Reati Informatici

Responsabilità delle società da reato ex d.lgs. 231/2001. Il controllo sociale della criminalità economica e i reati informatici

Alcuni significativi reati informatici, com’è ormai noto, sono stati contemplati nella disciplina sulla responsabilità degli enti da reato (d.lgs. 231/2001) quali reati-presupposto nei cui confronti le società commerciali (e gli altri enti) sono chiamati ad esercitare precise attività di analisi del rischio e di controllo a fini di prevenzione.

La criminalità economica, analizzata in maniera sistematica a partire dagli studi di Sutherland sui White Collar Crimes, ha registrato una forte attenzione nella letteratura scientifica di tipo socio-criminologico, anche al fine di individuare gli elementi utili per implementare forme di deterrenza e gestione del rischio di commissione degli illeciti in ambito imprenditoriale.

Le società commerciali, al pari della società civile, costituiscono un ambiente sociale in cui la criminalità può annidarsi, senza che ciò porti all’affermazione della necessaria natura criminogena delle società commerciali.

Vi sono società virtuose che abbracciano strategie di responsabilità sociale di impresa (RSI), ponendo in essere uno sforzo “etico” nella gestione dell’impresa, a favore di uno o più stakeholders.

A ben guardare, la responabilità sociale di impresa ha una rilevanza anche criminologica, perché va a costituire uno strumento di controllo informale della criminalità rinvenibile nel contesto imprenditoriale.

I controlli informali, tuttavia, da soli non bastano. Accanto ad essi, nel nostro ordinamento possiamo registrare, proprio con la disciplina di cui al d.lgs. 231/2001, la presenza di specifici strumenti di controllo sociale di tipo formale, volti a prevenire la commissione di illeciti di rilevanza penale all’interno del tessuto sociale aziendale.

Non mi dilungo ulteriormente sulla disciplina, nota ai più. Segnalo però che nel mio recente studio monografico dal titolo “Criminalità economica e controllo sociale. Impresa etica e responsabilità da reato ex d.lgs. 231/01“, edito nel 2010, ho voluto indagare, in una prospettiva interdisciplinare, l’impostazione teorica che sorregge la disciplina della responsabilità de qua, per poi passare ad una breve analisi dei principi e delle norme del decreto legislativo poc’anzi citato.

Sulla base di questo approccio sto ora affrontando, per una seconda edizione che spero non tardi a venire, una analisi di maggior dettaglio della disciplina in parola, che tenga conto, segnatamente, della gestione del rischio di commissione dei reati informatici nell’ambito delle società commerciali, attraverso la redazione di efficaci modelli organizzativi e la predisposizione di altri efficaci strumenti.

Ritornerò ancora sull’argomento, che riproporrò anche sulle pagine di Information Society & ICT Law.

Fabio Bravo

www.fabiobravo.it

Information Society & ICT Law

Pedopornografia ed e-commerce: l’operazione “Venice Carnival”

Sulle modalità operative con cui la criminalità informatica agisce nel settore della pedopornografia on-line è interessante quanto è emerso dai risultati dell’operazione “Venice Carnival”. condotta dalla polizia postale.

Le dimensioni:

Oltre mille siti web di una trentina di Paesi, un centinaio dei quali italiani, infettati a insaputa dei gestori da un software che reindirizzava l’utente a pagine Internet che ospitavano materiale pedopornografico.

(…)

Complessivamente sono stati circa 300 i domini e 700 gli indirizzi web che erano stati infettati e sono stati ripuliti dalle polizie di mezzo mondo.

L’indagine (si noti l’importanza dei sistemi di protezione di sicurezza informatica la cui assenza è causa sovente di processi di vittimizzazione nel settore della criminalità informatica):

L’indagine, coordinata dalla procura di Venezia e denominata ‘Venice Carnival’, è partita nel 2009 grazie alla segnalazione di una nonna che, navigando sul web in cerca dei regali per i nipoti, ha cliccato su un link di shopping on line, finendo invece su un sito web di abusi sessuali su minori.

Partendo dalla segnalazione, gli agenti hanno trovato le stesse tracce informatiche in centinaia di siti di tutto il mondo. Sono quindi state inviate le segnalazioni alle altre polizie e all’Europol che hanno consentito di scoprire un’organizzazione criminale, probabilmente originaria dell’Europa dell’est, che era riuscita a entrare nei server di aziende che non usavano sistemi di protezione, installando un software che reindirizzava automaticamente gli ignari utenti Internet verso siti web illegali.

(…)

Le successive indagini, ancora in corso, hanno consentito di accertare che i gestori dei server non avevano alcuna responsabilità e che centinaia di utenti hanno acquistato le immagini e i video: nei loro confronti sono in corso accertamenti per valutarne la posizione e formulare le ipotesi di reato.

Le tecniche:

L’organizzazione – ha spiegato il responsabile del Centro nazionale per il contrasto alla pedopornografia sulla rete, il vice questore della polizia Elvira D’Amato – ha utilizzato la migliore tecnologia esistente, con sofisticate tecniche di ‘web masquerating’ messe al servizio della diffusione di materiale pedopornografico”.

In pratica, il sito infetto installava sui computer dei navigatori un programma che reindirizzava a pagine web pedopornografiche.

Per “pubblicizzare” questo percorso ai cybernauti interessati alla pedopornografia e disposti a pagare per scaricare le immagini e i video, l’organizzazione utilizzava il sistema di inviare centinaia e centinaia di mail “spam”, cioé indesiderate che, una volta aperte, permettevano di “impadronirsi” dei computer dei navigatori e, attraverso questi, infettare i siti italiani e di altri paesi assolutamente legittimi ma che non avevano adeguati meccanismi di protezione.

Successivamente, ai cybernauti che si dimostravano interessati veniva poi inviato un elenco del “materiale” disponibile, ottenendo due risultati: “occultare” i siti illegali dietro pagine web “legittime” e “selezionare” tra i navigatori su Internet quelli interessati a pagare per scaricare poi i file pedopornografici.

Fabio Bravo

www.fabiobravo.it

Information Society & ICT Law

Google Street View e intercettazioni Wi-Fi. Ecco il provvedimento del Garante per la Privacy. Blocco dei dati e trasmissione degli atti alla magistratura

Sul caso delle illecite captazioni wi-fi effettuate dalle Google Car (cfr. 123) è intervenuto in data 9 settembre 2010 il Provvedimento del Garante per la protezione dei dati personali.

A seguire riporto testo integrale di tale provvedimento, con cui il Garante impone a Google il blocco dei c.d. “payload data” e invia gli atti alla magistratura.

I reati eventualmente configurabili, secondo la riscostruzione del garante, sono quelli di cui all’art. 617-quater (“Intercettazione, impedimento o interruzione illecita di comunicazioni informatiche o telematiche”), comma 1, ed all’art. 617-quinquies (“Installazione di apparecchiature atte ad intercettare, impedire od interrompere comunicazioni informatiche o telematiche”), co. 1, del codice penale.

La fattispecie è interessante perché il Garante, nel ravvisare la probabile commissione dei predetti reati informatici, che tuttavia spetta alla magistratura accertare, interviene anche sui profili di ordine probatorio, che tipicamente interessano la computer forensics, disponendo, proprio a fini probatori, il blocco dei dati, assistito da una sanzione rigorosa.

Il Garante, nel proprio provvedimento, ravvisa infatti

“la necessità che i payload data raccolti non vengano per il momento cancellati dai server sui quali sono conservati, in quanto gli stessi potrebbero costituire elementi di prova in caso di un eventuale intervento da parte dell’Autorità giudiziaria

Per una sintesi è possibile prendere visione del comunicato stampa diramato dall’Authority.

Fabio Bravo

www.fabiobravo.it

Information Society & ICT Law

***

Comunicazioni “captate” su reti wi-fi: il Garante ordina a Google Street View il blocco dei dati e trasmette gli atti alla magistratura – 9 settembre 2010

IL GARANTE PER LA PROTEZIONE DEI DATI PERSONALI

NELLA riunione odierna, in presenza del prof. Francesco Pizzetti, presidente, del dott. Giuseppe Chiaravalloti, vice presidente, del dott. Mauro Paissan e del dott. Giuseppe Fortunato, componenti e del dott. Daniele De Paoli, segretario generale;

VISTO il Codice in materia di protezione dei dati personali (d.lg. 30 giugno 2003, n. 196, di seguito “Codice”);

VISTE le note del 27 aprile e del 14 maggio 2010 inviate da Google Italy S.r.l., con le quali l’Autorità è stata informata che Google Inc., durante il passaggio nel territorio italiano delle vetture che acquisivano immagini per il servizio Street View, ha raccolto sia dati relativi alla presenza di reti Wi-Fi (wireless fidelity) sia frammenti di comunicazioni elettroniche trasmesse dagli utenti su alcune reti Wi-Fi non protette da protocolli sicuri e da cifratura (c.d. payload data);

VISTA la nota di questa Autorità del 17 maggio 2010, con la quale è stato comunicato l’avvio di un procedimento amministrativo nei confronti di Google, teso alla verifica della liceità e correttezza dei trattamenti ed avente ad oggetto l’osservanza delle disposizioni in materia di protezione dei dati personali nell’ambito del servizio Street View;

CONSIDERATO che, con la medesima nota, l’Autorità ha chiesto alla predetta società di fornire elementi utili alla valutazione complessiva dei trattamenti dei dati personali effettuati tramite il richiamato servizio Street View, invitando contestualmente la società a non effettuare alcun ulteriore trattamento dei payload data fino a diversa direttiva del Garante;

VISTA la nota del 1° giugno 2010, con la quale Google Inc., elettivamente domiciliata presso lo Studio legale Hogan Lovells in Roma, ha fornito i primi riscontri in relazione alla raccolta dei dati relativi alla presenza di reti Wi-Fi e ha confermato di aver raccolto, a partire dal mese di aprile 2008, payload data durante il passaggio delle vetture di Street View nel territorio italiano utilizzando antenne Wi-Fi e appositi software;

CONSIDERATO che la società ha dichiarato di ritenere che i payload data siano estremamente frammentati, dal momento che “le vetture Google Street View sono costantemente in movimento e l’impianto WiFi cambia automaticamente canale cinque volte al secondo”, ma che “sussiste la teorica possibilità che i payload data contengano dati personali nel caso in cui un utente, al momento della raccolta, abbia trasmesso alcune informazioni personali”;

CONSIDERATO che, secondo le dichiarazioni della società, tali dati sono stati raccolti erroneamente, non sono mai stati utilizzati per alcun tipo di servizio, non sono mai stati comunicati a terzi e attualmente sono conservati su server localizzati negli Stati Uniti, in una banca dati separata ad accesso limitato ai soli soggetti appositamente incaricati da Google Inc. per la protezione dei dati;

CONSIDERATO che Google Inc. ha raccolto i payload data per un considerevole periodo di tempo (aprile 2008 – maggio 2010), in modo sistematico e nell’ambito di un’attività svolta su tutto il territorio nazionale e che, quindi, vi è la concreta possibilità che alcune fra le informazioni raccolte abbiano natura di dati personali;

RITENUTO che all’eventuale trattamento di dati personali posto in essere, in quanto effettuato mediante strumenti situati nel territorio dello Stato, si applichino le norme del Codice (art. 5 del Codice);

VISTO l’art. 11, comma 1, lett. a) e b) del Codice, ai sensi del quale i dati personali devono essere trattati in modo lecito e secondo correttezza e devono essere raccolti e registrati per scopi determinati, espliciti e legittimi;

VISTO l’art. 15 della Costituzione che sancisce l’inviolabilità della libertà e della segretezza della corrispondenza e di ogni altra forma di comunicazione e che stabilisce che “la loro limitazione può avvenire soltanto per atto motivato dell’autorità giudiziaria con le garanzie stabilite dalla legge”;

strong>VISTO l’art. 617-quater, comma 1, del codice penale, che punisce “chiunque fraudolentemente intercetta comunicazioni relative ad un sistema informatico o telematico o intercorrenti tra più sistemi (…)”;

VISTO l’art. 617-quinquies, comma 1, del codice penale, che punisce “chiunque, fuori dai casi consentiti dalla legge, installa apparecchiature atte ad intercettare, impedire od interrompere comunicazioni relative ad un sistema informatico o telematico ovvero intercorrenti tra più sistemi (…)”;

RITENUTO, sulla base degli elementi acquisiti nel corso dell’istruttoria, che il trattamento realizzato da Google Inc., per quanto concerne in particolare i payload data, possa porsi in contrasto con le richiamate norme del codice penale e che pertanto debba essere disposta la trasmissione degli atti del presente procedimento all’Autorità giudiziaria per le valutazioni di competenza;

CONSIDERATO che l’art. 11, comma 2, del Codice prevede che i dati personali trattati in violazione della disciplina rilevante in materia di dati personali non possono essere utilizzati;

RITENUTA la necessità che i payload data raccolti non vengano per il momento cancellati dai server sui quali sono conservati, in quanto gli stessi potrebbero costituire elementi di prova in caso di un eventuale intervento da parte dell’Autorità giudiziaria;

CONSIDERATO che il Garante, ai sensi degli artt. 143, comma 1, lett. c) e 154, comma 1, lett. d), del Codice, ha il compito di disporre il blocco anche d’ufficio del trattamento illecito o non corretto dei dati e di adottare, altresì, gli altri provvedimenti previsti dalla disciplina applicabile al trattamento dei dati personali;

RILEVATA pertanto la necessità di adottare nei confronti di Google Inc. un provvedimento di blocco del trattamento ritenuto illecito ai sensi dell’art. 154, comma 1, lett. d), del Codice correlato alla raccolta di payload data effettuata durante il passaggio delle vetture di Street View nel territorio italiano;

TENUTO CONTO che, ai sensi dell’art. 170 del Codice chiunque, essendovi tenuto, non osserva il presente provvedimento di blocco è punito con la reclusione da tre mesi a due anni e che, ai sensi dell’art. 162, comma 2-ter del Codice, in caso di inosservanza del medesimo provvedimento, è altresì applicata in sede amministrativa, in ogni caso, la sanzione del pagamento di una somma da trentamila euro a centottantamila euro;

RISERVATO ogni ulteriore accertamento e intervento in merito al trattamento di dati relativi alla presenza di reti Wi-Fi effettuato da Google Inc. e all’acquisizione di immagini per il servizio Street View, profili rispetto ai quali è tuttora in corso l’istruttoria dell’Autorità;

VISTA la documentazione in atti;

VISTE le osservazioni dell’Ufficio formulate dal segretario generale ai sensi dell’art. 15 del regolamento del Garante n. 1/2000;

RELATORE il prof. Francesco Pizzetti;

TUTTO CIÒ PREMESSO IL GARANTE:

A) dispone nei confronti di Google Inc., ai sensi degli artt. 143, comma 1, lett. c) e 154, comma 1, lett. d), del Codice, il blocco di qualsiasi trattamento dei payload data raccolti sul territorio italiano.

B) dispone la trasmissione di copia degli atti del procedimento e del presente provvedimento all’Autorità giudiziaria per le valutazioni di competenza in ordine agli illeciti penali che riterrà eventualmente configurabili.

Roma, 9 settembre 2010

IL PRESIDENTE – Pizzetti

IL RELATORE – Pizzetti

IL SEGRETARIO GENERALE – De Paoli

Comunicazione politica su Internet e reati. Il caso della Lega Nord di Mirano

In un articolo del Corriere, in cui si invita alla rimozione da Facebook dello slogan razzista presente accanto al simbolo della Lega Nord di Mirano (cf., sull’argomento, anche questo post), viene riportata la notizia della denuncia sporta dall’Osservatorio Antiplagio

L’«Osservatorio Antiplagio», blog di vigilanza sulla tv e sui media, ha scritto una lettera al presidente della Camera, Gianfranco Fini, al ministro dell’Interno, Roberto Maroni, alla polizia postale e alla Guardia di finanza per denunciare la vicenda. «Tra gli oltre 430 amici del gruppo – si legge – compaiono un centinaio di link di circoli della Lega Nord sparsi in tutta Italia, compreso quello di Milano, e di due parlamentari leghisti: il leader, nonché deputato e ministro delle Riforme, Umberto Bossi, e il capogruppo alla Camera dei deputati, Roberto Cota. L’adesione di esponenti della maggioranza di governo a un gruppo xenofobo fa piena luce sulle nuove norme anti-immigrazione. E conferma, se mai ve ne fosse bisogno, che la fine degli extracomunitari nei lager di ”accoglienza” di Gheddafi o il loro annegamento in mare sono auspicati anche da rappresentanti delle istituzioni».

A tali considerazioni sono state contrapposte le smentite della Lega Nord ed in particolare di Cota, il quale avrebbe dichiarato che in realtà s’è trattato di una “truffa”.

Così recita l’articolo citato:

Ma la pagina “leghista” su Facebook sarebbe in realtà una truffa. Lo dice il capogruppo del Carroccio alla Camera Roberto Cota: «Ancora una volta stiamo assistendo a un circuito mediatico impazzito, che si muove con la complicità di chi gioca a mistificare la realtà. L’amicizia su Facebook si dà in buona fede a centinaia di soggetti ogni giorno e non si può in alcun modo essere responsabili delle condotte altrui. In questo caso siamo di fronte a una vera e propria truffa, perché qualcuno si è spacciato per leghista, intestando una pagina Facebook a una sezione della Lega che abbiamo verificato non corrispondere; oltretutto è stato utilizzato per questa pagina un manifesto patacca (evidentemente ritoccato graficamente) che la Lega non ha mai ideato, né tantomeno stampato. Detto questo, probabilmente esiste un problema di regole. Io ho ovviamente fatto rimuovere subito l’amicizia a questa fantomatica pagina e segnalato la truffa al gestore. Lo stesso farà Umberto Bossi».  

L’articolo prosegue riportando anche le parole utilizzate dai rappresentanti della Lega Nord di Mirano, i quali avrebbero dichiarato:

«Non abbiamo una sede figurarci se abbiamo un computer – commenta Fabiano Dalla Venezia, numero uno del Carroccio nella cittadina veneta – e quindi tanto meno un sito, tant’è che siamo reperibili solo attraverso quello ufficiale della Lega della provincia di Venezia». «Io stesso non uso Facebook – aggiunge – e credo che quello che è apparso in rete sia uno scherzo di cattivo gusto se non qualcosa di peggio. Quello manifestato in rete è un atteggiamento – sottolinea – che è lontano dal nostro modo di fare politica; la logica dell’insulto non ci appartiene. Di certo c’è che faremo delle indagini per capire chi è stato e se dovessi scoprire che è iscritto alla Lega non c’è dubbio che lo allontanerò all’istante».

C’è da chiedersi perché, di fronte ad una lamentata “truffa”, nonché, di fronte all’usurpazione dell’immagine, al furto di indentità ed all’uso denigratorio del logo e dei simboli leghisti, con conseguente lesione dell’onore, della reputazione e dell’immagine del partito, le indagini che si preannunciano siano solo quelle “interne”.

Non sarebbe logico che si procedesse, da parte della Lega Nord, alla denuncia-querela alle pubbliche autorità nei confronti di chi abbia compiuto l’insieme dei reati, molti dei quali perseguibili solo con la querela della parte offesa?

Qulacuno sa se i rappresentanti della Lega Nord abbiano sporto querela o abbiano quantomeno denunciato tali fatti alle forze dell’ordine o alla procura, in modo da far attivare le indagini del caso, anche di computer forensics, per l’individuazione degli autori degli illeciti paventati?

Fabio Bravo

www.fabiobravo.it

Social Networks, cybercrimes e processi di vittimizzazione

 Ritorno sul tema del social networking per evidenziare i risultati di un’indagine realizzata in occasione del National Cyber Security Awarness, resi noti dall’associazione National Cyber Security Alliance (Ncsa).

Nell’indagine sono state esaminate, con particolare riguardo ai social networks, le relazioni fra:

a) i comportamenti che i navigatori pongono in essere quando sono on-line;

b) la potenziale esposizione agli attacchi e, quindi, ai reati informatici ed alle minacce alla cybersicurezza;

c) l’esposizione ai processi di vittimizzazione relativa ai cybercrimes, ossia la possibilità di essere vittima di crimini commessi via Internet.

L’indagine è stata condotta nell’ambito di un progetto internazionale volto a promuovere iniziative di sensibilizzazione sui temi della cybersicurezza.

Sui risultati di tale interessante indagine ha dato notizia, tempo fa, Anna Masera di «La Stampa», in un articolo dal titolo «Il social networking rende vulnerabili al furto d’identità».

Senza voler assolutamente incriminare la rete e gli strumenti relativi al web 2.0 (social networks compresi), nella consapevolezza che l’uso della tecnologia arreca benefici incommensurabili, si riportano alcuni passaggi interessanti di tale articolo, utili per la comprensione dei rischi relativi all’uso dei social network.

Quanto ai comportamenti a rischio:

Sebbene molti siti di social networking, come MySpace e FaceBook, siano già stati analizzati sotto il profilo della sicurezza fisica, comprese le minacce a sfondo sessuale, la ricerca ha avuto il proposito di allargare il campo di osservazione all’analisi della condotta degli utenti online per verificare il livello di rischio in relazione ad altre tipologie di minacce quali le frodi, i furti d’identità, gli attacchi spyware e virus.

In particolare, l’indagine ha rivelato che, nonostante il 57% delle persone che frequentano siti di social networking si dichiari preoccupato di essere una potenziale vittima di cybercrimini, ciò non ferma la divulgazione di informazioni a rischio. Il 74%, ad esempio, ha fornito dati personali come indirizzo e-mail, nome, data di nascita e addirittura codice fiscale; l’83% degli adulti che fruiscono del social networking scarica file sconosciuti da profili altrui esponendo in tal modo il proprio PC a potenziali attacchi; il 51% dei genitori di bambini che accedono ai siti di social network non imposta regole di accesso ad Internet esponendo in tal modo il profilo dei propri figli e le relative informazioni personali ai malintenzionati. Inoltre il 36% dei genitori intervistati non sorveglia affatto i figli durante le loro attività di social networking.

Dall’indagine emerge un dato ancora più preoccupante: gli utenti di siti di social networking, infatti oltre a diffondere all’esterno informazioni potenzialmente dannose, adottano comportamenti potenzialmente pericolosi per la salvaguardia della loro privacy come, ad esempio, scaricare file sconosciuti e rispondere a messaggi di posta elettronica e instant messaging non sollecitati. Nello specifico, l’83% dei frequentatori di siti di social networking ha dichiarato di scaricare contenuti dal profilo di altri utenti, mentre il 31% degli adulti ha risposto a messaggi e-mail o di instant messaging finalizzati al phishing. Pur non fornendo direttamente i propri dati personali, queste attività possono culminare nel furto di identità o nella diffusione di spyware, virus e altri pericoli, mettendo a serio rischio la sicurezza del navigatore.

Tra i comportamenti a rischio viene segnalata la possibilità di ripercussioni sul posto di lavoro:

Non solo, gli adulti che accedono ai siti di social networking dal proprio ufficio mettono seriamente in pericolo la loro azienda e il posto di lavoro: è risultato, infatti, che ben il 46% dei dipendenti che hanno accesso a un computer in ufficio partecipa ad attività di social networking.

Quanto all’età degli utenti dei social network:

In netto contrasto con l’idea comunemente diffusa che il social networking sia un’attività praticata quasi esclusivamente dagli adolescenti, l’indagine rivela, invece, la presenza su questi siti di un significativo numero di adulti: il 48% ha un età compresa fra i 18 e i 34 anni; mentre il 53% ha più di 35 anni. L’incremento di queste percentuali indica la diffusa popolarità di questi siti e proporzionalmente un maggiore esposizione a potenziali rischi per la sicurezza.

Ovviamente i social networks arrecano anche benefici notevoli, tant’è che l’UE, come verrà rimarcato in altri post, ne sta incoraggiando molto l’adozione.

Ciò che occorre, dunque, è la necessità di contemperare le opposte esigenze, riducendo quanto più possibile i rischi di illecito e le minacce alla sicurezza, incrementando le potenzialità che questi nuovi strumenti di aggregazione sociale consentono. A tal fine occorre non solo indagare a fondo tali aspetti dell’information society, in tutte le direzioni possibili, ma anche offrire soluzioni, sia tecniche che giuridiche.

Un approccio, sul quale si tornerà in seguito, è stato già delineato in materia di protezione dei dati personali dai Garanti mondiali per la privacy in occasione della trentesima Conferenza internazionale delle Autorità per la protezione dei dati personali, svoltasi a Strasburgo dal 15 al 17 ottobre 2008, ove sono state delineate le Raccomandazioni sui Social Network indirizzate agli utenti ed ai fornitori di servizi.

EnglishFrenchGermanItalianPortugueseRussianSpanish

My Projects

      EUPL.IT - Sito italiano interamente dedicato alla EUPL

E-Contract-U

Giornalismo Investigativo - Inchieste e Diritto dell'informazione

My Books

My e-Books