Il 3 marzo scorso e nei giorni seguenti si è diffusa su diversi mezzi di informazione la notizia che l'Unione europea ha adottato una normativa  che prevede misure particolarmente dure per i cracker e per chi diffonde virus su sistemi informatici . Un notiziario Rai parlava addirittura di una "direttiva", mentre altre fonti riferivano di una riunione dei Ministri europei di giustizia, svoltasi lo scorso 28 febbraio, durante la quale gli stessi avevano trovato l'accordo su un testo molto severo, il quale prevedeva addirittura il carcere fino a cinque anni (vedi, fra gli altri, Punto Informatico e, da ultimo, L'espresso del 27 marzo).

Il testo in questione, tuttavia - riportava la notizia - non poneva l'accento solo sulla gravità degli attacchi ma anche sulla loro genesi, considerando quindi più gravi gli attacchi provenienti da una organizzazione criminale o da gruppi terroristici, piuttosto che quelli riconducibili a una qualche "ragazzata". Si specificava anche che gli Stati membri avrebbero avuto a disposizione fino al 31 dicembre 2004 per dare attuazione a questa normativa.
Messa in questi termini, ci siamo chiesti che tipo di normativa potesse essere stata adottata, visto che non trovavamo riscontro di alcuna recente direttiva in materia (e comunque una direttiva non arriva da un giorno all'altro, ma richiede mesi di preparazione, se non anni, e quindi non può sfuggire all'attenzione di chi segue la normativa comunitaria).

Ci siamo messi alla ricerca della fonte di questa notizia e abbiamo scoperto che il 27-28 febbraio si è effettivamente svolta una riunione del Consiglio dei ministri di giustizia, durante la quale sono state adottate - tra altre, come si legge nell'ordine del giorno - anche decisioni inerenti agli attacchi ai sistemi informatici.
In particolare, nella riunione del Consiglio dell'UE del 27-28 febbraio, in materia di giustizia e affari interni, i ministri europei di giustizia hanno elaborato un approccio comune riguardo alla proposta di Decisione-quadro del Consiglio relativa agli attacchi ai sistemi di informazione, presentata dalla Commissione, del 19 aprile 2002 (qui un quadro dell'iter di approvazione ).
Durante la riunione, almeno da quello che risulta dal comunicato stampa ad essa relativo, il Consiglio si è limitato a ribadire gli obiettivi della Decisione-quadro, che sono soprattutto l'avvicinamento delle normative dei vari Stati membri in materia, con particolare riguardo alla possibilità che tali attacchi siano riconducibili alla criminalità organizzata di stampo terroristico e non.

Quanto al contenuto della Decisione-quadro sulle pene (l'aspetto sul quale i mezzi di informazione si sono soffermati con maggiore enfasi), l'articolo 6 si limita - al momento - a stabilire che gli Stati membri debbano prevedere pene effettive, proporzionate e dissuasive, tra cui anche la custodia in carcere per un periodo non inferiore, nel massimo, a un anno in casi particolarmente gravi (la gravità dei casi deve essere valutata con riferimento al fatto che il comportamento abbia cagionato danni o profitti economici). La posizione espressa dal Consiglio UE su questa Decisione-quadro non implica l'adozione definitiva della stessa, in quanto sono da sciogliere alcune riserve formulate dal Parlamento europeo.

A questo punto, è necessario chiarire quale è il valore della Decisione-quadro nel contesto della normativa europea. Per spiegare in breve di che si tratta, va detto che le decisioni quadro sono uno strumento di legiferazione introdotto con il Trattato di Amsterdam e riguardano la cooperazione giudiziaria e di polizia in materia penale. In particolare, la decisione-quadro è utilizzata per ravvicinare le disposizioni legislative e regolamentari degli Stati membri in queste materie, può essere proposta su iniziativa della Commissione o di uno Stato membro e deve essere adottata all'unanimità. Vincola gli Stati membri per quanto riguarda il risultato da raggiungere, salva restando la competenza degli organi nazionali in merito alla forma ed ai mezzi da impiegare a tal fine. Pertanto, anche questa decisione-quadro rientra in questa categoria.

Non siamo riusciti ad avere ulteriori dettagli su questa notizia attraverso i canali istituzionali di informazione, ma riteniamo plausibile che essa si riferisca a questa riunione del Consiglio dell'UE in materia di giustizia ed affari interni.

Per completezza, dobbiamo riferire anche di una Convenzione sul "cybercrime" fatta a Budapest da alcuni Stati membri del Consiglio d'Europa il 23 novembre 200. La notizia riguarderebbe allora la sottoscrizione, il 28 gennaio 2003, di un protocollo aggiuntivo a questa convenzione da parte di undici Paesi membri del Consiglio d'Europa (Armenia, Belgio, Estonia, Finlandia, Francia, Germania, Grecia, Lussemburgo, Malta, Paesi Bassi e Svezia). Questo protocollo aggiuntivo stabilisce l'adozione di misure più efficaci a contrastare i contenuti razzisti e xenofobi presenti nella rete (Vedi il comunicato stampa)

Con riguardo a questa notizia, tuttavia, non pensiamo possa essere questo quello a cui si riferivano con tanta enfasi i mezzi di informazione. Infatti, il Consiglio d'Europa non è una istituzione comunitaria. Esso è una organizzazione intergovernativa che si pone come scopo - tra gli altri - la tutela dei diritti umani e della democrazia, la ricerca di soluzioni a problemi che riguardano la società Europea (xenofobia, discriminazione, intolleranza, ecc.). Non si occupa di avvicinare la legislazione degli Stati che ne fanno parte, ma al limite di creare un'insieme di regole comuni in determinate materie.

Volendo concludere, possiamo dire che la notizia diffusa da questi organi di informazione e relativa all'adozione di una "normativa" in materia di cybercrime, rimane priva di un riscontro preciso e circostanziato. Non risulta, infatti, che una normativa siffatta (se pure esistente, almeno sotto forma di proposta di decisione-quadro) sia stata adottata in modo definitivo da alcuna istituzione europea a ciò preposta.