Rassegna bimestrale di novità in materia di diritto e processo penale e nuove tecnologie
Responsabili scientifici: Prof. Lorenzo Picotti e Prof. Luca Lupária – monitoraggio a cura di Chiara Crescioli, Chiara Greco, Beatrice Panattoni e Marco Pittiruti.
In collaborazione con l’Osservatorio Cybercrime dell’Università degli Studi di Verona.
1. Novità sovranazionali
Linee guida del Consiglio d’Europa sul riconoscimento facciale
La Commissione della Convenzione del Consiglio d’Europa n. 108 del 1981 in materia di protezione dei dati personali oggetto di trattamento elettronico ha elaborato delle linee guida che forniscono un insieme di misure volte a garantire e proteggere i diritti umani fondamentali che potrebbero venire violati attraverso l’utilizzo di tecnologie di riconoscimento facciale (comprese anche quelle live). Il documento si rivolge quindi a legislatori, sviluppatori e produttori, nonché utilizzatori di tali tecnologie. Per quanto riguarda i legislatori, viene suggerita l’opportunità di prevedere una disciplina normativa che regolamenti il lecito trattamento di dati biometrici attraverso l’utilizzo delle tecnologie di riconoscimento facciale. Inoltre, determinati usi di queste tecnologie dovrebbero venire vietati, come l’utilizzo al solo scopo di determinare la condizione sanitaria o sociale, l’etnia, l’età, il genere o l’appartenenza religiosa di una persona, salva la previsione di apposite salvaguardie che evitino ogni rischio di discriminazione. Un particolare paragrafo è inoltre dedicato all’utilizzo delle tecnologie di riconoscimento facciale da parte dell’autorità pubblica. Per quanto riguarda invece gli sviluppatori e i produttori di tali tecnologie, le linee guida si concentrano sui requisiti che devono caratterizzare i datasets utilizzati dai sistemi di riconoscimento facciale e su alcune delle misure a cui tali attori privati potrebbero dover conformarsi per garantire il rispetto della protezione dei dati personali sensibili trattati. Per quanto concerne infine gli utilizzatori di tali tecnologie, essi devono essere in grado di dimostrare la stretta necessarietà e proporzionalità dell’utilizzo, garantendo che il trattamento dei dati biometrici sia trasparente, equo e sicuro. (B.P.)
In seguito alla sentenza Schrems II della CGUE (v. sito Osservatorio Cybercrime – Topic Privacy), il Comitato Europeo per la protezione dei dati personali (EDPB) e il Garante Europeo per la protezione dei dati personali (GEPD) hanno adottato pareri congiunti su due serie di clausole contrattuali standard (SCC) predisposte dalla Commissione UE. Il primo è relativo alle clausole contrattuali nei contratti tra titolari del trattamento e responsabili del trattamento ai sensi dell’art. 28 GDPR, il secondo, invece, riguarda le SCC per i trasferimenti di dati personali al di fuori della UE. In particolare, le nuove SCC per il trasferimento di dati personali verso paesi terzi ai sensi dell’art. 46 (2) (c) GDPR sostituiranno le SCC esistenti per i trasferimenti internazionali per renderle conformi ai requisiti introdotti dal GDPR, prevedendo salvaguardie più specifiche nel caso in cui le leggi del paese di destinazione influiscano sul rispetto delle clausole. Sia L’EDPB che il GEPD hanno accolto favorevolmente le nuove SCCs, ma hanno sostenuto l’opportunità di adottare diverse modifiche rispetto alle bozze delle nuove clausole contrattuali standard che erano state precedentemente pubblicate dalla Commissione europea. In particolar modo, con riferimento alla c.d. "clausola di docking", che consente a qualsiasi entità di accedere alle SCC già stipulate diventando una nuova parte contrattuale in qualità di titolare o responsabile del trattamento, hanno sottolineato che è opportuno delimitare la ripartizione delle responsabilità nonché indicare chiaramente quale trattamento sia effettuato da un determinato responsabile, per conto di quale titolare e per quali scopi. Inoltre, l’EDPB e il GEPD suggeriscono che in generale gli allegati alle SCC chiariscano il più possibile i ruoli e le responsabilità di ciascuna delle parti in relazione a ciascuna attività di trattamento per facilitare ai titolari del trattamento o ai responsabili del trattamento l’adempimento dei propri obblighi. Inoltre, da migliorare o chiarire sono anche le disposizioni relative agli obblighi in materia di trasferimenti ulteriori, alla notifica all’Autorità Garante nonché agli aspetti sulla valutazione della legge del paese terzo in materia di accesso ai dati da parte della autorità pubbliche. (C.C.)
Nella Risoluzione approvata il 20 gennaio 2021 il Parlamento Europeo ha evidenziato la necessità di disporre di un quadro giuridico europeo comune, con definizioni armonizzate e principi etici comuni, anche per l’utilizzo dell’intelligenza artificiale a fini civili e militari. In Particolare, propone alla Commissione UE di adottare la seguente definizione di sistema d’Intelligenza artificiale, ovvero “un sistema basato su software o integrato in dispositivi hardware che mostra un comportamento che simula l’intelligenza, tra l’altro raccogliendo e trattando dati, analizzando e interpretando il proprio ambiente e intraprendendo azioni, con un certo grado di autonomia, per raggiungere obiettivi specifici". Inoltre, ritiene che l’IA utilizzata in un contesto militare e civile debba essere soggetta ad un significativo controllo umano, in modo tale che in qualsiasi momento un umano abbia i mezzi per correggerla, bloccarla o disattivarla in caso di comportamento imprevisto, intervento accidentale, attacchi informatici o interferenza di terzi con tecnologie basate sull’IA o qualora terzi acquisiscano tale tecnologia. Per quanto riguarda in particolare il settore giudiziario, il Parlamento ritiene che l’utilizzo dell’IA nel contrasto alla criminalità e alla cybercriminalità possa offrire un’ampia gamma di possibilità e opportunità, ma ribadisce la necessità che anche qualora le decisioni inerenti all’applicazione della legge siano in parte delegate all’IA, è sempre necessario mantenere un controllo umano sulla decisione finale. (C.C.)
Il 21 gennaio 2021 il Parlamento europeo ha approvato una risoluzione contenente raccomandazioni alla Commissione sul “diritto alla disconnessione” (right to disconnect), dove con “disconnessione” si intende, secondo il testo della proposta legislativa allegato alla risoluzione, “il mancato esercizio di attività o comunicazioni lavorative per mezzo di strumenti digitali, direttamente o indirettamente, al di fuori dell’orario di lavoro”.
Considerato infatti l’utilizzo sempre maggiore degli strumenti digitali a scopi lavorativi, esponenzialmente aumentato durante la pandemia, e il ricorso allo smart working che flessibilizza l’orario, il luogo e il modo in cui il lavoro può essere svolto, è emersa una cultura del “sempre connesso” a scapito dei diritti fondamentali dei lavoratori. Dal momento che attualmente non esiste una specifica normativa europea sul diritto dei lavoratori alla disconnessione dagli strumenti digitali a scopi lavorativi, con questa risoluzione il Parlamento europeo invita la Commissione a presentare un quadro legislativo al fine di stabilire i requisiti minimi sul lavoro a distanza in tutta l’Unione Europea, precisando, integrando e rispettando i requisiti già previsti nelle direttive 2003/88/CE (sul diritto alle ferie annuali retribuite), 2019/1152/UE (sulle condizioni di lavoro trasparenti e prevedibili), 2019/1158/UE (sull’equilibrio tra attività professionale e vita familiare per i genitori e i prestatori di assistenza), nonché 89/391/CEE sulla sicurezza e la salute dei lavoratori. (B.P.)
Conclusioni dell’Avvocato Generale Michal Bobek nella causa C-645/19
Nell’ambito della Causa C-645/19 (Facebook Ireland Limited, Facebook Inc., Facebook Belgium BVBA contro Gegevensbeschermingsautoriteit), la Corte d’appello di Bruxelles ha sottoposto alla Corte di Giustizia europea una questione pregiudiziale con cui chiede se il Regolamento europeo sulla protezione dei dati personali (GDPR) consenta all’autorità di controllo di uno Stato membro di agire in sede giudiziale dinanzi a un giudice di tale Stato per una presunta violazione del GDPR riguardo ad un trattamento transfrontaliero dei dati, anche se essa non è l’“autorità di controllo capofila”, individuata secondo il meccanismo dello “sportello unico” (cfr. considerando 127, art. 56 § 1 e art. 4 punto 22 GDPR). Nelle sue conclusioni, l’avvocato generale Bobek ritiene che, fatta salva la competenza generale dell’autorità capofila sul trattamento transfrontaliero, l’autorità di controllo, che non è l’autorità capofila, può agire in sede giudiziale riguardo al trattamento transfrontaliero solamente in uno dei casi in cui il GDPR le conferisce specificatamente competenze a tal fine (come i casi previsti dall’art. 55 § 2 GDPR o il caso in cui il titolare del trattamento non abbia alcuno stabilimento nell’Unione, o in casi di urgenza) e secondo le corrispondenti procedure. (B.P.)
Il garante europeo per la protezione dei dati personali (GEPD), richiamando anche sue precedenti osservazioni (Opinione n. 3/2018 sulla manipolazione online e i dati personali), ha identificato ed evidenziato la presenza di innumerevoli rischi per la protezione dei diritti fondamentali (ma anche della società nel suo complesso) collegati al contesto delle piattaforme online. In particolare, creando quella che è stata definita l’”economia dell’attenzione” (in cui i servizi sono disegnati per massimizzazione l’attenzione e la partecipazione dei consumatori), gli esistenti advertising-driven business models di molti servizi online hanno contribuito ad aumentare fenomeni di polarizzazione e manipolazione politica ed ideologica, la cui portata viene amplificata dall’utilizzo di sistemi algoritmici. A fronte di tale scenario, il GEPD accoglie favorevolmente la proposta della Commissione europea per un Digital Service Act, improntato alla promozione dei principi di trasparenza e responsabilizzazione delle piattaforme. Tuttavia, a parere del garante europeo, risultano necessarie alcune precisazioni o integrazioni in merito ad alcuni punti della proposta, che si coordino e tengano conto anche delle previsioni contenute nella proposta del Digital Market Act. Tra questi si segnala la necessità di: introdurre misure per garantire la complementarietà delle nuove previsioni con quelle già previste dal GDPR e dalla direttiva 2002/58/EC (direttiva relativa alla vita privata e alle comunicazioni elettroniche); fornire una definizione più specifica di legittimo trattamento di dati personali nell’ambito delle misure implementate dalle piattaforme per il contrasto ai contenuti illegali; intensificare la trasparenza nell’informativa che si dovrà fornire agli utenti in caso di utilizzo di strumenti automatici per le operazioni di moderazione dei contenuti; specificare (attraverso ad esempio la predisposizione di un allegato) quali siano i reati rilevanti per l’obbligo di notifica all’autorità previsto dall’art. 21 della proposta di regolamento. (B.P.)
Inizio del nuovo Octopus Project on Cybercrime del Consiglio d’Europa
A seguito del notevole successo riscosso dal precedente ciclo, il 1 gennaio 2021 ha avuto inizio il nuovo Octopus Project on Cybercrime, finanziato dal Consiglio d’Europa.
L’obiettivo del progetto è quello di fornire assistenza a tutti gli Stati che, globamente, sono chiamati a dare attuazione alla Convenzione di Budapest sul cybercrime, soprattutto alla luce delle nuove sfide che il 2020 ha messo in evidenza.
In particolare, il Progetto si propone di fornire assistenza alle autorità penali degli Stati che sono intenzionati ad implementare la Convenzione di Budapest, con il Primo Protocollo sulla Xenofobia ed il Razzismo e il futuro Secondo Protocollo in tema di prove elettroniche; supportare il Cybercrime Convention Committee; organizzare conferenze internazionali sul tema della cooperazione nella lotta al cybercrime; sviluppare strumenti telematici per svolgere attività di capacity building con riferimento al cybercime e alle prove elettroniche.
Con un budget pari a 5 milioni di euro ed un team formato da esperti provenientti sia dalla divisione Cybercrime di Strasburgo sia dal Cybecrime Programme Office di Bucarest, il nuovo Octopus Project durerà dal 1 gennaio 2021 al 31 dicembre 2024. (C.G.)
International Network of Judicial Trainers on Cybercrime and Electronic Evidence, Terms of Reference
Durante la seduta plenaria di gennaio 2021, l’International Network of Judicial Trainers on Cybercrime and Electronic Evidence ha adottato un documento ufficiale, volto a illustrare nel maggior dettaglio le ragioni sottese all’esistenza del network, la sua missione e i suoi strumenti.
In particolare, il network nasce in seno al Consiglio d’Europa e in collaborazione con il Lisbon Network of Judicial Training Institutions, per facilitare l’acquisizione, da parte dei giudici nazionali, delle competenze necessarie ad affrontare le nuove sfide poste dalla digitalizzazione delle prove e dal cybercrime.
L’obiettivo del progetto è supportare le istituzioni che, a livello nazionale, si occupano della formazione di giudici e pubblici ministeri, inserendo all’interno dell’offerta formativa sessioni specificamente dedicate al cybercrime e alle prove elettroniche.
Il network si propone di raggiungere tale obiettivo attraverso la creazione ed il mantenimento di squadre di formatori altamente qualificati in tema di cybercrime e prova elettronica, disponibili a tenere corsi a livello nazionale, regionale e internazionale; la fornitura di linee guida relative alla formazione dei giudici, soprattutto con riferimento a strumenti come la Convenzione di Budapest; il supporto ai corsi organizzati dallo stesso Consiglio d’Europa in relazione a tematiche afferenti al cybercrime; la facilitazione di incontri ed occasioni di condivisione tra gli operatori del settore, attraverso incontri, conferenze internazionali e workshop. (C.G.)
Interpol, ASEAN Cyberthreat Assessment
Nel suo ultimo Cyberthreat Assessment relativo all’ASEAN (Associazione delle Nazioni del Sudest Asiatico) del 22 gennaio 2021, Interpol evidenzia i principali trend e le principali minacce relative al cybercrime nel contesto della regione asiatica.
Il report in questione sottolinea come il trend più evidente del cybercrime sia la sua potenzialità a espandersi esponenzialmente, anche grazie alla sempre maggior condivisione di expertise e risorse da parte di componenti del cd. organized cybercrime.
Oltre a fornire una descrizione dello stato dell’arte, il report suggerisce anche strategie utili al fine di contrastare efficacemente le minacce cibernetiche nel contesto della pandemia, momento storico in cui un numero significativo di individui ha iniziato a navigare il web attraverso dispositivi mobili non del tutto protetti, così aumentando le possibilità per i cybercriminali di accedere a ingenti quantitativi di dati personali e/o credenziali di accesso.
Il report, inoltre, si occupa approfonditamente della collaborazione tra il settore pubblico e quello privato in punto di condivisione di intelligence ed expertise, fenomeno ormai essenziale per affrontare efficacemente il cybercrime, e facilitato dal network mondiale creato da Interpol. (C.G.)
In data 17 gennaio 2021, al fine di preparare la prossima seduta dell’Expert Group to Conduct a Comprehensive Study on Cybercrime (creato in seno alla Commission on Crime Prevention and Criminal Justice delle Nazioni Unite) che si terrà ad aprile del 2021, il segretariato dell’Expert Group ha pubblicato una raccolta delle conclusioni preliminari raggiunte dagli Stati Membri nel corso delle sedute degli anni 2018-2019- 2020.
La futura seduta fissata ad aprile 2021 si prefigge l’obiettivo di preparare una lista definitiva di conclusioni e raccomandazioni in materia di cybercrime, da sottoporre successivamente all’attenzione della Commission on Crime Prevention and Criminal Justice.
In particolare, le raccomandazioni elaborate in seno alla Conferenza del 2018 riguardano la legislazione e le sclte in materia di criminalizzazione; le raccomandazioni elaborate in seno alla Conferenza del 2019 riguardano i temi del law enforcement, delle indagini, delle prove elettroniche e della giustizia penale in generale. Infine, le raccomandazioni elaborate in seno alla Conferenza del 2020 riguardano la cooperazione internazionale e la prevenzione del cybercrime. (C.G.)
Europol, Programming Document, sezione sul Cybercrime
In data 27 gennaio 2021 Europol ha reso pubblico il proprio documento di programmazione, relativo all’attività da svolgere nel triennio 2021-2023. Di particolare interesse è la sezione III, A.4 relativa alla lotta al cybercime.
In particolare, il documento illustra gli obiettivi del dipartimento di Europol che si occupa di cybercrime (EC3, European Cybercrime Centre), e gli strumenti per raggiungerli, con riferimento ad un’ampio novero di aree tematiche attinenti al cybercrime.
In primis, Europol si impegna ad assicurare l’effettivo funzionamento di EC3 nel fornire supporto strategico ed operativo agli Stati Membri con riferimento alla lotta al cybercrime. Con riferimento alle prove e ai documenti elettronici, Europol si impegna a fornire supporto forense alle indagini condotte negli Stati Membri, al pari di quanto farà con riferimento alla cyber intelligence. Ancora, Europol intende sostenere l’attività degli Stati volta a smantellare i network criminali coinvolti nelle seguenti attività: cybercrimes associati ad Internet e all’ICT; sfruttamento e abuso sessuale dei minori online; frode nei mezzi di pagamento diversi dal denaro; scambio di beni e servizi illeciti sul cd. dark web. Anche a tali fini, Europol si impegna a sostenere e sviluppare la creazione di Joint Cybercrimes Actions Taskforces, nonché a condurre attività di ricerca volte a sviluppare proattivamente nuove expertise e nuove soluzioni alle sfide poste dalle indagini in tema di cybercrime. (C.G.)
2. Novità giurisprudenziali nazionali
Con questa pronuncia, la Corte di Cassazione ha valorizzato il rifiuto del ricorrente, indagato e sottoposto alla misura cautelare degli arresti domiciliari, di fornire i codici di sblocco dei dispositivi informatici a lui sequestrati quale elemento da cui desumere il pericolo di inquinamento probatorio di cui all’art. 274 c.p.p. Segnatamente, a parere dei giudici legittimità, l’ostacolo frapposto dall’indagato all’accesso, da parte della pubblica accusa, ai dati ivi contenuti renderebbe concreto il pericolo che, in condizioni di libertà, l’indagato possa tentare di accedere a tali dati da remoto, anche con l’ausilio di terzi, al fine di cancellarli. (M.P.)
La Suprema Corte, sulla falsariga delle recenti pronunce volte a stigmatizzare l’impiego di mezzi di ricerca della prova digitale quale indebito strumento per reperire notitiae criminis, torna a soffermarsi sulle sui limiti del sequestro di materiale informatico. In particolare, in questa occasione, i giudici di legittimità riaffermano il ruolo centrale rivestito dai principi di adeguatezza e proporzionalità: il vincolo probatorio deve essere ab origine commisurato, anche sul piano temporale, alla necessità di estrapolare dalla strumentazione dati previamente individuati e, nel contempo, deve essere assicurato un canone di selezione, in assenza del quale il vincolo risulta nel suo complesso ingiustificato per difetto di proporzionalità. Di qui, l’illegittimità del decreto di acquisizione omnibus disposto dal pubblico ministero, del tutto privo di indicazioni in ordine al tipo di dati acquisibili e al significato probatorio che ci si riprometteva di poterne desumere e, pertanto, avente carattere meramente esplorativo.
In senso conforme: Corte di Cassazione, Sez. VI penale, sentenza 2 dicembre 2020 (ud. 22 settembre 2020), n. 34265/2020, Pres. Pierluigi Di Stefano, Rel. Pietro Silvestri.
Per approfondire: L. Nullo, Sequestro probatorio di materiale documentativo e principi di adeguatezza e proporzionalità, in Proc. pen. giust., 2020, p. 660 ss.; M. Pittiruti, Adeguatezza e proporzionalità nel sequestro di un sistema informatico, in Dir. internet, 2019, p. 777 ss. (M.P.)
La Corte di Cassazione ha precisato che l’opposizione del difensore avverso il provvedimento con cui il giudice dell’esecuzione dispone l’esecuzione della confisca e la distruzione di apparati elettronici (computer e cellulari) impone l’attivazione del procedimento di cui all’art. 666 c.p.p., con l’instaurazione del relativo contraddittorio camerale. Nel caso di specie, il difensore si opponeva alla distruzione del materiale informatico già oggetto di confisca, disposta de plano dal giudice dell’esecuzione ai sensi degli artt. 676, comma 1, e 667, comma 4, c.p.p., in ragione della necessità di sottoporre tale strumentazione a nuove analisi in vista della presentazione di una richiesta di revisione. Con l’occasione, la Corte ha sottolineato che la possibilità di nuovi accertamenti di digital forensics sul materiale informatico confiscato è ricompresa tra le facoltà assegnate al difensore dall’art. 327-bis c.p.p., il quale individua un arco temporale, lungo cui svolgere le indagini difensive per promuovere il giudizio di revisione, che intercorre tra la data di irrevocabilità della sentenza di condanna e quella dell’eventuale richiesta di revisione. A nulla rileva, dunque, come erroneamente sostenuto dal giudice dell’esecuzione per escludere gli accertamenti informatici, che la richiesta di revisione ancora non fosse stata presentata. (M.P.)
Mutuando sul terreno delle intercettazioni mediante captatore informatico un orientamento da tempo consolidato in tema di intercettazioni telefoniche e di comunicazioni, la Corte di Cassazione ha precisato che, al fine di ritenere utilizzabile lo strumento investigativo in parola, non è richiesta la necessaria e preventiva iscrizione nel registro delle notizie di reato del soggetto che subisce l’intercettazione. Nella prospettiva accolta dai giudici di legittimità, infatti, presupposto per l’autorizzazione delle intercettazioni è la mera sussistenza di gravi indizi di reato, i quali attengono all’illecito penale e non alla colpevolezza di un determinato soggetto, di tal ché non è necessario che tali indizi siano a carico di persona individuata o del soggetto le cui comunicazioni debbano essere captate ai fini di indagine. La motivazione dell’autorizzazione alle intercettazioni, pertanto, deve contenere unicamente la valutazione degli elementi sintomatici dell’esistenza di un fatto penalmente sanzionato, compreso tra quelli indicati nell’art. 266, comma 1, c.p.p. e non di elementi relativi alla riferibilità soggettiva del medesimo.
In senso conforme: con più generale riferimento alle intercettazioni telefoniche e di comunicazioni tra presenti, Corte di Cassazione, sez. IV penale, sentenza 20 febbraio 2014 (ud. 12 novembre 2013), n. 8076/2014 – Pres. Zecca, Rel. Esposito. (M.P.)
Sussiste la scriminante dell’esercizio del diritto di difesa ex art. 51 c.p. nell’ipotesi in cui un soggetto, venuto a conoscenza di una attività di acquisizione di informazioni aventi carattere diffamatorio o comunque pregiudizievoli per la propria persona, i propri familiari e la propria azienda, abbia memorizzato in un CD file e dati contenenti tali informazioni illecitamente sottratte dai sistemi informatici di un’agenzia investigativa, dunque materiale informatico provento del delitto di cui all’art. 615-ter c.p., al fine di sporgere denuncia innanzi all’Autorità giudiziaria. In tale caso è evidente la recessività dell’interesse patrimoniale tutelato dal delitto di cui all’art. 648 c.p. rispetto al fine difensivo perseguito dall’imputato, che trova fondamento nell’art. 24 Cost., per cui l’elemento psicologico qualificante l’illecito è geneticamente contraddetto sotto il profilo dell’antigiuridicità dal preponderante e preminente esercizio di un diritto costituzionalmente garantito
In senso difforme: Corte di Cassazione, sez. V penale, sentenza 15 dicembre 2014 (ud. 29 ottobre 2014), n. 52075/2014 – Pres. Dubolino, Rel. Settembre. (C.C.)
La Cassazione precisa che il fatto che l’aggravante di cui all’art. 615-ter c.p., comma 2, n. 1 (fatto commesso da un pubblico ufficiale o da un incaricato di un pubblico servizio con abuso dei poteri o con violazione dei doveri inerenti alla funzione o al servizio) sia di carattere esclusivamente soggettivo, nel senso che descrive la condotta punibile in quanto posta in essere da determinati soggetti, non esclude che in tale fattispecie possano concorrere soggetti che non rivestono tale qualità. Infatti, in tema di circostanze, sono estendibili ai concorrenti, e sempre che questi ne fossero consapevoli, le sole aggravanti soggettive che, oltre a non essere “inerenti alla persona del colpevole”, a norma dell’art. 70 comma 2 c.p., abbiano in qualche modo agevolato la realizzazione del reato, dovendo procedersi ad una interpretazione costituzionalmente orientata dell’art. 118 c.p. Pertanto, se nel caso specifico la qualità dell’agente era nota a colui che ha richiesto al pubblico ufficiale o all’incaricato di pubblico servizio di effettuare l’intromissione illecita e tale circostanza agevolò o consentì la realizzazione stessa del reato, l’aggravante di cui all’art. 615-ter c.p. si estende anche al concorrente privo della qualifica.
In senso conforme: Corte di Cassazione, Sezioni Unite, sentenza 8 settembre 2017 (ud. 18 maggio 2017), n. 41210/2017 - Pres. Canzio, Rel. Savani.
Per approfondire: I. Salvadori, I reati contro la riservatezza informatica, in A. Cadoppi, S. Canestrari, A. Manna, M. Papa (a cura di), Cybercrime, Torino, 2019, p. 656 ss.; R. Flor, La condotta del pubblico ufficiale fra violazione della voluntas domini, “abuso” dei profili autorizzativi e “sviamento di poteri”, in Dir. Pen. Proc., 2018, n. 4, p. 506 ss.; Id., Verso una rivalutazione dell’art. 615-ter c.p.?, in Dir. Pen. Cont. – Riv. Trim., 2011, p. 126 ss.; I. Salvadori, Quando un insider accede abusivamente ad un sistema informatico o telematico? Le Sezioni Unite precisano l’ambito di applicazione dell’art. 615-ter c.p., in Riv. Trim. Dir. Pen. Economia, 2012, p. 369 ss.; I. Salvadori, L’accesso abusivo ad un sistema informatico o telematico. Una fattispecie paradigmatica dei nuovi beni giuridici emergenti nel diritto penale dell’informatica, in L. Picotti (a cura di), Tutela penale della persona e nuove tecnologie, Padova, 2013, p. 125 ss.; L. Picotti, Sistematica dei reati informatici, tecniche di formulazione legislativa e beni giuridici tutelati, in Id. (a cura di), Il diritto penale dell’informatica nell’epoca di Internet, Padova, 2004, p. 21 s., 77 s. (C.C.)
In tema di intercettazioni mediante trojan horse, la Corte di Cassazione specifica che l’obbligo di indicare, nel decreto autorizzativo, le ragioni che rendono necessario il ricorso proprio a quella invasiva modalità di captazione in luogo di altre meno impattanti sulla sfera privata può essere adempiuto mediante il rinvio per relationem ad atti a firma della polizia giudiziaria. In particolare, nel caso di specie, il provvedimento del G.I.P. non esplicitava le ragioni per cui era indispensabile procedere all’attivazione del captatore informatico; nondimeno, una relazione di polizia giudiziaria in atti affermava che l’esigenza di ricorrere, in via d’urgenza, a un virus da installare sull’apparecchio telefonico in uso all’indagato derivava dal fatto che costui si avvaleva degli applicativi Skype e Whatsapp. Invero, dal momento che tali applicativi utilizzavano un sistema crittografico end-to-end, non altrimenti intercettabile, era necessario, per poter accedere al contenuto delle relative comunicazioni, il ricorso a un siffatto dispositivo di intercettazione. Poiché tale relazione era richiamata per relationem dal provvedimento autorizzativo del G.I.P., tanto è bastato ai giudici di legittimità per dichiarare manifestamente infondata la doglianza del ricorrente.
In senso conforme: con più generale riferimento alle intercettazioni di conversazioni o di comunicazioni, Corte di Cassazione, sez. V penale, sentenza 25 luglio 2017 (ud. 5 giugno 2017), n. 36913/17, Pres. Pezzullo, Rel. Scarlini.
Per approfondire: T. Bene, “Il re è nudo”: anomie disapplicative a proposito del captatore informatico, in Arch. pen. web, 2019, n. 3; M. Bontempelli, Il captatore informatico in attesa della riforma, in Dir. pen. cont., 20 dicembre 2018; O. Calavita, L’odissea del trojan horse, in Dir. pen. cont., 2018, n. 11, p. 45 ss.; L. Giordano, Presupposti e limiti all’utilizzo del captatore informatico: le indicazioni della Suprema Corte, in questa Rivista, 2020, n. 4, p. 109 ss.; M. Pittiruti, Il captatore informatico nel procedimento penale alla luce delle recenti modifiche normative ed evoluzioni giurisprudenziali, in G. Cassano e S. Previti (a cura di), Il diritto di Internet nell’era digitale, Milano, 2020, p. 943 ss. (M.P.)
Con questa sentenza la Suprema Corte chiarisce che il reiterato invio di messaggi di posta elettronica, contenenti insulti e minacce costituisce una condotta invasiva, di per sé idonea a determinare uno degli eventi previsti dall’art. 612-bis c.p., nel caso in esame individuato nel timore della persona offesa per l’incolumità propria e dei propri familiari. Infatti, tale fattispecie non può essere assimilata al reato di molestie ex art. 660 c.p., poiché ha una diversa oggettività giuridica e presidia beni diversi; infatti per l’integrazione del delitto di atti persecutori non è necessario che le condotte invasive debbano rispettare i parametri nomativi di cui all’art. 660 c.p., che richiede l’uso del telefono, modalità di veicolazione delle molestie che invece è estranea al delitto di atti persecutori, che può riguardare qualsiasi condotta dotata di una portata invasiva e persecutoria.
I giudici di legittimità precisano poi che l’invio di messaggi di posta elettronica ha senz’altro natura invasiva, trattandosi di un sistema di comunicazione che è parte integrante della quotidianità delle persone, anche grazie al fatto che l’accesso alla propria casella di posta elettronica è oggi possibile anche da smartphone e tablet e non richiede di utilizzare necessariamente un computer. Pertanto, l’invio ripetuto, anche da indirizzi diversi di posta elettronica, di mail dal contenuto gravemente offensivo e minatorio nei confronti della persona offesa, costretta a subire tale mole di messaggi, costituisce non solo una condotta assimilabile a quella prevista dalla fattispecie penale di cui all’art. 612-bis c.p., ma anche un comportamento idoneo a determinare uno degli eventi previsti dalla stessa fattispecie. Non rileva che il destinatario possa cancellarle o evitare di leggerle, perché l’invasività di una condotta non è data dall’effettiva o potenziale possibilità che la persona offesa attui dei meccanismi di difesa per arginarne gli effetti. Infatti, quando ciò avviene la condotta ha già esaurito la propria portata violativa dell’altrui sfera individuale, pregiudicata dal fatto di dover predisporre dei meccanismi di difesa. Inoltre, al danno della ricezione di una pluralità di mail contenenti insulti e minacce, si aggiunge peraltro anche quello di dover effettuare una cernita preventiva prima di comprendere la destinazione, venendo così ulteriormente pregiudicata la libertà morale della persona offesa.
In senso conforme: Corte di Cassazione, sez. VI penale, sentenza 30 agosto 2010 (ud. 16 luglio 2010) n. 32404/2010 - Pres. De Roberto, Rel. Colla. (C.C.)
Non è applicabile l’aggravante della minorata difesa, ai sensi dell’art. 61, n. 5 c.p., nell’ipotesi di truffa commessa attraverso la vendita di prodotti online quando la trattativa prenda avvio dall’ostensione di un bene su una piattaforma telematica, ma poi si sviluppi attraverso contatti telefonici e incontri in presenza.
In queste condizioni i contraenti risultano esposti a ordinarie azioni fraudolente, che non risultano agevolate dalla condizione di minorità in cui è posta la vittima di truffe contrattuali che si consumano attraverso trattative svolte interamente "a distanza", su piattaforme web.
Per approfondire: M. Lepera, Un caso di reato semplice scambiato per reato circostanziato: sull’improbabile configurabilità dell’aggravante della “minorata difesa” in relazione alle truffe on-line, in Cass. Pen., 2017, n. 2, p. 687 ss.; F. Cajani, Le truffe on line, in C. Parodi (a cura di), Diritto penale dell’impresa, Milano, 2017, p. 573 ss.; C. Pecorella, M. Dova, Profili penali delle truffe on line, in Arch. Pen., 2013, n. 3, p. 799 ss; P. Cipolla, E-commerce e truffa, in Giur. merito, 2013, n. 3, p. 2624 ss..
In senso conforme: Corte di Cassazione, sez. VI penale, sentenza 22 aprile 2017 (ud. 22 marzo 2017), n. 17937/2017 - Pres. Rotundo, Rel. Criscuolo. (massima a cura di Rosa Maria Vadalà)
In caso di diffamazione commessa a mezzo Internet la Corte di Cassazione conferma che il giudice naturale va individuato in forza del criterio del luogo di domicilio dell’imputato, in applicazione della regola suppletiva stabilita dall’art. 9 c. 2 c.p.p., sostenendo che la competenza si sarebbe, peraltro, radicata presso lo stesso Tribunale anche applicando il criterio di cui al primo comma dell’art. 9 c.p.p., riprendendo quella giurisprudenza della Corte secondo cui nei reati di diffamazione tramite la rete Internet, ove sia impossibile stabilire il luogo di consumazione del reato e sia stato invece individuato quello in cui il contenuto diffamatorio è stato caricato come dato informatico, per poi essere immesso in rete, la competenza territoriale va determinata in relazione al luogo predetto, in cui è avvenuta una parte dell’azione.
In senso conforme: Corte di Cassazione, sez. V penale, sentenza 22 febbraio 2017 (ud. 23 gennaio 2017), n. 8482/2017 - Pres. Palla, Rel. Catena; Corte di Cassazione, sez. I penale, sentenza 26 aprile 2011 (ud. 15 marzo 2011), n. 16307/2011 - Pres. Siotto, Rel. Pieraccini. (B.P.)
La Corte di Cassazione ribadisce che i messaggi whatsapp vanno inquadrati nell’ampio contenitore della prova documentale di cui all’art. 234 c.p.p.; pertanto, è legittima la loro acquisizione mediante mera riproduzione fotografica dello schermo dello smartphone che li contiene. Nel caso di specie, i giudici di legittimità hanno valorizzato la circostanza che la difesa neppure avesse lamentato la non genuinità o l’alterazione dei messaggi. Adombrando, per tale via, l’esistenza di un peculiare onere di contestazione in capo alla difesa, chiamata a dimostrare – sulla falsariga dei noti approdi giurisprudenziali in tema di digital evidence – le eventuali modifiche al dato che valgano a renderlo inutilizzabile.
In senso conforme: Corte di Cassazione, sez. VI penale, sentenza 17 gennaio 2020 (ud. 12 dicembre 2019), n. 1822/2020, Pres. Petruzzellis, Rel. Bassi.
Per approfondire: R. Del Coco, L’utilizzo probatorio dei dati whatsapp tra lacune normative e avanguardie giurisprudenziali, in Proc. pen. giust, 2018, p. 532 ss.; G. Fiorelli, Lo screenshot quale prova documentale: regole acquisitive e garanzie di affidabilità, in Dir. giust., 2020, p. 503 ss.; M. Pittiruti, Digital Evidence e procedimento penale, Torino, 2017; M. Torre, Whatsapp e l’acquisizione processuale della messaggistica istantanea, in Dir. pen. proc., 2020 p. 1279 ss. (M.P.)
Con questa pronuncia in materia di accesso abusivo a sistema informatico, la Suprema Corte ribadisce che per la configurabilità del reato di cui all’art. 615-ter c.p. è irrilevante che le password di accesso al sistema informatico protetto fossero state comunicate all’autore del reato in epoca antecedente l’accesso abusivo dallo stesso titolare delle credenziali, qualora la condotta incriminata abbia portato ad un risultato certamente in contrasto con la volontà della persona offesa ed esorbitante l’eventuale ambito autorizzatorio. Infatti, l’accesso abusivo ad un sistema informatico consiste nella obiettiva violazione delle condizioni e dei limiti risultanti dalle prescrizioni impartite dal titolare del sistema per delimitarne l’accesso, compiuta nella consapevolezza di porre in essere una volontaria intromissione nel sistema in violazione delle regole imposte dal titolare, a nulla rilevando gli scopi e le finalità che abbiano soggettivamente motivato tale accesso.
In senso conforme: Corte di Cassazione, sez. V, sentenza 2 maggio 2019 (ud. 25 marzo 2019) n.18284/2019 - Pres. Catena, Rel Tudino; Corte di Cassazione, sez. V penale, sentenza 22 gennaio 2019, (ud. 2 ottobre 2018), n. 2905/2019 - Pres. Fumo, Rel. Borrelli; Corte di Cassazione, sez. V penale, sentenza 29 luglio 2016, (ud. 13 giugno 2016), n. 33311/2016 - Pres. Palla, Rel. Settembre.
Per approfondire: I. Salvadori, I reati contro la riservatezza informatica, in A. Cadoppi, S. Canestrari, A. Manna e M. Papa (a cura di), Cybercrime, Torino, 2019, p. 656 ss.; R. Flor, La condotta del pubblico ufficiale fra violazione della voluntas domini, “abuso” dei profili autorizzativi e “sviamento di poteri”, in Dir. Pen. Proc., 2018, n. 4, p. 506 ss.; ID, Verso una rivalutazione dell’art. 615-ter c.p.?, in Dir. Pen. Cont. – Riv. Trim., 2011, p. 126 ss.; I. Salvadori, Quando un insider accede abusivamente ad un sistema informatico o telematico? Le Sezioni Unite precisano l’ambito di applicazione dell’art. 615-ter c.p., in Riv. Trim. Dir. Pen. Economia, 2012, p. 369 ss.; ID., L’accesso abusivo ad un sistema informatico o telematico. Una fattispecie paradigmatica dei nuovi beni giuridici emergenti nel diritto penale dell’informatica, in L. Picotti (a cura di), Tutela penale della persona e nuove tecnologie, Padova, 2013, p. 125 ss.; L. Picotti, Sistematica dei reati informatici, tecniche di formulazione legislativa e beni giuridici tutelati, in L. Picotti (a cura di), Il diritto penale dell’informatica nell’epoca di Internet, Padova, 2004, p. 21 s.. 80 s. (C.C.)
3. Novità legislative e normative nazionali
Newsletter del Garante per la protezione dei dati personali n. 473 del 19 febbraio 2021
Il Garante ha sottolineato il divieto di utilizzare le impronte digitali dei dipendenti per l’utilizzo di un sistema di rilevazione delle presenze in assenza di specifica previsione di legge. Infatti, a seguito del rafforzamento delle garanzie previste dal Regolamento GDPR e dal Codice privacy, per installare questo tipo di sistemi è necessaria una base normativa che sia proporzionata all’obiettivo perseguito e che fissi misure appropriate e specifiche per tutelare i diritti degli interessati. Pertanto, ha sanzionato per 30.000 euro l’Azienda sanitaria provinciale di Enna, che utilizzava tale sistema, sottolineando che la base normativa invocata era carente, non essendo stato adottato il regolamento attuativo della legge 56/2019 (poi abrogata) che doveva stabilire garanzie per circoscrivere gli ambiti di applicazione e regolare le principali modalità del trattamento. (C.C.)
La sanzione dell’Autorità Garante della Concorrenza e del Mercato nei confronti di Facebook
Con provvedimento n. 27432 del 29 novembre 2018, l’Autorità Garante della Concorrenza e del Mercato (AGCM) aveva accertato che Facebook Inc. e Facebook Ireland Ltd. ponevano in essere una pratica commerciale scorretta, inducendo ingannevolmente gli utenti consumatori a registrarsi sulla piattaforma senza informarli adeguatamente, in fase di attivazione dell’account, dell’attività di raccolta, con intento commerciale, dei dati da loro forniti e, più in generale, delle finalità remunerative che sottendono la fornitura del servizio di social network, enfatizzandone la sola gratuità. Con tale provvedimento l’AGCM, oltre sanzionare il social network per 7 milioni, aveva vietato l’ulteriore diffusione della pratica commerciale e disposto la pubblicazione da parte di Facebook di una dichiarazione di rettifica.
A fronte del mancato adempimento da parte di Facebook, che, pur avendo eliminato il claim di gratuità in sede di registrazione alla piattaforma, ancora non forniva un’immediata e chiara informazione sulla raccolta e sull’utilizzo a fini commerciali dei dati degli utenti, l’Autorità ha aperto a gennaio 2020 un nuovo procedimento, che si è concluso con il provvedimento qui riportato, con il quale è stata irrogata nei confronti del social network una ulteriore sanzione di 5 milioni di euro. (B.P.)
Con il provvedimento n. 20 del 22 gennaio 2021 il Garante per la protezione dei dati personali, viste le violazioni del GDPR contestate a Tik Tok nel procedimento già aperto dal Garante con nota del 15 dicembre 2020, ha disposto, ai sensi dell’art. 58, par. 2, lett. f) e 66, par. 1 del GDPR (che permette in casi d’urgenza di derogare al meccanismo di cooperazione con le autorità europee per l’applicazione coerente in tutta l’Unione ai sensi dell’art. 63 del GDPR), nei confronti del social network, la misura della limitazione provvisoria del trattamento, vietando l’ulteriore trattamento dei dati degli utenti che si trovano sul territorio italiano per i quali non vi sia assoluta certezza dell’età e, conseguentemente, del rispetto delle disposizioni collegate al requisito anagrafico. In un successivo comunicato stampa, il Garante ha dato atto della comunicazione ricevuta da Tik Tok, che ha affermato di voler adottare misure per bloccare l’accesso agli utenti minori di 13 anni (bloccando tutti gli utenti italiani a partire dal 9 febbraio e chiedendo di indicare nuovamente la data di nascita), la cui età potrebbe venire verificata anche attraverso l’utilizzo di sistemi di intelligenza artificiale. Rispetto all’effettiva efficacia delle singole misure, il Garante si riserva comunque successive verifiche.
Infine, il Garante ha aperto dei procedimenti anche nei confronti di Facebook, che controlla anche Instagram, chiedendo informazioni sulle modalità di iscrizione ai social e sulle verifiche dell’età dell’utente adottate per controllare il rispetto dell’età minima di iscrizione.
Per approfondire: F. Di Tano, Minori, consenso “privacy” e vulnerabilità “online”: riflessioni alla luce del Regolamento generale sulla protezione dei dati (UE) 2016/679, in Notizie di Politeia, 2019, n. 136, p. 46 ss.; L. Picotti, La tutela penale della persona e le nuove tecnologie dell’informazione, in L. Picotti (a cura di), Tutela penale della persona e nuove tecnologie, Milano, 2013, p. 29 ss.; ID., I diritti fondamentali nell’uso ed abuso dei social network. aspetti penali, in Giurisprudenza di merito, 2021, n. 12, p. 2522 ss. (B.P.)
Con tale provvedimento il Garante per la protezione dei dati personali ha sanzionato per 8.000 euro ai sensi dell’art. 33 GDPR l’agenzia regionale protezione ambiente della Campania, che aveva subito il furto di un hard disk esterno contenente informazioni importanti in materia di reati ambientali con tanto di riferimenti personali e dati giudiziari. Infatti, l’Autorità centrale ha ritenuto insufficiente l’avvenuta regolare segnalazione ai carabinieri e la notifica del data breach al garante, evidenziando che l’art. 32 del regolamento europeo prevede una serie di misure organizzative obbligatorie che non erano però state adottate dal titolare del trattamento. In particolare, risultavano carenti gli accorgimenti finalizzati ad assicurare la continuità e il ripristino dei dati sottratti e mancavano anche tecniche di cifratura dei dati, per cui chiunque potrebbe entrare in possesso delle informazioni sottratte. Pertanto, nonostante si tratti di evento doloso altrui, resta comunque la responsabilità del titolare del trattamento per non aver adottato le misure opportune. (C.C.)
Il Consiglio di Stato, con questo provvedimento, ha reso parere favorevole sullo schema di decreto del Ministro dell’economia e finanze, recante attuazione dell’art. 36, commi 2-bis e seguenti, d.l. 30 aprile 2019, n. 34, convertito, con modificazioni, dalla l. 28 giugno 2019, n. 58, il quale intende consentire ai soggetti che svolgono o intendono svolgere attività FinTech di usufruire, per un periodo transitorio, di un regime semplificato, consentendo, al contempo, al regolatore e alle autorità di vigilanza di osservare e monitorare il fenomeno.
Tra le osservazioni svolte dal Consiglio di Stato, è stata richiesta la riformulazione della definizione di FinTech quali “attività volte al perseguimento, mediante nuove tecnologie quali l’intelligenza artificiale e i registri distribuiti, dell’innovazione di servizi e di prodotti nei settori bancario, finanziario, assicurativo e dei mercati regolamentati”.
Con riferimento, poi, all’ammissione alla sperimentazione anche di soggetto avente sede legale in un altro Stato membro dell’Unione europea e operante in Italia in regime di libera prestazione di servizi, richiamando la Comunicazione della Commissione europea 24.9.2020 COM (2020) 591 final (consultabile al sito dell’Osservatorio Cybercrime Topic FinTech) e il parere negativo sul punto espresso dalla Consob, il Consiglio di Stato ha invitato l’Amministrazione ad introdurre nel decreto apposite disposizioni volte a sviluppare le opportune ed efficaci forme di coordinamento e collaborazione tra le diverse Autorità nazionali dei Paesi dell’Unione Europea, a tutela dei consumatori e degli investitori. Sempre a tutela di questi ultimi, per garantirne il tempestivo risarcimento, laddove dovessero essere danneggiati dall’operato dei prestatori ammessi alla sperimentazione, ha altresì richiesto che tale ammissione sia subordinata al possesso di una adeguata garanzia finanziaria o assicurativa. (notizia a cura di Rosa Maria Vadalà)
Col D.M. 13 gennaio 2021, pubblicato il 21 gennaio 2021 in Gazzetta Ufficiale e in vigore dal 5 febbraio 2021, è stato ampliato il novero degli atti del procedimento penale per cui è prevista l’obbligatorietà del deposito in modalità telematica, rispetto a quelli già indicati nel d.l. n. 137/2020. In particolare, il nuovo obbligo riguarda le opposizioni all’archiviazione, le denunce e le querele dei privati con relative procure speciali, nonché le nomine, le rinunce e le revoche dei difensori di fiducia. (C.C.)
4. Segnalazioni bibliografiche
Birritteri E., Controllo a distanza del lavoratore e rischio penale, in questa Rivista, 16 febbraio 2021
Canzio G., Intelligenza artificiale, algoritmi e giustizia penale, in questa Rivista, 8 gennaio 2021
Contaldo A., La tutela della privacy del domicilio informatico e il diritto d’autore: un difficile bilanciamento, in Dir. Internet, 2021, n. 1, p. 54 ss.
D’Agostino L., Offerte di criptoattività e abusivismo finanziario. I margini di rilevanza penale dell’esercizio non autorizzato di servizi di investimento, in Dir. Internet, 2021, n.1, p. 147 ss.
Delaiti F., Cripto-valute e abusivismo finanziario: cripto-analogia o interpretazione estensiva?, in questa Rivista, 21 gennaio 2021
Della Torre J., L’espansione del processo a distanza negli itinerari dell’emergenza pandemica, in Proc. pen. giust., 2021, n. 1, p. 226 ss.
Foti D., La nuova disciplina del captatore informatico. Un disfunzionale equilibrio?, in Proc. pen. giust., 2021, n. 1, p. 202 ss.
Giordano M.T., Offerte di criptoattività e abusivismo finanziario. I margini di rilevanza penale dell’esercizio non autorizzato di servizi di investimento, in Dir. Internet, 2021, n.1, p. 151 ss.
Gualazzi A., Immagini indebitamente carpite e diffusione sul web: sulla rilevanza scriminante della difesa da “pericolo informatico”, in Dir. Internet, 2021, n. 1, p. 175 ss.
Lupária Donati L., Artificial Intelligence in Criminal Courts. Opportunity or threat?, in Legal Challenges in the New Digital Age, edited by A.M. Lopez Rodriguez, M.D. Green & M.L. Kubica, Koninklijke Brill, 2021, p. 160 ss.
Malacarne A., Le registrazioni di colloqui ad opera di uno degli interlocutori tra contrasti interpretativi ed evoluzione tecnologica, in Dir. Internet, 2021, n. 1, p. 161 ss.
Monzillo B., Quale regime per le comunicazioni tra persone all’estero intercettate dal captatore informatico?, in Dir. Internet, 2021, n. 1, p. 139 ss.
Pittiruti M., Dalla Corte di cassazione un vademecum sulle acquisizioni probatorie informatiche e un monito contro i sequestri digitali omnibus, in questa Rivista, 14 gennaio 2021
5. Segnalazioni bibliografiche internazionali
Ghazi-Tehrani A. and Pontell H., Phishing Evolves: Analyzing the Enduring Cybercrime, in Victims & Offenders, no. 16:3, 2021, pp. 316-342.
Harfield C. and Schofield J., (Im)material Culture: Towards an Archaeology of Cybercrime, in World Archaeology, 2021
Lee C.S., Online Fraud Victimization in China: A Case Study of Baidu Tieba, in Victims & Offenders, no. 16:3, 2021, pp. 343-362.
Lee H. and Choi K.S., Interrelationship between Bitcoin, Ransomware, and Terrorist Activities: Criminal Opportunity Assessment via Cyber-Routine Activities Theoretical Framework in Victims & Offenders, no. 16:3, 2021, pp. 363-384.