Pagina pubblicata tra il 1995 e il 2013
Le informazioni potrebbero non essere più valide
Documenti e testi normativi non sono aggiornati

Le regole dell'internet

USA: lo spyware protetto dalla libertà di espressione?

di Nicola Walter Palmieri* - 11.11.04

 

Dopo il titolo dello USA PATRIOT Act, lezioso "acronimo" composto dalle iniziali di "Uniting and Strengthening America by Providing Appropriate Tools Required to Intercept and Obstruct Terrorism Act" (che un commentatore ha chiamato un "almost comically Orwellian name"), gli americani si sono scatenati nell'imitare la sciocca voga, esempio recente il PIRATE Act ("Protecting Intellectual Rights Against Theft and Expropriation Act") del senatore Hatch, e ora lo SPY ACT ("Security Protect Yourself Against Cyber Trespass Act") e lo SPY BLOCK Act ("Software Principles Yielding Better Levels of Consumer Knowledge Act").

La prima legge anti-spyware approvata negli Stati Uniti è stato lo "Spyware Control Act" dello Stato dell'Utah (marzo 2004). Essa definisce come spyware qualsiasi software che controlla l'uso del computer e invia informazioni a un server remoto senza preventivo consenso del proprietario del computer, e proibisce l'istallazione di questi programmi. La WhenU, grande società di software pubblicitario la quale gestisce un "global desktop advertising network" che opera con software pubblicitario incluso in altre applicazioni per essere installato nei PC degli utenti, generalmente a loro insaputa, obiettò sostenendo che la legge violava il principio costituzionale della liberà di espressione, e quello della libertà di commercio interstatale. Un giudice federale le ha dato ragione e ha bloccato la legge (giugno 2004).

Allo stesso tempo venivano discussi i progetti federali SPY ACT, I-SPY ("Internet Spyware Prevention Act"), entrambi approvati dalla Camera dei deputati (ottobre 2004), e SPYBLOCK Act, presentato in Senato e approvato dal "Commerce Committee" in settembre 2004. Questi progetti legislativi vieterebbero l'istallazione di software senza preventiva informazione e consenso del proprietario del computer, prescriverebbero la dotazione di dispositivi per la facile eliminazione di spyware dai sistemi degli utenti, e vieterebbero sia la raccolta di informazioni personali sui proprietari, sia la esibizione di pubblicità e la modifica delle impostazioni del computer, senza preventivo consenso.

Industria e associazioni del settore (fra cui la BSA, portavoce degli interessi di Microsoft, IBM, Hewlett Packard ecc.) hanno inizialmente (giugno 2004) espresso preoccupazione per l'ambito troppo generale di questi progetti di legge, e hanno chiesto che la legge si occupasse solo delle attività "esplicitamente" illecite - quali la raccolta occulta di informazioni sugli utenti - ma che non compromettesse le legittime pratiche di marketing online e l'interazione commerciale fra industria e utenti. L'industria ha in seguito manifestato appoggio alla versione ridimensionata, presentata in ottobre 2004: note di supporto sono giunte alla Camera da Time Warner (per AOL), eBay, Microsoft, Yahoo!, Humana, WhenU, BSA.

La California si è dotata di una legge (settembre 2004) che mette al bando il malware (spyware e altro software, tipo key logger, cioè dispositivi di intercettazione dei movimenti sulla teastiera del PC). Gli Stati dello Iowa e di New York stanno pensando di fare altrettanto. Il "New York Times" ha pubblicato, in settembre 2004, il provocativo articolo "Barbarians at the Digital Gate".
"Non tolleriamo che si spii sui computer degli americani", dicono i legislatori di Washington. Secondo la prassi in uso, la cornice dell'iniziativa legislativa è, anche rispetto allo spyware, la difesa dai terroristi: "La vulnerabilità dei computer potrebbe esporre le infrastrutture critiche e i sistemi di computer del governo degli Stati Uniti a possibili ciber-attacchi terroristici, compromettendo eventualmente l'economia e altre aree di sicurezza nazionale. Data la natura di ubiquità di Internet, la mancanza di protezione dei computer domestici potrebbe diventare la porta d'ingresso a ciber-attacchi".

Tutti questi progetti di legge contengono la riserva a favore di controlli invasivi sui computer degli utenti "per motivi di sicurezza nazionale", nessuno però definisce i limiti (che sono comunque garantiti dalla Costituzione, ma vengono spesso violati) all'intrusione statale (con le "lanterne magiche", per esempio, i dispositivi c.d. "sniffer keystroke logger", che gli agenti di polizia federale - entrati in una casa privata o un ufficio in assenza degli occupanti grazie alla "sneak and peek provision" del Patriot Act - possono inserire nel computer degli indagati per registrare ogni pressione di tasto, spiare lo harddrive, e appropriarsi di file).

L'Italia, che nell'area della tecnologia informatica copia servilmente tutto quello che fa l'America, in questa occasione parte avvantaggiata. C'è l'articolo 615-ter del codice penale, il quale punisce con reclusione chiunque abusivamente si introduce in un sistema informatico o telematico protetto da misure di sicurezza, ovvero vi si mantiene contro la volontà espressa o tacita di chi ha diritto di escluderlo. L'articolo è stato introdotto con una legge del 1993, provvedimento d'avanguardia, che ha un solo difetto: non si è ancora sentito che esso sia stato applicato nei confronti di produttori di hardware e software, a quelli di supporti digitali, a chi si inserisce nei nostri computer con cookie e spyware, ai "cacciatori di profili di utenti", agli organi delle amministrazioni governative che eccedono nei loro poteri.

Certo, quando si parla di diritto penale informatico il pensiero va agli "scrittori" di virus, i contraffattori, i condivisori (file sharer). Si dimentica però troppo spesso che le norme penali (anche quelle informatiche), identificano generalmente e genericamente tutti ("chiunque") come potenziali soggetti attivi della fattispecie criminosa. I commentatori dell'articolo 615 ter nel Commnentario breve al codice penale di Crespi, Stella, Zuccalà, edito da CEDAM (2003), notano (ad abundantiam): "La formulazione del primo comma [dell'art.615 ter c.p.] - 'chiunque' - lascia evincere come, almeno rispetto alla condotta base, si configuri un reato comune, anche se la previsione è principalmente rivolta contro i c.d. hackers".

Un cardine del sistema penale italiano è l'obbligatorietà dell'azione penale. Eppure, l'azione repressiva sancita dall'art. 615 ter viene esperita solo nei confronti di alcuni malviventi, mentre tutti gli altri che violano la norma, inclusi gli amministratori dell'industria che abusivamente accede ai computer degli utenti, non vengono apparentemente percepiti dalle nostre Procure come soggetti rientranti nel novero dei trasgressori; e non vengono perseguiti e puniti.

Quale è l'interesse tutelato dall'art. 615 ter? La privacy informatica e la riservatezza dei dati memorizzati nei sistemi informatici, o da essi trasmessi - il domicilio informatico, luogo nel quale l'utente informatico agisce ed estrinseca la sua personalità. Soggetto attivo del reato è chiunque si introduce nei sistemi informatici attraverso le reti telematiche contro la volontà espressa o tacita del proprietario del sistema. La norma colpisce, genericamente, chi si introduce nei computer degli utenti senza dirlo, spia sulle loro attività, smercia i dati personali degli utenti e le informazioni di ciò che essi fanno, rallenta la funzionalità dei computer, disturba o rende addirittura inutilizzabile la regolare fruizione di software e computer. Chi commette allora il reato di accesso abusivo? I c.d. cracker (e simili), l'industria che accede ai sistemi con programmi spyware, cookie e altri dispositivi di monitoraggio (o li inserisce di nascosto nelle macchine in fase di produzione), gli enti governativi - anche quelli stranieri - quando abusivamente, violando cioè i limiti imposti da necessità e proporzionalità, interferiscono con i diritti costituzionali garantiti ai cittadini.

L'industria si inserisce con TCPA, HDCP, SDMI, CPRM, Palladium (NGSCP), spyware, cookie; interferisce, surrettiziamente e con mezzi fraudolenti con l'uso legittimo che gli utenti fanno dei propri computer; vende PIONEER NEW MEDIA TECH, drive che disabilitano il time shifting nei DVD; immette nel mercato EZ-D, Flexplay Technologies, Fade che si autodistruggono dopo tre o quattro utilizzi; regola i controlli interni ai DVD in modo da impedire l'avanzamento veloce degli avvertimenti e della pubblicità iniziali; DAT/MINIDISC si accordano per trattare ogni entrata analogica come se contenesse materiale coperto da copyright; ha creato il cartello delle "regioni" per dividersi il mercato DVD (arrivando al punto da sostenere di avere ottenuto dal legislatore protezione, sanzionata da norma penale, che vieterebbe di eliminare la ingiustificata restrizione). Sono violazioni non solo dell'art. 615 ter ma anche di numerose altre norme penali e leggi speciali.

Aziende anche di buona reputazione mettono a disposizione software parassita o spia che viene scaricato sul computer dell'utente, a sua insaputa e, una volta entrato, "naviga" nel PC, legge i dati e l'uso che l'utente fa di programmi, e dati del computer, e trasmette alla successiva connessione Internet le informazioni così raccolte a determinati siti, dove vengono memorizzati, organizzati, elaborati, conservati e archiviati per usi non permessi dal proprietario dei dati. "Si tratta di tecniche di invasione dell'altrui dominio rese ancora più subdole dal fatto che operano mediante la (inconsapevole) cooperazione della vittima".

La Corte di cassazione (2000) ha statuito al riguardo: "L'articolo 615 ter, 1, c.p. punisce non solo chi s'introduce abusivamente in un sistema informatico o telematico, ma anche chi 'vi si mantiene contro la volontà esplicita o tacita di chi ha il diritto di escluderlo'. Ne consegue che la violazione dei dispositivi di protezione del sistema informatico non assume rilevanza di per sé, bensì solo come manifestazione di una volontà contraria a quella di chi del sistema legittimamente dispone. Certo è necessario che l'accesso al sistema informatico non sia aperto a tutti. ma deve ritenersi che, ai fini della configurabilità del delitto, assuma rilevanza qualsiasi meccanismo di selezione dei soggetti abilitati all'accesso. Anche in mancanza di meccanismi di protezione informatica commette il reato la persona estranea all'organizzazione che acceda ai dati senza titolo o autorizzazione, essendo implicita, ma intuibile, la volontà dell'avente diritto di escludere gli estranei".

Oggetto materiale del reato è il sistema informatico altrui, cioè il complesso organico di elementi (hardware e software) che compongono un apparato di elaborazione dati, l'apparecchiatura (anche il singolo computer) "destinata a svolgere qualsiasi funzione utile all'uomo attraverso l'utilizzazione, anche solo parziale, di tecnologie informatiche" (Cassazione, 1999). Sistema telematico è ogni forma di telecomunicazione che si giovi dell'apporto informatico per la sua gestione; e per misura di sicurezza si intende qualsiasi dispositivo o accorgimento che possa impedire o ostacolare il non autorizzato ingresso nel sistema: protezione fisica del computer, password, codici di accesso, identificativi degli utenti, firewall di rete (e dispositivi più sofisticati quali controlli biometrici di riconoscimento - impronte digitali, voce, fondo retinico ecc.).

L'accesso incriminato è quello "abusivo", e tale è la pura violazione - con dolo generico - senza necessità di provare il perseguimento di ulteriori fini illeciti legati al sistema, quali l'acquisizione di informazioni segrete o riservate, la copiatura o alterazione di dati, il danneggiamento del programma o del sistema, la consultazione di archivi. Il legislatore ha protetto il domicilio informatico, estrinsecazione della persona come il domicilio domestico. La condotta criminosa è la "semplice introduzione o, in alternativa, il trattenimento contro la volontà espressa o tacita del titolare di esclusione, nulla più del mero superamento della barriera del sistema, a prescindere da qualsiasi ulteriore attività sul sistema" (Parodi). Distruzione, danneggiamento, interruzione del servizio sono elementi circostanziali.

Dieci anni dopo l'entrata in vigore del nostro articolo 615 ter l'America si è accorta che anche gli Stati Uniti hanno bisogno di una normativa di questo genere: la vox populi e le esagerazioni tipo Gator (ora pudicamente Claria) hanno indotto i legislatori a muoversi. Con gli interessi in gioco, e finché non ci si sarà liberati da impostazioni mentali come quella asseritamente espressa dal presidente della Turner Broadcasting Co. ("people who watch television without commercials [are] stealing from entertainment producers - with possible exceptions made for folks who need to use the bathroom") l'America si doterà quasi sicuramente di leggi annacquate e parziali. Sul fronte della privacy, ogni speranza è già persa. Scott McNealy lo ha bene espresso: "Nella Rete avete zero privacy. Piantatela con i vostri piagnistei".

I legislatori statunitensi farebbero comunque un buon servizio (minimo) agli utenti se si ispirassero ad alcuni concetti fondamentali, in particolare: (1) che gli utenti non vogliono la pubblicità aggressiva (per esempio, finestre non richieste che si sovrappongono a quelle in uso), (2) che gli utenti non vogliono cookie e spyware - neppure quelli utili, (3) che gli utenti non vogliono che software di qualsiasi genere venga da altri scaricato surrettiziamente nelle loro macchine, (4) che l'eventuale consenso all'infiltrazione si presume sempre negato a meno che non sia esplicitamente concesso - anche rispetto all'ambito di infiltrazione - e positivamente confermato dall'utente non con documento predisposto dall'infiltratore ma con compilazione sua propria (e-mail, per esempio), e (5) che le infiltrazioni governative continuino a essere soggette a controlli di legittimità da parte della magistratura nonostante leggi manifestamente incostituzionali come il Patriot Act. L'onere di provare il diritto all'infiltrazione deve sempre incombere sull'infiltratore.

Quando la WhenU sostiene di avere dalla sua il Primo Emendamento (libertà di espressione) che la autorizzerebbe a disturbare e, innanzi tutto, danneggiare il prossimo con pratiche commerciali che pretende siano "legittime", essa legge male il precetto costituzionale. Questo infatti è inteso a permettere la manifestazione pacifica di un'idea, non a danneggiare gli altri membri della società. Fra chi danneggia e chi viene danneggiato, l'inconveniente maggiore deve cadere sul danneggiante, che agisce sempre a suo rischio e pericolo. Secondo la WhenU (e del tribunale che le ha inspiegabilmente dato ragione) sarebbe vero l'opposto: chi causa danno - con spyware, per esempio - avrebbe il "diritto" di farlo, e chi viene danneggiato avrebbe l'onere di mettere in atto annoianti e costosi meccanismi di difesa. Come dire che la mala fede è la regola in una società civile e che la correttezza è l'eccezione; e che per affermare quest'ultima occorre impiegare onerosi meccanismi. Nel mondo del diritto - e anche in quello dell'equità - non è così. Gli interessi della WhenU - e di tutta l'industria dell'adware e dello spyware - non assurgono, per magia del Primo Emendamento, la licenza di disturbare, danneggiare, commettere chissà quali altri reati, per "manifestare liberamente" il proprio pensiero. Non è difficile immaginare dove potrebbe condurre un simile modo di ragionare.

In Italia siamo in una situazione più fortunata dell'America. Da noi non ci si è ancora avventurati a sostenere - mantenendo serietà scientifica - che l'articolo 21 della Costituzione permetterebbe non solo di esprimere liberamente il proprio pensiero ma anche di approfittare di questa libertà per intenzionalmente e miratamente danneggiare il prossimo. L'art. 615 ter cod. pen. comunque non si presta a questo tipo di acrobazia mentale: è semplice, lineare, chiaro, onnicomprensivo, una buona norma di diritto penale. Basta decidersi ad applicarlo come l'ordinamento comanda.
 

* Avvocato - New York, Montreal

Inizio pagina  Indice della sezione  Prima pagina © InterLex 2004 Informazioni sul copyright