RiformaCodicePenale

Da Wikipedia, l'enciclopedia libera.

Questo e' il testo dell'intervento che ho tenuto il 30 marzo alla presentazione del Programma della Rosa nel Pugno. E' pubblicato sotto Creative Commons.

Nuovi reati informatici

Alcune settimane fa si e' svolto a Varenna

http://punto-informatico.it/p.asp?i=57679

un interessante convegno di giuristi, in cui tra le altre cose si e' discusso della prossima riforma della parte del Codice Penale che si occupa di crimini informatici. Speravo che qualche addetto ai lavori commentasse alcuni aspetti preoccupanti di questo documento relativi ai diritti civili in Rete, ma in sua assenza, tentero' di sostituirlo. Il documento guida di questa discussione e' stato il cosiddetto "Articolato Tanga", dal nome dell'autore principale. Riassume il lavoro della Commissione Nordio, che sta studiando il recepimento del trattato di Budapest ("Convenzione sulla cybercriminalita'" del 23/11/2001) e della recente Direttiva Europea ("Decisione Quadro relativa agli attacchi contro i sistemi di informazione" del 19/4/2002) nella parte del codice penale italiano che attualmente tratta la cybercriminalita' ed i reati informatici.

Si tratta di un documento interessante e ben scritto, che compie un evidente sforzo per comprendere e spiegare il mondo della Rete ad un uditorio che spesso lo conosce solo in maniera indiretta.

L'articolato Tanga contiene, a parere di chi scrive, alcuni punti estremamente preoccupanti (per usare un eufemismo): due in particolare consistono nella definizione di due nuove fattispecie di reato "Detenzione abusiva di strumenti informatici" e "Uso illegale di dati criptati o steganografati". Si tratta di due fattispecie di dubbia e comunque non dimostrabile efficacia di repressione della criminalita', ma che possono certamente essere usate ed abusate direttamente per limitare e reprimere il diritto alla riservatezza ed alla liberta' di espressione in Rete, e quindi anche come strumento di pressione psicologica nei confronti dei comportamenti di buona parte delle persone oneste che usano la rete come strumento di lavoro e di realizzazione personale.

Ma prima una parentesi doverosa per collocare quella che sara' una aspra critica nel panorama dell'Articolato. Proprio all'inizio di questo l'autore cita due brani della "Dichiarazione di indipendenza del Cyberspazio" di The Mentor (John P. Barlow). Questo documento

http://homes.eff.org/~barlow/Declaration-Final.html

che e' fondamentale per chiunque voglia capire la Rete, e la cui lettura e' vivamente consigliata, ha una formulazione molto chiara, e perentoria che, ad una lettura superficiale, puo' essere confusa con ingenuita' o massimalismo. Una maggiore attenzione, e magari una lettura comparata con la ben piu' famosa "Dichiarazione di Indipendenza" degli Stati Uniti permette invece di rivelare interessanti assonanze e punti di contatto in termini di liberta' e diritti civili, chiare anche a "non informatici".

Il giudizio che l'autore dell'Articolato fornisce e' chiaro e lapidario. Dopo aver citato la frase di The Mentor "Voi non conoscete la nostra cultura, la nostra etica, e nemmeno i codici non scritti che danno alla nostra societa' piu' ordine di quello che potrebbe essere ottenuto dalle vostre imposizioni" l'autore commenta "Se tanta spocchia induce al sorriso chi tratta quotidianamente con criminali efferati, nondimeno la questione e' terribilmente seria."

Considerare "spocchia" uno dei piu' famosi documenti della Rete a causa della sua forma lascia pensare che il contenuto venga giudicato irrilevante o non sia stato nemmeno preso in considerazione. Questa si e' una questione seria e preoccupante.

Ebbene, vorrei commentare che i poteri legislativo ed esecutivo devono preoccuparsi prima di tutto degli onesti cittadini detentori di diritti civili sanciti nella Costituzione della Repubblica Italiana, e svolgere quindi le loro attivita' non solo contro il criminale ed in difesa della vittima del reato, ma anche tutelando tutti gli onesti ed innocenti.

Le formulazioni delle due fattispecie di reato suddette sono invece quanto di piu' lontano possa immaginarsi da questo obbiettivo.

Cominciamo dalla "Detenzione abusiva di strumenti informatici": la fattispecie di reato, definito di tipo anticipatorio, sancisce la illiceita' del possesso di programmi destinati specificatamente alla realizzazione di crimini informatici. Il testo stesso dell'articolato anticipa una critica elementare facendo rilevare che la destinazione d'uso "tipica" di un programma per elaboratore puo' non essere questione facile da definire, essendo di tipo interpretativo. Subito dopo pero' giustifica la cosa sostenendo che esistono programmi di funzionalita' univoca (criminale) come i programmi di "Brute Force" destinati al crack delle password.

Con cio' il giurista considera dimostrata la sua tesi, mentre per qualunque informatico e' evidente che invece l'ha appena confutata. I programmi di brute forcing, da "John the Ripper" in poi, fanno parte del set di strumenti indispensabili di qualunque esperto di sicurezza od amministratore di sistemi, che li usano per individuare gli utenti che hanno scelto password deboli. Da domani quindi, se il futuro della legge italiana sul cybercrime sara' modellato con questi ragionamenti, sara' galera immediata per questi signori (io preferisco le arance, ricordatevelo se mi verrete a trovare).

Passiamo adesso all'altra fattispecie, "Uso illegale di dati criptati o steganografati", definita cosi': "Chiunque al fine di organizzare, o commettere o consentire che altri organizzino o commettano reati (...) trasmette, mediante un sistema di informazione, dati informatici criptati o steganografati" Mentre il testo sembra diretto contro i criminali e basta, in realta' colpisce anche i "fornitori" di servizi di comunicazione, che non hanno il controllo sulle informazioni che trasmettono, essendo appunto queste ultime crittografate. Poiche' questi fornitori di servizi non sono piu' solo aziende, ma proprio nel caso di servizi volti alla tutela della privacy e dei diritti civili in rete sono singoli individui, spesso mossi da motivi idealistici ed altruistici, questo equivale a vietare di fatto la realizzazione di server per la privacy, quali nodi Tor (http://tor.eff.org/index.html.it), Freenet (http://freenetproject.org/) o remailer anonimi (https://winstonsmith.mixmaster.it/pws/Come_tutelare_la_propria_privacy.html).

E questo e' il massimo effetto che il legislatore puo' ottenere, essendo nell'impossibilita' di vietare "tout court" i sistemi crittografici visto che essi permeano ormai tutta l'informatica; pensiamo ad applicazioni quali la firma digitale o l'e-commerce.

Si potrebbe continuare perche' l'articolato contiene altre questioni di base, quali la parificazione tra immagini reali ed immagini virtuali al fine della commissione di reati legati alla pornografia minorile, in cui quindi il reato apparente e quello reale vengono kafkianamente equiparati, ma la trattazione si allungherebbe molto.

Sono sicuro che la maggioranza di quanto esposto e' frutto di un lavoro onesto e professionale di chi ha lo scopo principale di consentire la repressione dei reati. Come in tutte le cose la soluzione che verra' individuata dovrebbe essere frutto del bilanciamento tra questi e quei giuristi e legislatori che hanno il diritto, ed istituzionalmente anche il dovere, di difendere i diritti civili costituzionali dei cittadini. Si tratta pero' di una classe di persone che, particolarmente dopo l'11 settembre, pare andata in vacanza in tutto il mondo.

Chi puo' allora fare da forza equilibratrice ? Chi evitera' che vengano commessi errori grossolani con risultati liberticidi e di incertezza del diritto terrificanti ? A voi la parola.

Un saluto. Marco Calamari