Roma – La notizia Keylogging? Non è intercettazione lì per li ha lasciato sorpreso anche me, ma poi, riflettendo, da avvocato, vedendo i post nel forum…
Il codice penale – e non altre fonti, quali le chiacchiere da bar, i luoghi comuni oppure cose alla “ma io pensavo che…” (quando si parla di reati esiste solo la legge) – prevede all’art. 617 ter – Intercettazione, impedimento o interruzione illecita di comunicazioni informatiche o telematiche: “Chiunque fraudolentemente intercetta comunicazioni relative ad un sistema informatico o telematico o intercorrenti tra più sistemi, ovvero le impedisce o le interrompe, è punito con la reclusione da sei mesi a quattro anni”.
Non sono un informatico e, dunque, sotto il profilo tecnico chiedo lumi a chi ne sa certamente più di me ma, sotto il profilo giuridico, non sembra revocabile in dubbio che un keylogger non serva direttamente per intercettare comunicazioni: per quanto ne so, il nostro antipatico amichetto software si limita a registrare la pressioni dei tasti.
E’ pur vero, si dirà, che se registro la successione di tutti i tasti, compresa quella strumentale alla realizzazione di un testo compiuto poi inviato come e-mail, alla fine ho sempre appreso il contenuto di una comunicazione riservata. Sì, ma poi? Mi spiego: il software logga la successione dei tasti ma se poi quell’e-mail non la spedisco? O ancora – visto che siamo in ambito penale e l’innocenza è presunta mentre la colpevolezza deve essere provata – come si dimostra che quei tasti premuti in successione erano effettivamente una comunicazione?
A maggior ragione nulla quaestio se, in concreto, non è stata keyloggata alcuna comunicazione, ma solo un numero o un codice, un grafico o una relazione. Certo, la cosa non finisce qui. Una volta tanto, questa vituperata Italia, può dirsi – almeno nei termini in cui risulta riferita la notizia – più avanzata della superpotenza d’oltreoceano. Da quanto riportato, par infatti di capire che il giudice abbia assolto l’installatore del keylogger perché la sua condotta non era prevista come reato essendo destinata, al contrario, a produrre effetti illeciti solo sulla privacy.
Anche in questo caso confesso subito di non essere esperto in diritto americano ma la cosa si potrebbe benissimo tenere in piedi: se la norma penale non c’è, non c’è. Non è che il giudice se la può inventare! Per fortuna. Questo in America, giacché, da noi esiste più di una norma che prevede ipotesi di reato connesse alla violazione delle norme previste a tutela del trattamento dei dati personali.
Gli articoli da 161 a 166 prevedono ipotesi di sanzioni amministrative, mentre, tra gli altri, l’art. 167 del d. lgs. 196/2003 prevede:
“1. Salvo che il fatto costituisca più grave reato, chiunque, al fine di trarne per sé o per altri profitto o di recare ad altri un danno, procede al trattamento di dati personali in violazione di quanto disposto dagli articoli 18, 19, 23, 123, 126 e 130, ovvero in applicazione dell’articolo 129, è punito, se dal fatto deriva nocumento, con la reclusione da sei a diciotto mesi o, se il fatto consiste nella comunicazione o diffusione, con la reclusione da sei a ventiquattro mesi.
2. Salvo che il fatto costituisca più grave reato, chiunque, al fine di trarne per sé o per altri profitto o di recare ad altri un danno, procede al trattamento di dati personali in violazione di quanto disposto dagli articoli 17, 20, 21, 22, commi 8 e 11, 25, 26, 27 e 45, è punito, se dal fatto deriva nocumento, con la reclusione da uno a tre anni”.
E ci sono ulteriori ipotesi di reato.
Se, dunque, il nostro “amico” non ha ottenuto il consenso del keyloggato e non ha adempiuto a tutti gli oneri di legge, potrebbe rispondere di tutto o parte di ciò. Le questioni giuridiche connesse a questi aspetti non possono esser liquidate in poche righe, ma almeno si potrebbe rimeditare un po’.
Quindi, il maltrattato Garante andrebbe – IMHO – tenuto fuori da questi discorsi, giacché in casi come questi c’entra ben poco: non può né deve andarsene in giro a controllare che su tutti i pc italiani non risultino installati keylogger, né gli spettano compiti di accertamento e repressione dei reati; mentre la legge (poco correttamente definita sulla o della “privacy”) una volta tanto, risponde ad una esigenza sentita da tutti: perché quel cavolo di installatore di keylogger deve ciucciarsi i miei documenti e/o numeri (non le mie comunicazioni, che è un altra questione) senza doversi aspettare sanzioni? (Il risarcimento dei danni – ove dimostrati – comunque, non glielo toglie nessuno, nemmeno in America).
Magari a qualche giurista non piace banalizzare (come a me…), ma ciucciarsi i dati (lettere, testi, foto, codici vari, indirizzo, numero di scarpe o di collo etc…) altrui, senza permesso e senza osservare le norme di legge per la relativa gestione, significa fare un trattamento illecito, che può comportare responsabilità amministrativa e/o civile e/o penale. Ooops! In realtà una recente sentenza della Cassazione (Terza Sezione Penale n. 30134/2004) ha precisato come la legge dica che se non c’è danno, non c’è neanche reato. Ma questa è un’altra questione…
Il diritto non è mai bianco o nero.
Avv. Andrea Buti
StudioButi.it
di A.B. vedi anche:
Insegnar l’antispam agli spammer
Diritto e zombie, una storiella curiosa
Senza bollino SIAE vietato il possesso?