informative e reattive dei comparti sicurezza, difesa, e giustizia. L’attuazione di questa strategia, però, soffre di problemi di impianto e di non perfetta coerenza giuridica, mettendo a rischio l’effettiva utilità dello sforzo normativo di Andrea Monti – Inizialmente pubblicato su Strategikon – Un blog di Italian Tech
L’ingresso a pieno titolo delle infrastrutture di rete e delle piattaforme di servizio nell’elenco dei bersagli preferenziali di azioni di appropriazione commerciale e di attività criminali sostenute o non impedite da potenze straniere ha spinto il legislatore italiano ad approvare in pochissimo tempo una serie di provvedimenti normativi diretti, da un lato, a mitigare gli effetti di strategie commerciali aggressive potenzialmente incidenti su infrastrutture vitali del Paese e, dall’altro a definire le regole di ingaggio per l’esecuzione di attività, anche oltrefrontiera, di acquisizione informativa e contrasto a fenomeni di incerta attribuzione. Alla normativa sulla protezione delle infrastrutture critiche, a quella sul perimetro nazionale di sicurezza cibernetica e aquella (altrettanto problematica) sulla “rappresaglia informatica”, si sono di recente aggiunti altri due provvedimenti che sulla carta potenziano le capacità operative delle strutture dello Stato ma nei fatti rischiano di essere difficilmente applicabili in modo coerente, e che rivelano alcune problematiche scelte politiche di fondo sulla gestione delle minacce informatiche.
Il “covert cyber operation act”
Mentre è avviata la discussione sulla riforma della legge 124/07 che inciderà notevolmente sulla sicurezza nazionale e sulle attività di intelligence il decreto legge n. 105 del 10 agosto 2023convertito nella legge n. 137 del 9 ottobre 2023 (che possiamo senz’altro ribattezzare “covert cyber operation act”) attribuisce alle forze di polizia nuovi poteri in materia di operazioni sotto copertura che vanno ben oltre quelli tradizionalmente associati ai compiti degli “infiltrati” e assottigliano i limiti fra azioni di intelligence e azioni di polizia giudiziaria.
i – In breve
L’articolo 2-bis del decreto legge disegna un’architettura complessa che combina l’espansione delle attività di raccolta di informazioni con la possibilità per gli operatori delle forze dell’ordine di effettuare hackback e commettere un’ampia gamma di reati informatici, tra cui il cracking, il furto di identità, la gestione di botnet e di distruzione di dati e informazioni.
ii – Non punibilità della polizia giudiziaria per la commissione di crimini informatici
Se effettuate nel corso di un’indagine su terrorismo, traffico di droga e traffico di armi (oltre a un lungo elenco di altri illeciti penali), in applicazione della causa di giustificazione prevista dall’articolo 51 del Codice penale, gli operatori coinvolti non possono essere puniti per aver commesso reati anche informatici e in particolare quelli che implicano la distruzione di dati e l’accesso abusivo a sistemi informatici.
iii – Ampliamento della raccolta e della condivisione delle informazioni
Per quanto riguarda la raccolta di informazioni, il covert cyber operation act obbliga i membri del CSIRT dell’Agenzia nazionale per la cybersecurity a condividere con la Procura nazionale antimafia e antiterrorismo tutte le informazioni di cui vengono a conoscenza durante il monitoraggio tecnico delle reti, che in precedenza venivano comunicate solo all’ufficio del Ministero dell’Interno responsabile della sicurezza e del corretto funzionamento dei servizi di telecomunicazioni.
iv – Sviluppo di capacità offensive
L’Agenzia nazionale per la cibersicurezza è incaricata di sviluppare capacità di prevenzione e risposta in caso di attacchi informatici. Il tenore letterale della norma non è chiarissimo e dunque non si capisce se l’ACN abbia o meno anche compiti operativi.
Una lettura sistematica delle norme coinvolte, tuttavia, porta ad escludere che un’agenzia, per quanto afferente a un ambito critico per la sicurezza dello Stato, possa compiere autonomamente azioni che, nella sostanza, possono essere attività di pubblica sicurezza o attacchi verso Paesi ostili (ma comunque sovrani), sovrapponendosi in questo modo alle funzioni della Polizia di Stato (quanto alla prevenzione di reati e tutela della pubblica sicurezza) e alle Forze Armate (quanto alla difesa dello Stato).
Si può concludere, dunque, che i compiti dell’ACN si limitino a rendere disponibili gli strumenti necessari per consentire alle competenti strutture dello Stato di svolgere le proprie funzioni.
v – Criticità
Il “covert cyber operation act” è una risposta pragmatica alla maggiore velocità e mobilità richiesta dall’evoluzione delle organizzazioni criminali transnazionali e dalla perdita di definizione del confine tra criminalità “ordinaria”, terrorismo e azioni sponsorizzate dallo Stato. In particolare, la possibilità concessa alle forze di polizia di commettere hacking e altri crimini informatici durante un’indagine conferma i risultati dell’analisi pubblicata ai tempi su questa testata in relazione al caso ReVIL e dalla quale emerse la necessità di coordinare vari organi dello Stato e del settore privato per contrastare fenomeni difficilmente gestibili con i tradizionali poteri di polizia giudiziaria.
Tuttavia, come la legge sulla rappresaglia informatica, anche il covert cyber operations act presenta alcuni punti deboli che potrebbero compromettere la sua idoneità a soddisfare le necessità per le quali è stato emanato.
v.i – Il rapporto fra causa di giustificazione penale e garanzie funzionali degli operatori dei servizi
Vale la pena di notare, innanzi tutto, un’implicazione peculiare della causa di non punibilità dall’articolo 2bis del Decreto 105/23: la norma si applica agli ufficiali di polizia giudiziaria della Polizia di Stato, dell’Arma dei carabinieri e del Corpo della guardia di finanza, appartenenti alle strutture specializzate o alla Direzione investigativa antimafia, e dunque non si estende ai membri dei servizi di intelligence perchè l’articolo 23 della legge 124/07 priva il personale addetto al DIS o ai servizi del loro precedente status giuridico di ufficiale o agente di polizia giudiziaria e di pubblica sicurezza e quindi non possono avvalersi, eventualmente, di una protezione complementare.
È vero che la legge 124/07 sulla disciplina dei servizi di intelligence contiene una norma analoga (quella sulle “garanzie funzionali”), ma la non punibilità per la commissione di reati non si applica ad azioni che mettono in pericolo la libertà personale e morale dell’individuo, mentre una simile limitazione non è prevista dal decreto-legge 105/23 per le attività di polizia giudiziaria (infatti, se non impediti o addirittura commessi, alcuni reati, anche informatici, potrebbero astrattamente provocare conseguenze imprevedibili). Dunque, ad una prima lettura, sembrerebbe che alla polizia giudiziaria siano stati conferiti più poteri, inclusi quelli “aggressivi” di quanti ne spettino alle agenzie per la sicurezza dello Stato.
v.ii – la potenziale compromissione del diritto di difesa
La natura dei poteri conferiti alla polizia giudiziaria li rende più simili a quelli che dovrebbero spettare a organizzazioni di intelligence o militari, tanto che le disposizioni sembrano essere state concepite della necessità di consentire l’interdizione di forze ostili, invece che per raccogliere elementi di prova da presentare in un dibattimento penale.
L’immunità di penetrare nei sistemi informatici, falsificare le identità e distruggere le informazioni possono, infatti, potenzialmente minare il diritto alla difesa, in quanto la persona indagata potrebbe trovarsi ad affrontare accuse per le quali le prove potrebbero non essere più disponibili. Un tema analogo si era già posto, in Italia, quando nel settembre 2022 la Corte di cassazione stabilì il principio in base al quale un imputato ha diritto di conoscere il modo in cui sono state acquisite le informazioni utilizzate per le indaginiin un caso nel quale elementi fondamentali per l’accusa erano stati raccolti tramite Europol e, formalmente, non resi disponibili alla difesa.
v.iii – Il reale obiettivo della norma
Se quanto precede è corretto, allora è ragionevole pensare che gli stessi problemi di disclosure dei metodi utilizzati dalla polizia giudiziaria nelle indagini rilevanti ai fini del covert cyber operations act costituiranno terreno di scontro processuale, con inevitabile allungamento della durata dei processi e rischi di prescrizione o comunque di vanificazione dell’effetto della pena. Tuttavia, sembrerebbe che le preoccupazioni del legislatore fossero piuttosto quelle di garantire contrasto immediato ad attacchi di qualsiasi tipo e acquisire informazioni, e non la raccolta di elementi da presentare in giudizio.
Questo rafforza la conclusione sulla progressiva sovrapposizione delle varie componenti dell’apparato di sicurezza italiano, sul rischio di una non impossibile paralisi, o almeno di una ridotta capacità operativa, sulla riduzione del ruolo di controllo del COPASIR che non ha poteri diretti nei confronti della magistratura, a vantaggio dei ministeri dell’interno e della giustizia e, in ultima analisi, dell’esecutivo.
Il decreto legislativo sulla rimozione dei contenuti terroristici
Nel 2021 l’Unione Europea ha adottato il Regolamento 748/2021 per contrastare la disinformazione online e i contenuti illeciti (in particolare di contenuto terroristico) come componente integrante di una strategia globale di difesa informatica. La norma unionale si applica ai servizi internet erogati nel territorio dell’Unione, indipendentemente dalla sede legale del prestatore che, quindi, può anche non essere basato in uno Stato membro. In altre parole, il Regolamento può essere applicato anche a società costituite in altre giurisdizioni, senza un rappresentante legale all’interno dell’UE. Il decreto legislativo n. 107, entrato in vigore il 26 agosto 2023, “attua” —il termine è improprio perché i regolamenti hanno efficacia diretta negli ordinamenti interni— il regolamento unionale dettando norme specifiche in particolare per quanto riguarda gli aspetti della fase preliminare e cautelare delle indagini penali.
i – In breve
Il decreto legislativo attribuisce al pubblico ministero il potere di emanare un “ordine di rimozione” nei confronti di prestatori di servizi della società dell’informazione (e in particolare di quelli di hosting) se i contenuti web veicolati tramite i servizi in questione siano riconducibili a finalità terroristiche.
Prima di emettere l’ordine di rimozione, il Pubblico Ministero deve acquisire tutti gli elementi valutativi e informativi indispensabili e, a tal fine, può richiedere il contributo di un Comitato di Analisi Strategica Antiterrorismo, un organo consultivo i cui membri appartengono alla polizia giudiziaria e alle agenzie per la sicurezza dello Stato. Inoltre, il Pubblico Ministero è tenuto a informare tempestivamente la Procura antimafia e antiterrorismo.
ii – Criticità
Questo decreto legislativo è un esempio delle sfide che si presentano quando si cerca di conciliare l’insuperabile ostacolo della mancanza di potere politico autonomo e sovrano dell’Unione Europea con le esigenze di operare in modo celere e coordinato per contrastare azioni ostili veicolate tramite reti di telecomunicazioni.
L’articolo 4 del Trattato UE circoscrive la sfera di competenza dell’Unione Europea escludendo sicurezza e difesa nazionale che rimangono nella sovranità degli Stati membri e quindi anche il tema dei contenuti terroristici sarebbe escluso dal raggio d’azione unionale. Tuttavia, la realtà dipinge un quadro nettamente diverso perché da tempo la UE si sta impegnando in una forma di regolamentazione indiretta delle questioni di sicurezza e difesa nazionale, attraverso strumenti legislativi come, appunto, il regolamento 784.
A uno sguardo superficiale, questo sembra essere un approccio pragmatico, progettato per orchestrare uno sforzo coordinato tra le diverse giurisdizioni dell’Unione. Tuttavia, il prezzo di questo pragmatismo politico è la diminuzione, di fatto, della sovranità degli Stati membri.
Come nel caso del decreto 105/203, anche questo decreto legislativo è costruito su basi precarie che lo rendono vulnerabile alle scosse delle interpretazioni e delle decisioni giudiziarie. E anche in questo caso, mentre la norma consente indubbi vantaggi a breve termine nella lotta al terrorismo, la sua sostenibilità sul lungo periodo rimane quantomeno dubbia.
Considerazioni finali
Il principale interrogativo che emerge dagli strumenti legislativi analizzati in questa esposizione riguarda la commistione tra i settori della difesa, dell’intelligence e della giustizia.
i – La progressiva giurisdizionalizzazione della sicurezza nazionale
Da un lato, il ruolo espansivo accordato alle corti penali nei molteplici aspetti della prevenzione e della repressione del terrorismo dota il sistema di un meccanismo di salvaguardia, obbligando il potere giudiziario a supervisionare le attività di indagine, seppur in misura minore, le operazioni di intelligence. Questo sistema agisce come un argine contro le potenziali violazioni delle libertà individuali e delle libertà democratiche, aree notoriamente suscettibili di erosione quando viene invocata la sicurezza nazionale.
ii – Il rischio di una paralisi operativa
Per contro, la sovrapposizione operativa di attori ciascuno con i propri obiettivi specifici e non necessariamente armonizzati, suscita più di una perplessità.
Ciascun operatore risponde ad un’entità governativa secondo regole specifiche, non necessariamente coerenti con quelle delle altre strutture che intervengono nello stesso momento. Questa situazione potrebbe inibire la circolazione di informazioni vitali fin al punto di trasformarsi un blocco operativo che minerebbe lo scopo stesso della norma, che è invece quello di dare una risposta coordinata ed efficace alle necessità di difesa e sicurezza dello Stato.
iii – Il ruolo problematico dell’attribuzione
Inoltre, nessuno di questi atti legislativi tiene conto della presenza di due convitati di pietra: il problema dell’attribuzione dell’attacco e i limiti giuridico-geografici dell’immunità concessa agli operatori delle forze dell’ordine che commettono crimini informatici durante un’indagine.
Da un lato, coinvolgere i militari in una rappresaglia informatica contro un cyberattacco significa avere prove (solide) che l’attacco sia sponsorizzato, anche indirettamente, da uno Stato, altrimenti i militari non avrebbero il diritto di agire in quanto la questione sarebbe di esclusiva competenza della magistratura.
D’altra parte, se l’attribuzione fosse chiaramente legata a uno Stato straniero, reagire equivarrebbe a un atto di guerra, il che richiederebbe l’attivazione delle procedure per la dichiarazione formale di apertura del conflitto prima di poter agire.
iv – L’assenza di automatismo nel funzionamento della clausola di non punibilità dei reati commessi dalla polizia giudiziaria
La non punibilità dell’ufficiale di polizia giudiziaria che commette un reato valendosi del covert cyber operation act è stabilita dalla legge richiamando l’articolo 51 del Codice penale, in base al quale non è punibile chi ha commesso il fatto nell’adempimento di un dovere. Tuttavia, l’operatività di questa causa di giustificazione richiede in ogni casol’apertura di un procedimento penale per valutare se, nel caso concreto, l’operatore di polizia sia rimasto all’interno dei limiti stabiliti dalla legge. Se questa lettura fosse corretta, allora si giungerebbe al paradosso che ogni volta che un operatore di polizia commette un reato sotto copertura il pubblico ministero dovrebbe iscrivere una notizia di reato e, valutata la situazione concreta, chiedere l’archiviazione al giudice per le indagini preliminari.
v – L’impatto della non punibilità di polizia giudiziaria sulle relazioni diplomatiche
Sempre per quanto riguarda la causa di non punibilità estesa alla polizia giudiziaria, va inoltre rilevato che lo scudo giuridico protegge solo l’operatore all’interno della giurisdizione italiana. Ciò significa che se un operatore attacca una risorsa straniera durante un’indagine, può comunque essere processato nel Paese in cui ha commesso il reato. Se egli venisse identificato e con il Paese interessato ci fosse un trattato di estradizione, l’Italia potrebbe ricevere un ordine di arresto che, probabilmente, non sarebbe eseguito ma che potrebbe compromettere le relazioni internazionali quando l’attribuzione del reato all’Italia —e in particolare alla magistratura— fosse indiscutibile.
vi – La reciprocità dell’intervento diretto nelle giurisdizioni straniere
Il problema della giurisdizione si ripercuote anche sulla effettiva applicabilità della legge sulla rimozione dei contenuti terroristici nella parte che riguarda le società non costituite all’interno dell’Unione Europea.
Sebbene apparentemente opportuna per raggiungere obiettivi immediati legati a finalità di antiterrorismo, questa caratteristica legislativa funge potenzialmente da catalizzatore per un meccanismo di reciprocità internazionale.
Se le autorità dell’Unione Europea e degli Stati membri dovessero esercitare i poteri appena acquisiti per costringere le aziende extracomunitarie a rispettare gli ordini di rimozione dei contenuti, una logica conseguenza potrebbe essere quella di ispirare simili strategie di reciprocità da parte di giurisdizioni straniere.
Questo significherebbe che altri Paesi potrebbero dotarsi di strumenti giuridici analoghi (la Cina lo ha già fatto in materia di protezione dei dati personali) per ritenere le società con sede nell’Unione Europea responsabili in base alle loro leggi nazionali. Di conseguenza, gli sforzi dell’Unione Europea per far rispettare la propria legislazione a livello extraterritoriale potrebbero provocare una risposta simmetrica. Le entità europee potrebbero trovarsi coinvolte controversie extraterritoriali, provenienti da regimi basati su principi giuridici e perimetri normativi nettamente diversi da quelli unionali.
vii – La crisi del primato della legge
Il filo conduttore delle questioni emerse dall’analisi del sistema normativo di tutela della sicurezza nazionale è la diminuzione dell’efficacia del principio del rule of law nell’affrontare le minacce globali. Sebbene le ragioni di questa diminuzione di efficacia siano molteplici e vadano al di là dell’ambito di questo particolare discorso, è inequivocabile che i sistemi giuridici tradizionali stanno incontrando notevoli difficoltà nell’affrontare le complessità delle moderne sfide alla sicurezza.
La natura transnazionale di queste minacce, i progressi tecnologici, il crescente intreccio tra difesa, intelligence e attività giudiziaria relegano il rule of law ad un ruolo sempre meno centrale. La sua funzione storica di pietra angolare delle società democratiche e di forza regolatrice del comportamento degli Stati sembra, in pratica se non in linea di principio, meno solida che nelle epoche precedenti.
Questo declino dell’efficacia non pone solo un interrogativo teorico, ma anche una crisi pragmatica, le cui ramificazioni potrebbero essere profondamente deleterie per la governance democratica e le libertà individuali.
L’incapacità dello Stato di diritto di funzionare in questi scenari sempre più intricati lascia un vuoto che potrebbe essere colmato da metodi di governo meno trasparenti e meno responsabili.
Una simile tendenza sarebbe antitetica ai principi fondamentali della società democratica e potrebbe minare ulteriormente la fiducia del pubblico nelle istituzioni giuridiche e governative. Pertanto, se da un lato le preoccupazioni immediate per la sicurezza possono indurre a soluzioni rapide che aggirano i quadri giuridici tradizionali, dall’altro è indispensabile riconoscere che le conseguenze a lungo termine di queste azioni possono attenuare lo stesso Stato di diritto che intendono sostenere.
Possibly Related Posts:
- Chi ci protegge dal dossieraggio tecnologico?
- Perché Apple ha ritirato la causa contro la società israeliana dietro lo spyware Pegasus?
- Le accuse mosse a Pavel Durov mettono in discussione la permanenza in Europa di Big Tech
- Cosa significa l’arresto di Pavel Durov per social media e produttori di smart device
- Chi vince e chi perde nella vicenda di Julian Assange