ISSN 2704-8098
logo università degli studi di Milano logo università Bocconi
Con la collaborazione scientifica di

  Opinioni  
28 Aprile 2023


Riflessioni e proposte in tema di reati cyber


1. La risposta penale nel campo della criminalità informatica. – Nel settore della criminalità informatica, inteso in senso ampio cioè non delimitato al numerus clausus dei reati informatici ma esteso ai reati comuni consumati con lo strumento informatico, è particolarmente complessa l’identificazione dei colpevoli e il conseguente accertamento della loro responsabilità: l’elevato numero di archiviazioni indirettamente lo dimostra, anche a tacere della intuibile “cifra nera” dei fatti non denunciati. Si pensi soltanto agli attacchi cyber con finalità estorsiva: in questo specifico campo, capita pure che al preannunciato esposto del difensore segua il contrordine della persona offesa, che nel frattempo ha pagato il riscatto (usualmente in criptovalute). Le ragioni che determinano simili condotte sono molteplici: necessità di ripristinare prima possibile la piena funzionalità dell’azienda, timore per il danno reputazionale connesso alla diffusione della notizia della esfiltrazione di dati ma anche consapevolezza che l’indagine penale difficilmente si concluderà con successo. Ed è proprio su quest’ultimo aspetto che preme soffermarsi.

Innanzitutto, è importante sottolineare come la guerra in corso abbia ampiamente dimostrato che l’indagine penale è del tutto inadeguata rispetto a forme di attacco, per lo più rivolte a infrastrutture sensibili, realizzate attraverso il cosiddetto “hacktivismo” (intrusione in un sistema informatico per scopi politici con l’avallo di Stati antagonisti). Peraltro, avara di risultati positivi è anche la casistica che riguarda gli attacchi cyber finalizzati all’estorsione, la cui matrice – sganciata da interessi politici – sia riconducibile alla criminalità organizzata.

Ciò deve indurre a valorizzare maggiormente la prevenzione; e, al riguardo, vale la pena di ricordare che la gran parte delle intrusioni avviene attraverso la “supply chain” aziendale, cioè la catena di approvvigionamento: le grandi imprese, sempre più spesso, affidano le attività secondarie a piccole o medie aziende, generalmente più vulnerabili. Occorre partire da queto dato per rafforzare i sistemi di sicurezza.

Quanto alla “qualità delle indagini”, le sfide poste dalla criminalità informatica, per essere efficacemente affrontate, richiedono, necessariamente, competenze tecnologiche di livello sempre più elevato.

Incidentalmente, l’utilizzo, in questo ambito, dell’intelligenza artificiale amplificherà il problema dell’identificazione del colpevole e verosimilmente imporrà, quantomeno in prospettiva, di seguire (anche) percorsi alternativi, ragionando sempre più sulla possibilità di chiamare in causa l’ente, anche in luogo della persona fisica e a mente dell’art..8 D.Lgs. 231/2001; guardando poi al futuro – e nessuno può dire se prossimo o remoto – si sente già parlare di machina delinquere potest.

Ma, rimanendo all’attualità, tra le cause della generale insufficienza della risposta penale alla criminalità informatica è al primo posto la delocalizzazione della condotta, che complica enormemente la ricostruzione del fatto: il confronto tra l’autore del reato e chi lo investiga implica un’iperspecializzazione tecnologica dell’inquirente, che – almeno nel breve periodo – non sarà e non potrà essere patrimonio di tutti gli Uffici di Procura sparsi sul territorio nazionale.

Sul piano strettamente giuridico, la delocalizzazione pone, altresì, questioni di competenza per territorio, che le norme del codice di rito – da quando anche i reati hanno iniziato a “viaggiare su internet” – non risolvono in modo del tutto soddisfacente. La mancanza di certezza, l’instabilità della competenza territoriale, oltre a costituire un serio ostacolo processuale, non giovano alla formazione di professionalità adeguate ad esercitare l’enforcement rispetto ad una criminalità – quella informatica – che appare sempre più attrezzata e motivata.

 

2. Come intervenire per migliorarla. – Se la distrettualizzazione dei reati tipicamente informatici va nella giusta direzione della specializzazione della Magistratura inquirente (e, di conseguenza, della Polizia giudiziaria), non è tuttavia, questa, la soluzione del problema, che andrebbe affrontato intervenendo anche sui criteri che determinano la competenza per territorio. D’altronde, regole speciali in materia di competenza esistono anche in altri settori e spesso trovano causa proprio nell’impiego dell’informatica.

Un esempio tratto dal diritto penale tributarioL’art. 18, comma 1 d.lgs. n. 74/2000 detta un criterio suppletivo di determinazione della competenza territoriale, secondo cui: « (…), se la competenza per territorio per i delitti previsti dal presente decreto non può essere determinata a norma dell’articolo 8 del codice di procedura penale, è competente il giudice del luogo di accertamento del reato»; viceversa, il comma 2 detta un criterio totalmente derogatorio rispetto alla norma generale di determinazione della competenza territoriale (art. 8 c.p.p.), imperniata sul locus commissi delicti. È, infatti, stabilito, che: «Per i delitti previsti dal capo I del titolo II il reato si considera consumato nel luogo in cui il contribuente ha il domicilio fiscale. Se il domicilio fiscale è all’estero è competente il giudice del luogo di accertamento del reato». La ratio della disposizione – secondo la Relazione di accompagnamento al decreto legislativo – risiede proprio nella volontà di derogare all’applicazione delle regole generali, che darebbero luogo a risultati indesiderabili, stanti le modalità informatiche di trasmissione della dichiarazione fiscale. Infatti, se si avesse riguardo al luogo dal quale la trasmissione è effettuata, l’autore dell’illecito potrebbe scegliersi la competenza territoriale, incaricando dell’invio un soggetto abilitato operante nel luogo ritenuto più conveniente. Se, invece, si avesse riguardo al luogo fisico di ricezione della dichiarazione, la competenza risulterebbe attratta in esclusiva al Tribunale di Roma, essendo ivi ubicato il server centrale in cui giunge la dichiarazione elettronica. Ecco perché il legislatore ha optato per una disposizione speciale volta a determinare in modo autonomo, per singoli reati, la competenza per territorio.

Di esempi, anche più calzanti, se ne potrebbero fare altri. Ma ancora più interessante è ricondurre il discorso sul piano dei principiLa tradizionale equazione processual-penalistica “giudice naturale = forum commissi delicti”, finisce con il trascurare che il valore costituzionalmente tutelato è, alla stregua della giurisprudenza costituzionale e di legittimità, quello della imparzialità del giudice, assicurato dalla sua precostituzione rispetto alla vicenda controversa, in base a criteri generali, che, nei limiti della non arbitrarietà e della ragionevolezza, appartengono alla discrezionalità legislativa; mentre altre esigenze, quali quelle di agevolare la raccolta delle prove, di ridurre i disagi per le parti e per i testi, di assicurare un effettivo controllo sociale, di riaffermare la giustizia nel luogo in cui è stata violata, ben possono cedere dinanzi a valori costituzionalmente garantiti o a esigenze di pari, se non maggiore, rilevanza. Pertanto, «la nozione di giudice naturale non si cristallizza nella determinazione di una competenza generale, ma è frutto del complesso della disciplina attributiva della competenza, formandosi per effetto di tutte le disposizioni di legge, comprese quelle derogatorie alle regole ordinarie in base a criteri che ragionevolmente valutino i valori in gioco, anche di rango costituzionale, e i disparati interessi coinvolti nel processo»[1]. Dunque, non osta alcuna ragione giuridica ed è vieppiù auspicabile, con riferimento ai reati commessi a mezzo internet, fare perno sul concetto di precostituzione, intesa come previa individuazione per legge, del giudice competente.

 

3. Qualche ulteriore idea. – Con il decreto-legge 14 giugno 2021, n. 82 è stata istituita l’Agenza per Cybersicurezza Nazionale (ACN) e ridefinita l’architettura per la a tutela degli interessi nazionali dagli attacchi cyber”. All’Agenzia è anche riservato il compito di assicurare il coordinamento tra i soggetti pubblici coinvolti nella materia e, in particolare, di promuovere azioni comuni mirate a garantire la sicurezza cibernetica. È stato immediatamente notato che il citato decreto non prevede una cooperazione interistituzionale con la magistratura. Tale mancanza è per certi versi criticabile, posto che ogni intrusione informatica è anche un reato, che prevede il necessario e obbligatorio intervento del magistrato.

Ma a prescindere dall’iscrizione del procedimento penale e dalle previsioni normative, il raccordo è comunque auspicabile; si pensi agli “atti pretipici” rispetto ad un attacco cyber (per esempio la predisposizione da parte dell’attaccante delle “risorse informatiche”): tecnicamente essi sono fatti non costituenti reato; è però innegabile che la condivisione del dato può favorire la soluzione di casi già al vaglio del pubblico ministero, in cui l’attacco portato a termine presenti analogie con altri atti pretipici. Dall’esempio proposto, si coglie l’eccezionale rilevanza del coordinamento in questa delicata materia – che sicuramente si raggiungerà – tra l’Agenzia e la Magistratura.

Intanto, si potrebbe migliorare il coordinamento all’interno della magistratura. Un esempio può rendere meglio l’idea. Si ipotizzi che l’attacco cyber sia riconducibile non all’“hacktivismo” ma alla criminalità organizzata, che, attratta dalle lucrose estorsioni informatiche, è da tempo protagonista (anche) in questo settore del crimine, valendosi – quando non ne disponga internamente – di risorse tecniche esterne acquisite con la forza dell’intimidazione. Si ipotizzi, inoltre, che l’attacco sia caratterizzato da un modus operandi peculiare e che il magistrato della Procura di Milano del Dipartimento Cybercrime sospetti il coinvolgimento della criminalità organizzata. Tuttavia, l’indagine è tecnicamente su un “binario morto”.   

In un caso del genere, potrebbe però verificarsi che un “pentito” ascoltato dai magistrati della Direzione Distrettuale presso la Procura di Palermo riferisca in merito ad estorsioni informatiche dall’analogo modus operandi. L’indagine della Procura di Milano, riguardando un reato distrettuale ma che non rientra nella competenza della direzione distrettuale del capoluogo lombardo, solo per una fortuita e fortunata combinazione potrebbe beneficiare delle utili informazioni di cui è in possesso la Procura distrettuale di Palermo.

La proposta: un compito di raccordo potrebbe essere attribuito, anche in questa delicata materia, alla Procura Nazionale Antimafia.

 

[1]   Così, Cass. S.U. n. 53390/2017.