|
Questo e’ il testo dell’esposto presentato da ALCEI in relazione
all’abuso di DRM da parte di Sony BMG Music Entertainment
GUARDIA DI FINANZA
NUCLEO ANTIFRODE TELEMATICA
All’attenzione del Comandante
Col. Umberto Rapetto
Via fax allo 06-xxxxxxx
Esposto
Il sottoscritto avv. Andrea Monti, nella qualità di presidente
dell’Associazione per la Libertà nella Comunicazione Elettronica
Interattiva con sede in Corso Italia, 15, 20122 Milano, Tel: +39 333 364 3649
Fax: +39-02 391 95 12 e-mail alcei@alcei.it
ESPONE IN FATTO
1 - In data 1 novembre 2005 la F-Secure, società specializzata nella
fornitura di software per la sicurezza informatica e la tutela dai virus
informatici, pubblicava all’indirizzo http://www.f-secure.com/v-descs/xcp_drm.shtml
la descrizione di un programma per elaboratore rubricato come virus chiamato
“XCP DRM Software”, i cui contenuti sono stati autonomamente verificati
dall’ing. Stefano Zanero, del Dipartimento di elettronica e informazione -
Politecnico di Milano che si allega in copia.
2 - Il virus di cui all’advisor testé richiamato risulta essere stato
adoperato in alcuni CD audio prodotti e commercializzati dalla Sony BMG Music
Entertainment, quale ad esempio quello dell’artista Van Zant “Get right
with the man”.
3 - Scopo dell’inserimento del virus era dotare i CD audio di un sistema
di Digital Rights Management (traducibile come “gestione dei diritti
digitali”), ossia quei sistemi tecnologici mediante i quali i titolari di
diritti d’autore possono esercitare ed amministrare tali diritti
nell’ambiente digitale, grazie alla possibilità di rendere protetti,
identificabili e tracciabili tutti gli usi in rete di materiali adeguatamente
“marchiati”.
4 - L’installazione di questo virus avviene in maniera assolutamente
surrettizia e non trasparente, non essendo possibile per l’utente conoscere
le modificazioni che l’installazione del sistema di DRM comporta al proprio
sistema informatico, in quanto la mera accettazione della licenza EULA provoca
l’automatica installazione del programma.
5 - In particolare, l’accettazione della licenza comporta
l’installazione di due programmi in esecuzione automatica all’avvio del
computer, oltre all’installazione di cinque driver (programmi atti a mettere
in comunicazione le periferiche con il sistema operativo di un sistema
informatico) che si nascondevano all’interno del sistema, in modo tale da
renderne particolarmente arduo il riconoscimento e l’eventuale estirpazione.
6 - Per stessa ammissione dell’estensore dell’advisor, il sistema di
DRM adottato da Sony BMG Music Entertainment ricalca in toto il comportamento
adottato da determinati software denominati “rootkit”, che hanno lo scopo
di nascondersi all’interno di un sistema informatico per consentire
l’esecuzione di particolari comandi all’insaputa dell’utente, o per
favorire l’ingresso di soggetti non autorizzati mediante tecniche c.d. di
“backdoor”, che integrerebbero, quindi, la fattispecie - eventualmente
aggravata - di cui all’art. 615-ter c.p.
ESPONE IN DIRITTO
7 - Viene quindi, in primis, evidenziata una condotta riferibile alla Sony
BMG Music Entertainment rientrante nella fattispecie prevista dall’art. 392
c.p., la quale consente di punire anche colui che, al fine di esercitare un
preteso diritto, si fa arbitrariamente ragione da sé medesimo “alterando,
modificando, o cancellando in tutto o in parte un programma informatico”,
ovvero “impedendo o turbando il funzionamento di un sistema informatico o
telematico”.
La modalità della “violenza sulle cose” per la configurazione
dell’esercizio arbitrario delle proprie ragioni può, infatti, svilupparsi
in varie forme, ed il delitto può realizzarsi anche attraverso una condotta
che, pur non risolvendosi in un’alterazione fisica del programma, va ad
incidere sulla funzionalità del sistema informatico o telematico. La condotta
tenuta da chi ha commissionato le specifiche caratteristiche del software, in
particolare, viene ad essere realizzata in un momento anticipato rispetto
all’eventuale evento lesivo, ma va ritenuta comunque configurabile
l’ipotesi di dolo eventuale rappresentata dalla coscienza e volontà, con
riferimento ad una data o evento che verranno (ad es. il tentativo di
effettuare una copia del CD musicale), di alterare, modificare, cancellare o
impedire in tutto o in parte il funzionamento di un sistema informatico senza
avvisare in alcun modo l’utente del sistema stesso.
8 - E’ altresì configurabile un concorso tra le fattispecie di cui al già
richiamato art. 392 c.p. e quella contenuta nell’art. 615-quinques c.p. La
giurisprudenza di merito de jure condito, infatti, ha già più volte
riconosciuto un concorso tra i suddetti reati quando alla violenza su cose
finalizzata al raggiungimento di un preteso diritto si accompagni il
danneggiamento (cfr. Giudice Istruttore Torino, 12 dicembre 1983, BASILE, in
Giur. It., 1984, II, 352, con nota di FIGONE; la stessa decisione è riportata
in Giur. piemontese, 1984, 648, con nota di BARBUTO ed in Giur. merito, 1984,
1173, nella quale, ante l. 547/93, viene operata un’interpretazione
estensiva della nozione di “cosa mobile”, e viene analizzata già allora
l’ipotesi di un concorso tra il reato di cui all’art. 392 c.p. ed il reato
di danneggiamento di cui all’art. 635 c.p.). Egualmente inoltre, sempre
secondo la dottrina sopra richiamata, appare configurabile il concorso tra il
reato di danneggiamento informatico e quello di diffusione di programmi-virus,
o analoghi, di cui, per l’appunto, all’art. 615-quinquies c.p.
Viene senza dubbio integrata, infatti, anche la condotta del reato di cui
all’art. 615-quinquies c.p., consistente nel “diffondere, comunicare o
consegnare” i programmi nocivi previsti nella fattispecie “aventi per
scopo o per effetto il danneggiamento di un sistema informatico o telematico,
dei dati o dei programmi in esso contenuti o ad esso pertinenti, ovvero
l’interruzione, totale o parziale, o l’alterazione del suo
funzionamento”. Pur se il legislatore ha utilizzato tre termini che appaiono
parzialmente in sovrapposizione fra loro da un punto di vista etimologico, in
realtà lo scopo era evidente: abbracciare esaustivamente ogni forma di
circolazione dei programmi nocivi (cfr. G. PICA, Diritto penale
dell’informatica e delle nuove tecnologie, UTET; Torino, 1999, p. 99; R
BORRUSO – G. BUONUOMO – G. CORASANITI – G. D’AIETTI, Profili penali
dell’informatica, Giuffrè, Milano, 1994, p. 88), quand’anche, come nel
caso di specie, il programma nocivo sia originariamente collocato dal
produttore all’interno dell’opera dell’ingegno. Bisogna altresì
ribadire come la genericità dell’elemento psicologico dannoso, non
tipicizzando le intenzioni dell’agente, rende non configurabili ipotesi di
dolo specifico, integrandosi il dolo generico dal momento che “anche se
l’agente non abbia la specifica intenzione di provocare un danneggiamento,
è sufficiente la coscienza e volontà della diffusione unitamente alla
conoscenza delle caratteristiche tecniche del virus e della sua potenzialità
di danneggiamento o alterazione” (cfr. R BORRUSO – G. BUONUOMO – G.
CORASANITI – G. D’AIETTI, op. cit., p. 90).
In particolare, giova rimarcare come l’alterazione del sistema informatico
avvenga automaticamente, senza alcuna interazione da parte dell’utente e
senza alcuna possibilità per quest’ultimo di conoscere cosa sta accadendo
all’interno del suo sistema.
9 - Infine, si evidenzia un concorso con le fattispecie di cui all’art.
635-bis c.p., ipotesi con la quale il Legislatore, secondo la dottrina
dominante, ha inteso “in particolare porre un punto fermo sulla
sanzionabilità dei fatti di danneggiamento relativi al software, più che
all’hardware, ed al complesso di dati archiviati nel sistema” (cfr. G.
PICA, op. cit., p. 85), in quanto i casi di danneggiamento della struttura
fisica esteriore di un sistema informatico o telematico (e quindi, per
l’appunto, l’hardware) avrebbero potuto trovare egualmente tutela nella
previsione generale di cui all’art. 635 c.p.
Per questo motivo la dottrina ha chiarito che “il reato può commettersi
anche danneggiando esclusivamente i dati, informazioni o programmi, senza
intaccare minimamente l’hardware: è quanto fanno comunemente i c.d.
virus” (cfr. G. PICA, op. cit., p. 90). Continua la riflessione l’Autore
testè citato, fornendo ulteriori elementi che consentono di incasellare
correttamente, fugando ogni dubbio, il fatto nelle ipotesi di danneggiamento
di cui all’art. 635-bis, in quanto “tale danneggiamento si compie sempre
ed ontologicamente attraverso un’alterazione dei dati: nell’ampio concetto
di alterazione, di cui rappresentano delle varianti (in quanto risolventisi
tutte in alterazioni dei dati preesistenti), rientrano i concetti sia di
cancellazione di dati, e sia di modificazione dei dati, che può ravvisarsi,
ad esempio, nell’aggiunta di ulteriori ‘istruzioni’ per il computer che
ne rendono inutilizzabili alcune funzioni” (cfr. G. PICA, op. cit., p. 90).
10 – Il fatto che in data 3 novembre 2005 la Sony BMG Music Entertainment
abbia messo a disposizione un software per l’eliminazione del rootkit
all’indirizzo internet http://cp.sonybmg.com/xcp/english/updates.html, non
fa comunque venir meno da un lato la gravità del fatto, ma – soprattutto
– i reati ove fossero effettivamente configurabili. Gli illeciti ipotizzati,
infatti, appartengono alla categoria dei reati istantanei o – al più –
dei reati permanenti. Ne consegue che l’azione ex post di Sony BMG Music
Entertainment può incidere, al più, sulla configurabilità dell’attenuante
di cui all’art. 62 c. I n.6 c.p.
* * * * *
Tanto si porta a conoscenza dell’ufficio perché individui:
1 – chi sia il materiale autore del sistema di DRM utilizzato da Sony BMG
Music Entertainment,
2 – chi ne abbia deciso le modalità di funzionamento,
3 – chi ne abbia deciso le modalità di diffusione,
e perché verifichi:
4 – se il software in questione sia stato installato anche in prodotti
destinati alla vendita sul mercato italiano,
5 – se altre aziende dell’intrattenimento o del settore informatico
abbiano utilizzato la stessa metodologia a danno degli utenti legittimi delle
opere protette,
6 – se i reati ipotizzati siano stati commessi da soggetti operanti nel
territorio italiano, o se siano loro imputabili, direttamente, per concorso o
per associazione a delinquere.
Milano, 04 novembre 2005
Andrea MONTI
ALCEI – Il presidente
|
Pagina stampabile
