Ratifica più vicina per la controversa Convenzione di Budapest , quella sui crimini informatici sottoscritta nel 2001. La Camera ha infatti approvato il disegno di legge del Governo Prodi presentato lo scorso giugno. A tutti gli effetti, dunque, l’Italia si aggiunge all’ormai lunga lista di paesi che hanno adottato nel proprio ordinamento le nuove disposizioni, sempre che al Senato, dove ora passa il dispositivo , non si abbiano sorprese dell’ultim’ora.
La Convenzione è molto specifica in tema di frode informatica, accesso abusivo a sistema informatico, pedopornografia, illecite intercettazioni di dati telematici e via dicendo, tutti fronti caldi del cybercrime perlopiù già affrontati dalle normative italiane. Ma se è vero che gran parte delle novità lo sono solo relativamente per l’Italia, visto che la legislazione italiana già affronta con un certo dettaglio la questione della criminalità informatica , rimangono aperti dei nodi sui quali si discute da lungo tempo ma che ora divengono per certi aspetti definitivi.
Tra questi, ad esempio, l’estensione della responsabilità amministrativa delle persone giuridiche ai reati informatici: in sostanza viene estesa la responsabilità delle imprese in caso di mancata predisposizione preventiva di misure idonee ad evitare che gli organi interni delle società commettano reati informatici, con sanzioni che determinano una responsabilità patrimoniale anche di rilevante entità. Un monito per le aziende che non abbiano posto in essere severissime policy e strumenti di sicurezza.
Sul fronte della data retention , come noto, il Governo Prodi ha esteso a fine 2008 i termini del Decreto Pisanu, che obbliga gli operatori alla conservazione di tutti i dati di traffico telefonico e telematico. Con la Convenzione, si specifica che nei casi di urgenza le forze dell’ordine possano ottenere “senza ritardo” tutti i dati necessari dagli operatori. Operatori che dovranno mantenere il segreto relativamente all’ordine ricevuto . Se non lo facessero, i responsabili rischierebbero pene detentive fino a 3 anni di carcere.
Il nocciolo della Convenzione, oltre all’individuazione dei “nuovi crimini”, sta nella predisposizione di misure e procedure di cooperazione e collaborazione tra le forze di polizia : l’idea è che potendo accedere più facilmente ai dati di interesse detenuti dai diversi paesi che hanno ratificato la Convenzione e potendo condividere metodologie operative su indagini specifiche, il lavoro delle forze dell’ordine possa uscirne di gran lunga agevolato.
Tra le note positive del lavoro svolto alla Camera, invece, è la modifica all’ultimo momento ottenuta in Commissione Cultura sull’articolo 4. Un articolo che recitava, prima della modifica:
1. L’articolo 615-quinquies del codice penale è sostituito dal seguente:
“Art. 615-quinquies. – (Diffusione di apparecchiature, dispositivi o programmi informatici diretti a danneggiare o interrompere un sistema informatico o telematico). – Chiunque, al fine di procurare a sé o ad altri un profitto o di arrecare ad altri un danno, si procura, produce, riproduce importa, diffonde, comunica, consegna o, comunque, mette a disposizione di altri apparecchiature, dispositivi o programmi informatici aventi per scopo o per effetto il danneggiamento di un sistema informatico o telematico, delle informazioni, dei dati o dei programmi in esso contenuti o ad esso pertinenti, ovvero l’interruzione, totale o parziale, o l’alterazione del suo funzionamento, è punito con la reclusione fino a due anni e con la multa fino a euro 10.329”.
La Commissione ha riformulato l’articolo per evitare che potessero finire nel mirino casi del tutto legittimi come quello di un responsabile di un’azienda che produce software per testare la sicurezza dei sistemi informativi dell’azienda stessa, o quello di un ricercatore che realizza un programma per il testing di una vulnerabilità.
Impostato in quel modo, cioè, l’articolo avrebbe potuto consegnare all’illegalità le stesse forze dell’ordine che utilizzino software studiati per raccogliere prove o controprove e che li abbiano quindi acquistati a questo fine, per non parlare di un utente che decida di craccare il proprio sistema dopo essersi dimenticato la password. La nuova formulazione approvata con la Convenzione, prevede che l’articolo non riguardi più il mero scopo di profitto ma esclusivamente l’altrui danno e l’ipotesi di intenzione al danneggiamento. Quindi il nuovo articolo suona così:
“Chiunque, allo scopo di danneggiare illecitamente un sistema informatico o telematico, le informazioni, i dati o i programmi in esso contenuti o ad esso pertinenti, ovvero di favorire l’interruzione, totale o parziale, o l’alterazione del suo funzionamento, si procura, produce, riproduce, importa, diffonde, comunica, consegna o, comunque, mette a disposizione di altri apparecchiature, dispositivi o programmi informatici, è punito con la reclusione fino a due anni e con la multa fino a euro 10.329”