Keyloggare è reato? Forse, ma quale?

di Andrea Buti - La decisione di un giudice americano come si applicherebbe in Italia? Per una volta il nostro ordinamento sembra più avanzato di quello d'oltreoceano. Ecco perché

Roma - La notizia Keylogging? Non è intercettazione lì per li ha lasciato sorpreso anche me, ma poi, riflettendo, da avvocato, vedendo i post nel forum...
Il codice penale - e non altre fonti, quali le chiacchiere da bar, i luoghi comuni oppure cose alla "ma io pensavo che..." (quando si parla di reati esiste solo la legge) - prevede all'art. 617 ter - Intercettazione, impedimento o interruzione illecita di comunicazioni informatiche o telematiche: "Chiunque fraudolentemente intercetta comunicazioni relative ad un sistema informatico o telematico o intercorrenti tra più sistemi, ovvero le impedisce o le interrompe, è punito con la reclusione da sei mesi a quattro anni".

Non sono un informatico e, dunque, sotto il profilo tecnico chiedo lumi a chi ne sa certamente più di me ma, sotto il profilo giuridico, non sembra revocabile in dubbio che un keylogger non serva direttamente per intercettare comunicazioni: per quanto ne so, il nostro antipatico amichetto software si limita a registrare la pressioni dei tasti.

E' pur vero, si dirà, che se registro la successione di tutti i tasti, compresa quella strumentale alla realizzazione di un testo compiuto poi inviato come e-mail, alla fine ho sempre appreso il contenuto di una comunicazione riservata. Sì, ma poi? Mi spiego: il software logga la successione dei tasti ma se poi quell'e-mail non la spedisco? O ancora - visto che siamo in ambito penale e l'innocenza è presunta mentre la colpevolezza deve essere provata - come si dimostra che quei tasti premuti in successione erano effettivamente una comunicazione?
A maggior ragione nulla quaestio se, in concreto, non è stata keyloggata alcuna comunicazione, ma solo un numero o un codice, un grafico o una relazione. Certo, la cosa non finisce qui. Una volta tanto, questa vituperata Italia, può dirsi - almeno nei termini in cui risulta riferita la notizia - più avanzata della superpotenza d'oltreoceano. Da quanto riportato, par infatti di capire che il giudice abbia assolto l'installatore del keylogger perché la sua condotta non era prevista come reato essendo destinata, al contrario, a produrre effetti illeciti solo sulla privacy.

Anche in questo caso confesso subito di non essere esperto in diritto americano ma la cosa si potrebbe benissimo tenere in piedi: se la norma penale non c'è, non c'è. Non è che il giudice se la può inventare! Per fortuna. Questo in America, giacché, da noi esiste più di una norma che prevede ipotesi di reato connesse alla violazione delle norme previste a tutela del trattamento dei dati personali.

Gli articoli da 161 a 166 prevedono ipotesi di sanzioni amministrative, mentre, tra gli altri, l'art. 167 del d. lgs. 196/2003 prevede:
"1. Salvo che il fatto costituisca più grave reato, chiunque, al fine di trarne per sé o per altri profitto o di recare ad altri un danno, procede al trattamento di dati personali in violazione di quanto disposto dagli articoli 18, 19, 23, 123, 126 e 130, ovvero in applicazione dell'articolo 129, è punito, se dal fatto deriva nocumento, con la reclusione da sei a diciotto mesi o, se il fatto consiste nella comunicazione o diffusione, con la reclusione da sei a ventiquattro mesi.
2. Salvo che il fatto costituisca più grave reato, chiunque, al fine di trarne per sé o per altri profitto o di recare ad altri un danno, procede al trattamento di dati personali in violazione di quanto disposto dagli articoli 17, 20, 21, 22, commi 8 e 11, 25, 26, 27 e 45, è punito, se dal fatto deriva nocumento, con la reclusione da uno a tre anni".

E ci sono ulteriori ipotesi di reato.

Se, dunque, il nostro "amico" non ha ottenuto il consenso del keyloggato e non ha adempiuto a tutti gli oneri di legge, potrebbe rispondere di tutto o parte di ciò. Le questioni giuridiche connesse a questi aspetti non possono esser liquidate in poche righe, ma almeno si potrebbe rimeditare un po'.

Quindi, il maltrattato Garante andrebbe - IMHO - tenuto fuori da questi discorsi, giacché in casi come questi c'entra ben poco: non può né deve andarsene in giro a controllare che su tutti i pc italiani non risultino installati keylogger, né gli spettano compiti di accertamento e repressione dei reati; mentre la legge (poco correttamente definita sulla o della "privacy") una volta tanto, risponde ad una esigenza sentita da tutti: perché quel cavolo di installatore di keylogger deve ciucciarsi i miei documenti e/o numeri (non le mie comunicazioni, che è un altra questione) senza doversi aspettare sanzioni? (Il risarcimento dei danni - ove dimostrati - comunque, non glielo toglie nessuno, nemmeno in America).

Magari a qualche giurista non piace banalizzare (come a me...), ma ciucciarsi i dati (lettere, testi, foto, codici vari, indirizzo, numero di scarpe o di collo etc...) altrui, senza permesso e senza osservare le norme di legge per la relativa gestione, significa fare un trattamento illecito, che può comportare responsabilità amministrativa e/o civile e/o penale. Ooops! In realtà una recente sentenza della Cassazione (Terza Sezione Penale n. 30134/2004) ha precisato come la legge dica che se non c'è danno, non c'è neanche reato. Ma questa è un'altra questione...

Il diritto non è mai bianco o nero.

Avv. Andrea Buti
StudioButi.it


di A.B. vedi anche:
Insegnar l'antispam agli spammer
Diritto e zombie, una storiella curiosa
Senza bollino SIAE vietato il possesso?
26 Commenti alla Notizia Keyloggare è reato? Forse, ma quale?
Ordina
  • Innanzitutto l'articolo che lei cita è 617 quater e non ter. In secondo luogo, le comunicazioni tra sistemi telematici non sono riconducibili, a mio parere, esclusivamente a "corrispondenza mail", ma piuttosto al complesso di scambio di dati, per cui l'intercettazione si configura ogni qualvolta vi sia una interconnessione tra più sistemi, a prescindere dal contenuto specifico. Un discorso a parte deve essere riservato, poi, al contenuto del file di log, che potrebbe contenere codici di accesso (si potrebbe configurare reato di detenzione abusiva 615 quater, nel momento in cui i keylogger installato provveda anche a recapitare via mail il file di log all'intruso); ed all'utilizzo che si fa del contenuto dei file di log stessi. Inoltre relativamente all'art 617 bis, se è possibile discutere sulla qualificazione di "apparecchiatura" per i keyloggers software, credo che nel caso di keyloggers hardware non ci sia alcun dubbio.
    Saluti a tutti e discutete sempre!
    non+autenticato
  • Dissintire, non solo è assolutamente permesso, ma oltremodo consigliatoSorride
    Venendo a noi...Concordo che la comunicazione non possa essere ristretta nei liti di un email, mi pongo solo il problema relativo alla necessità o opportunità che vi siano dei limiti, o se, al contrario qualsiasi scambio di bit possa essere considerato comunicazione.
    La legge (ter o quater - di cui chiedo scusa -....non fa troppa differenza...) non ci dice cosa debba intendersi per comunicazione ed allora deve provvedervi l'interprete, cioè io e voi tutti: a quale concetto di comunicazione si riferisce, allora, il legislatore? E non solo quello di allora (1993 ) ma anche quello di oggi, perchè si sa che il diritto è (o dovrebbe essere) "vivo".
    E non dimentichiamo che nell'interpretare una legge, l'interprete si fa in parte condurre anche dalle suo "vissuto" non dovrbebbe ma, tra il dire ed il fare...dunque non escluderei che un giurista un po' attempato (almeno di cervello) avrebbe difficoltà a considerare comunicazione un 0101010101000111000111000 e via dicendo tra un hard disk e un chip, senza che l'utente direttamente faccia o dica alcunchè.
    Comunicazione spersonaizzata, insomma? Tempo fa leggevo del problema della imputabilità degli effetti giuridici scatutenti dagli "agenti software" (chi l'ha presa quella decisione l'uomo o la macchina?) e anche se qualcuno non è d'accordo, viene sempre il dubbio se le nostre categorie giuridiche siano idonee a regolare anche i rapporti tra i bit....
    Nel frattempo io posso solo continuare a fare l'avvocato della situazione, cioè ad instillare dubbi sulla correttezza di una tesi o di un convincimento, non sentendomi né dichiarandomi affatto latore di certezze assolute, perchè, come diceva R. March (Fisica per poeti) "Ciò che la scienza dovrebbe insegnarci è dubitare, considerare cioè che molte delle convinzioni da noi accettate come vere possono in realtà derivare dall'abitudine o dal pregiudizio, o possono semplicemente essere sbagliate."
    AB
    P.S. Del keylogger hw come apparecchiatura, c'è poco da discutere, ma i dubbi sulla "comunicazione" permangono. Che possedere illegittimamente codici pin e simili sia reato, poi nessuno lo contesta, solo che questa è una eventualità, mentre il semplice fatto di "trattare" quei dati senza consenso dell'interessato, ha una portata più generale, essendo applicabile indipendentemente dalla natura o tipologia del dato (pin del bancomat o numero di scarpe che sia) che permetterebbe sempre di rintracciare una illiceità nella condotta dell'installatore di keylogger e.... sempre che si dimostri il trattamentoSorride.
  • Quel che ci ha mostrato l'avvocato è assolutamente realista. Ovvero ci mostra come a seconda dei casi la nostra legislazione ci dia una speranza oppure ce la tolga. Dipende da chi sta lavorando per noi.

    E' anche giusto che il diritto non sia bianco o nero ... ma qualche volta sarebbe davvero bello che fosse assolutamente impossibile per chicchessia nuocerci, senza che qualcuno arrivi a difenderlo. La difesa dovrebbe - per quanto sento giusto - arrivare, appunto in difesa del debole, di chi ha subito o sta subendo il sopruso.

    Colui che si vede spiato, non deve aspettare, a mio avviso (e quindi secondo me), che qualcuno dica che ha subito effettivamente un danno. Nessuno ci deve dire se abbiamo o no subito un danno. Noi sappiamo che abbiamo subito un danno.

    Purtroppo c'è talmente tanto grigio a disposizione di chi ci offende che non vedo poi tanto strano vedere gente esasperata che passa il limiteTriste Non li approvo, ma capisco da dove viene la loro frustrazione: il grigio non è mai al loro servizio e stranamente il diritto non è nemmeno mai bianco per loro: ecco perchè la vedono nera.

    ==================================
    Modificato dall'autore il 06/12/2004 20.57.14
  • Spero di non aver dimenticato nessuno: in caso contrario, perdonatemi...

    Il 617 quinquies
    Prima di tutto bisognerebbe capire se un keylogger è da considerare una "apparecchiatura". La legge penale non può essere interpretata estensivamente e nel dubbio vale sempre il favor rei: meglio un criminale a spasso che un innocente in galera. Per la "comunicazione" vale quanto segue.

    Comunicazione
    Poi c'è il problema connesso al concetto di "comunicazione": si potrebbe anche sostenere che la comunicazione è utente/sistema o tra due sistemi: il fatto è che la legge non ci dice né come deve esser fatto questo sistema, né se sia sufficiente uno scambio di dati a qualsiasi livello.
    Di primo acchito si potrebbe pensare che la comunicazione, per esser tale, postuli una sorta di esternazione (Il dizionario dice "trasmissione di informazioni mediante messaggi da un emittente a un ricevente " ed anche "mettere in comune") del dato o dell'informazione.
    All'opposto si potrebbe sostenere che ogni scambio di dati tra una parte del sistema (il s.o. ad esempio) ed un altra (i vari applicativi, o con/verso/attraverso i vari protocolli) è una comunicazione, nel senso che due parti autonome di uno stessa macchina parlano tra di loro. D'altra parte un pc è composto di tanti pezzi che dialogano.
    Insomma, ogni processo che gira sul pc è una comunicazione? Allora, praticamente, il Task Manager di Windows che monitorizza questi processi-comunicazioni sta realizzando una intercettazione? Con il consenso dell'avente diritto, magari....
    E' possibile, non lo nego. E così sosterrebbe una ipotetica accusa. Ma io faccio l'avvocatoSorride) Sono portato ad estremizzare per vedere se il ragionamento "tiene".
    Come al solito, il senso comune, indurrebbe a pensare che colui che installa un keylogger non ha alcun diritto a farlo e non persegue un fine lecito: ma se la legge, magari perchè è datata o inadeguata, non permette di considerarla "intercettazione" resta il fatto che una norma penale deve essere sufficientemente chiara e non può essere "piegata" caso per caso, diversamente si comprometterebbe pure quel minimo di certezza del diritto....
    Oggi il keylogger e domani?

    Accesso abusivo
    E', forse, il presupposto, nel senso che probabilmente per installare il keylogger qualcuno prima si è intrufolato di nascosto, ma questo è un altro problema. Mi ero solo concentrato su un aspetto, quello coinvolto dalla notizia commentata, non su quello che fa il nostro amico keyloggatore fa, da quando si sveglia la mattinaSorride)

    Il controllo
    Se si considera la questione in via di sintesi al contrario di quanto si è detto sopra, si potrebbe essere portati a vedere anche un fine "lecito". In realtà non è così. Non entrando assolutamente nel merito della faccenda e sull'opportunità dell'installazione, ed esaminando la questione solo da tecnico (del diritto..) direi due cose. Per capire se è intercettazione vale quanto detto al capoverso che precede. In un ottica più ampia, invece, direi che la privacy (o meglio la tutela del dato personale) vale anche per il figlio: diversamente ed assai pericolosamente, con la scusa di verificare o impedire ? forse ? la commissione di reati tagliamo un pezzo di libertà. E le due cose non stanno sullo stesso piano: per impedire, forse, togliamo di certo?
    La tematica è stata affrontata in materia di videosorveglianza o di uso di email aziendale: io tendenzialmente direi che è preferibile utilizzare sistemi preventivi: meglio un filtro web o simili che non una controllo a posteriori. Se il sistema è fallace, non è un problema insormontabile: sempre meglio un criminale a spasso...
    Infine, quello che si dimentica, in questi casi, è che ? a monte ? ci vorrebbe una norma che mi impone un certo tipo di controllo: per cui se il mio comportamento di genitore non è contrario ai principi di negligenza, imperizia ed imprudenza, nessuno mi potrà accusare per fatti commessi da mio figlio. E' come lasciare un fucile carico in casa ed a portata di bimbo: è prudente e diligente come comportamento? Se mio figlio se ne va sui siti pedo (non so se a questa ipotesi si pensi...) la responsabilità è sua. Se diffama qualcuno su un forum, idem.
    E' sempre incerto ed evanescente giustificare i mezzi con il fine ed ancor più rischioso o, quantomeno, delicato, usarlo come argomento giuridico, IMHO.

    Sniffer
    Ok, questa è carina. Però è proprio così, almeno per un avvocato. E se lo sniffer lo metto nella mia azienda per controllare i problemi sulla rete, ne dò comunicazione a tutti coloro che transitano in quella rete, ed a questo fine appiccico disclaimer nei luoghi "pubblici" e pure nei cessi?
    D'altra parte un macellaio è un maniaco assassino solo perché sa maneggiare bene i coltelli e sta tutto il giorno in mezzo al sangue? Machiavelli è sempre dietro l'angolo...
    Capisco il punto di vista, ma da avvocato non posso condividerlo, da uomo potrei sospettare, nulla di più.
    Io non ho detto che non è reato, mi son chiesto "che" reato...
    AB
  • ...ma ricordo perfettamente, di qualche mese fa, la vicenda di una moglie che sospettando il tradimento del marito, si mette a monitorare tutto quello che il marito fa ;computer, mail, sms e telefonate ( non ricordo se grazie ad un amico che lavorava in Telecom o un investigatore), microfono nello studio.
    I dati raccllti sono serviti a questa signora per provare il tradimento del marito , il quale ha pensato bene di denunciare la moglie per i reati da lei commessi ( violazione della privacy, ecc)
    Il giudice ha sentenziato che , l'utilizzo di azioni di controllo espressamente lesivi della privacy, SE utilizzati al fine di dimostrare la colpevolezza del coniuge, diventano a tutti gli effetti strumenti FINALIZZATI al conseguimento della verità e quindi NON punibili come reato.

    Deriva femminista o possono NON essere reato?

    Eddie
  • - Scritto da: senzaesclusiva

    > Deriva femminista o possono NON essere
    > reato?

    Se un uomo avesse fatto la stessa cosa alla moglie, uscirebbe dal carcere tra 20 anni. A meno che non vogliamo legittimare il cosiddetto "far west", in tal caso sarebbe legittimo che il tabaccaio o il benzinaio potessero sparare ai ladri (cosa tra l'altro auspicabile).
    non+autenticato
  • - Scritto da: senzaesclusiva
    > ...ma ricordo perfettamente, di qualche mese fa,
    > la vicenda di una moglie che sospettando il
    > tradimento del marito, si mette a monitorare
    > tutto quello che il marito fa ;computer, mail,
    > sms e telefonate ( non ricordo se grazie ad un
    > amico che lavorava in Telecom o un
    > investigatore), microfono nello
    > studio.
    > I dati raccllti sono serviti a questa signora per
    > provare il tradimento del marito , il quale ha
    > pensato bene di denunciare la moglie per i reati
    > da lei commessi ( violazione della privacy, ecc)
    >
    > Il giudice ha sentenziato che , l'utilizzo di
    > azioni di controllo espressamente lesivi della
    > privacy, SE utilizzati al fine di dimostrare la
    > colpevolezza del coniuge, diventano a tutti gli
    > effetti strumenti FINALIZZATI al conseguimento
    > della verità e quindi NON punibili come
    > reato.
    >
    > Deriva femminista o possono NON essere reato?
    >
    > Eddie
    imho ci vorrebbe l'autorizzazione della questura...
    non+autenticato
  • Con questo ragionamento anche un omicidio se riportato ad una sequenza scollegata di operazioni non è un omicidio.
    Prendere un pistola , metterla in posizione , premere un grilletto ....di per se sono operazioni che non recano danno.
    Il ragionamento non mi piace affatto
CONTINUA A LEGGERE I COMMENTI
1 | 2 | 3 | Successiva
(pagina 1/3 - 14 discussioni)