|
Dopo il titolo dello USA PATRIOT Act, lezioso "acronimo"
composto dalle iniziali di "Uniting and Strengthening America by Providing
Appropriate Tools Required to Intercept and Obstruct Terrorism Act" (che
un commentatore ha chiamato un "almost comically Orwellian name"),
gli americani si sono scatenati nell'imitare la sciocca voga, esempio recente
il PIRATE Act ("Protecting Intellectual Rights Against Theft and
Expropriation Act") del senatore Hatch, e ora lo SPY ACT ("Security
Protect Yourself Against Cyber Trespass Act") e lo SPY BLOCK Act ("Software
Principles Yielding Better Levels of Consumer Knowledge Act").
La prima legge anti-spyware approvata negli Stati
Uniti è stato lo "Spyware Control Act" dello Stato dell'Utah
(marzo 2004). Essa definisce come spyware qualsiasi software che
controlla l'uso del computer e invia informazioni a un server remoto
senza preventivo consenso del proprietario del computer, e proibisce l'istallazione
di questi programmi. La WhenU, grande società di software pubblicitario
la quale gestisce un "global desktop advertising network" che opera
con software pubblicitario incluso in altre applicazioni per essere
installato nei PC degli utenti, generalmente a loro insaputa, obiettò
sostenendo che la legge violava il principio costituzionale della liberà di
espressione, e quello della libertà di commercio interstatale. Un giudice
federale le ha dato ragione e ha bloccato la legge (giugno 2004).
Allo stesso tempo venivano discussi i progetti federali SPY
ACT, I-SPY ("Internet Spyware Prevention Act"), entrambi approvati
dalla Camera dei deputati (ottobre 2004), e SPYBLOCK Act, presentato in Senato e
approvato dal "Commerce Committee" in settembre 2004. Questi progetti
legislativi vieterebbero l'istallazione di software senza preventiva
informazione e consenso del proprietario del computer, prescriverebbero la
dotazione di dispositivi per la facile eliminazione di spyware dai
sistemi degli utenti, e vieterebbero sia la raccolta di informazioni personali
sui proprietari, sia la esibizione di pubblicità e la modifica delle
impostazioni del computer, senza preventivo consenso.
Industria e associazioni del settore (fra cui la BSA,
portavoce degli interessi di Microsoft, IBM, Hewlett Packard ecc.) hanno
inizialmente (giugno 2004) espresso preoccupazione per l'ambito troppo
generale di questi progetti di legge, e hanno chiesto che la legge si occupasse
solo delle attività "esplicitamente" illecite - quali la raccolta occulta
di informazioni sugli utenti - ma che non compromettesse le legittime pratiche
di marketing online e l'interazione commerciale fra industria e utenti.
L'industria ha in seguito manifestato appoggio alla versione ridimensionata,
presentata in ottobre 2004: note di supporto sono giunte alla Camera da Time
Warner (per AOL), eBay, Microsoft, Yahoo!, Humana, WhenU, BSA.
La California si è dotata di una legge (settembre 2004) che
mette al bando il malware (spyware e altro software, tipo key
logger, cioè dispositivi di intercettazione dei movimenti sulla teastiera
del PC). Gli Stati dello Iowa e di New York stanno pensando di fare altrettanto.
Il "New York Times" ha pubblicato, in settembre 2004, il provocativo
articolo "Barbarians at the Digital Gate".
"Non tolleriamo che si spii sui computer degli americani", dicono i
legislatori di Washington. Secondo la prassi in uso, la cornice dell'iniziativa
legislativa è, anche rispetto allo spyware, la difesa dai terroristi:
"La vulnerabilità dei computer potrebbe esporre le infrastrutture critiche e
i sistemi di computer del governo degli Stati Uniti a possibili ciber-attacchi
terroristici, compromettendo eventualmente l'economia e altre aree di
sicurezza nazionale. Data la natura di ubiquità di Internet, la mancanza di
protezione dei computer domestici potrebbe diventare la porta d'ingresso a
ciber-attacchi".
Tutti questi progetti di legge contengono la riserva a favore
di controlli invasivi sui computer degli utenti "per motivi di sicurezza
nazionale", nessuno però definisce i limiti (che sono comunque garantiti
dalla Costituzione, ma vengono spesso violati) all'intrusione statale (con le
"lanterne magiche", per esempio, i dispositivi c.d. "sniffer keystroke
logger", che gli agenti di polizia federale - entrati in una casa
privata o un ufficio in assenza degli occupanti grazie alla "sneak and peek
provision" del Patriot Act - possono inserire nel computer degli
indagati per registrare ogni pressione di tasto, spiare lo harddrive, e
appropriarsi di file).
L'Italia, che nell'area della tecnologia informatica
copia servilmente tutto quello che fa l'America, in questa occasione parte
avvantaggiata. C'è l'articolo 615-ter del codice penale, il quale
punisce con reclusione chiunque abusivamente si introduce in un sistema
informatico o telematico protetto da misure di sicurezza, ovvero vi si mantiene
contro la volontà espressa o tacita di chi ha diritto di escluderlo. L'articolo
è stato introdotto con una legge del 1993, provvedimento d'avanguardia, che
ha un solo difetto: non si è ancora sentito che esso sia stato applicato nei
confronti di produttori di hardware e software, a quelli di
supporti digitali, a chi si inserisce nei nostri computer con cookie e spyware,
ai "cacciatori di profili di utenti", agli organi delle amministrazioni
governative che eccedono nei loro poteri.
Certo, quando si parla di diritto penale informatico il
pensiero va agli "scrittori" di virus, i contraffattori, i condivisori (file
sharer). Si dimentica però troppo spesso che le norme penali (anche quelle
informatiche), identificano generalmente e genericamente tutti ("chiunque")
come potenziali soggetti attivi della fattispecie criminosa. I commentatori dell'articolo
615 ter nel Commnentario breve al codice penale di Crespi, Stella,
Zuccalà, edito da CEDAM (2003), notano (ad abundantiam): "La
formulazione del primo comma [dell'art.615 ter c.p.] - 'chiunque'
- lascia evincere come, almeno rispetto alla condotta base, si configuri un
reato comune, anche se la previsione è principalmente rivolta contro i c.d. hackers".
Un cardine del sistema penale italiano è l'obbligatorietà
dell'azione penale. Eppure, l'azione repressiva sancita dall'art. 615 ter
viene esperita solo nei confronti di alcuni malviventi, mentre tutti gli altri
che violano la norma, inclusi gli amministratori dell'industria che
abusivamente accede ai computer degli utenti, non vengono apparentemente
percepiti dalle nostre Procure come soggetti rientranti nel novero dei
trasgressori; e non vengono perseguiti e puniti.
Quale è l'interesse tutelato dall'art. 615 ter?
La privacy informatica e la riservatezza dei dati memorizzati nei sistemi
informatici, o da essi trasmessi - il domicilio informatico, luogo nel quale l'utente
informatico agisce ed estrinseca la sua personalità. Soggetto attivo del reato
è chiunque si introduce nei sistemi informatici attraverso le reti telematiche
contro la volontà espressa o tacita del proprietario del sistema. La norma
colpisce, genericamente, chi si introduce nei computer degli utenti senza dirlo,
spia sulle loro attività, smercia i dati personali degli utenti e le
informazioni di ciò che essi fanno, rallenta la funzionalità dei computer,
disturba o rende addirittura inutilizzabile la regolare fruizione di software
e computer. Chi commette allora il reato di accesso abusivo? I c.d. cracker
(e simili), l'industria che accede ai sistemi con programmi spyware, cookie
e altri dispositivi di monitoraggio (o li inserisce di nascosto nelle macchine
in fase di produzione), gli enti governativi - anche quelli stranieri -
quando abusivamente, violando cioè i limiti imposti da necessità e
proporzionalità, interferiscono con i diritti costituzionali garantiti ai
cittadini.
L'industria si inserisce con TCPA, HDCP, SDMI, CPRM,
Palladium (NGSCP), spyware, cookie; interferisce, surrettiziamente
e con mezzi fraudolenti con l'uso legittimo che gli utenti fanno dei propri
computer; vende PIONEER NEW MEDIA TECH, drive che disabilitano il time
shifting nei DVD; immette nel mercato EZ-D, Flexplay Technologies, Fade che
si autodistruggono dopo tre o quattro utilizzi; regola i controlli interni ai
DVD in modo da impedire l'avanzamento veloce degli avvertimenti e della
pubblicità iniziali; DAT/MINIDISC si accordano per trattare ogni entrata
analogica come se contenesse materiale coperto da copyright; ha creato il
cartello delle "regioni" per dividersi il mercato DVD (arrivando al punto da
sostenere di avere ottenuto dal legislatore protezione, sanzionata da norma
penale, che vieterebbe di eliminare la ingiustificata restrizione). Sono
violazioni non solo dell'art. 615 ter ma anche di numerose altre norme
penali e leggi speciali.
Aziende anche di buona reputazione mettono a disposizione software
parassita o spia che viene scaricato sul computer dell'utente, a sua insaputa
e, una volta entrato, "naviga" nel PC, legge i dati e l'uso che l'utente
fa di programmi, e dati del computer, e trasmette alla successiva connessione
Internet le informazioni così raccolte a determinati siti, dove vengono
memorizzati, organizzati, elaborati, conservati e archiviati per usi non
permessi dal proprietario dei dati. "Si tratta di tecniche di invasione dell'altrui
dominio rese ancora più subdole dal fatto che operano mediante la
(inconsapevole) cooperazione della vittima".
La Corte di cassazione (2000) ha statuito al riguardo: "L'articolo
615 ter, 1, c.p. punisce non solo chi s'introduce abusivamente in un
sistema informatico o telematico, ma anche chi 'vi si mantiene contro la
volontà esplicita o tacita di chi ha il diritto di escluderlo'. Ne consegue
che la violazione dei dispositivi di protezione del sistema informatico non
assume rilevanza di per sé, bensì solo come manifestazione di una volontà
contraria a quella di chi del sistema legittimamente dispone. Certo è
necessario che l'accesso al sistema informatico non sia aperto a tutti. ma
deve ritenersi che, ai fini della configurabilità del delitto, assuma rilevanza
qualsiasi meccanismo di selezione dei soggetti abilitati all'accesso. Anche
in mancanza di meccanismi di protezione informatica commette il reato la persona
estranea all'organizzazione che acceda ai dati senza titolo o autorizzazione,
essendo implicita, ma intuibile, la volontà dell'avente diritto di escludere
gli estranei".
Oggetto materiale del reato è il sistema informatico altrui,
cioè il complesso organico di elementi (hardware e software) che
compongono un apparato di elaborazione dati, l'apparecchiatura (anche il
singolo computer) "destinata a svolgere qualsiasi funzione utile all'uomo
attraverso l'utilizzazione, anche solo parziale, di tecnologie informatiche"
(Cassazione, 1999). Sistema telematico è ogni forma di telecomunicazione che si
giovi dell'apporto informatico per la sua gestione; e per misura di sicurezza
si intende qualsiasi dispositivo o accorgimento che possa impedire o ostacolare
il non autorizzato ingresso nel sistema: protezione fisica del computer, password,
codici di accesso, identificativi degli utenti, firewall di rete (e
dispositivi più sofisticati quali controlli biometrici di riconoscimento -
impronte digitali, voce, fondo retinico ecc.).
L'accesso incriminato è quello "abusivo", e tale è la
pura violazione - con dolo generico - senza necessità di provare il
perseguimento di ulteriori fini illeciti legati al sistema, quali l'acquisizione
di informazioni segrete o riservate, la copiatura o alterazione di dati, il
danneggiamento del programma o del sistema, la consultazione di archivi. Il
legislatore ha protetto il domicilio informatico, estrinsecazione della persona
come il domicilio domestico. La condotta criminosa è la "semplice
introduzione o, in alternativa, il trattenimento contro la volontà espressa o
tacita del titolare di esclusione, nulla più del mero superamento della
barriera del sistema, a prescindere da qualsiasi ulteriore attività sul sistema"
(Parodi). Distruzione, danneggiamento, interruzione del servizio sono elementi
circostanziali.
Dieci anni dopo l'entrata in vigore del nostro articolo 615
ter l'America si è accorta che anche gli Stati Uniti hanno bisogno di
una normativa di questo genere: la vox populi e le esagerazioni tipo
Gator (ora pudicamente Claria) hanno indotto i legislatori a muoversi. Con gli
interessi in gioco, e finché non ci si sarà liberati da impostazioni mentali
come quella asseritamente espressa dal presidente della Turner Broadcasting Co.
("people who watch television without commercials [are] stealing from
entertainment producers - with possible exceptions made for folks who need to
use the bathroom") l'America si doterà quasi sicuramente di leggi
annacquate e parziali. Sul fronte della privacy, ogni speranza è già
persa. Scott McNealy lo ha bene espresso: "Nella Rete avete zero privacy.
Piantatela con i vostri piagnistei".
I legislatori statunitensi farebbero comunque un buon
servizio (minimo) agli utenti se si ispirassero ad alcuni concetti fondamentali,
in particolare: (1) che gli utenti non vogliono la pubblicità aggressiva (per
esempio, finestre non richieste che si sovrappongono a quelle in uso), (2) che
gli utenti non vogliono cookie e spyware - neppure quelli utili,
(3) che gli utenti non vogliono che software di qualsiasi genere venga da
altri scaricato surrettiziamente nelle loro macchine, (4) che l'eventuale
consenso all'infiltrazione si presume sempre negato a meno che non sia
esplicitamente concesso - anche rispetto all'ambito di infiltrazione - e
positivamente confermato dall'utente non con documento predisposto dall'infiltratore
ma con compilazione sua propria (e-mail, per esempio), e (5) che le
infiltrazioni governative continuino a essere soggette a controlli di
legittimità da parte della magistratura nonostante leggi manifestamente
incostituzionali come il Patriot Act. L'onere di provare il diritto all'infiltrazione
deve sempre incombere sull'infiltratore.
Quando la WhenU sostiene di avere dalla sua il Primo
Emendamento (libertà di espressione) che la autorizzerebbe a disturbare e,
innanzi tutto, danneggiare il prossimo con pratiche commerciali che pretende
siano "legittime", essa legge male il precetto costituzionale. Questo
infatti è inteso a permettere la manifestazione pacifica di un'idea, non a
danneggiare gli altri membri della società. Fra chi danneggia e chi viene
danneggiato, l'inconveniente maggiore deve cadere sul danneggiante, che agisce
sempre a suo rischio e pericolo. Secondo la WhenU (e del tribunale che le ha
inspiegabilmente dato ragione) sarebbe vero l'opposto: chi causa danno - con
spyware, per esempio - avrebbe il "diritto" di farlo, e chi viene
danneggiato avrebbe l'onere di mettere in atto annoianti e costosi meccanismi
di difesa. Come dire che la mala fede è la regola in una società civile e che
la correttezza è l'eccezione; e che per affermare quest'ultima occorre
impiegare onerosi meccanismi. Nel mondo del diritto - e anche in quello dell'equità
- non è così. Gli interessi della WhenU - e di tutta l'industria dell'adware
e dello spyware - non assurgono, per magia del Primo Emendamento, la
licenza di disturbare, danneggiare, commettere chissà quali altri reati, per
"manifestare liberamente" il proprio pensiero. Non è difficile immaginare
dove potrebbe condurre un simile modo di ragionare.
In Italia siamo in una situazione più fortunata dell'America. Da noi non
ci si è ancora avventurati a sostenere - mantenendo serietà scientifica -
che l'articolo 21 della Costituzione permetterebbe non solo di esprimere
liberamente il proprio pensiero ma anche di approfittare di questa libertà per
intenzionalmente e miratamente danneggiare il prossimo. L'art. 615 ter
cod. pen. comunque non si presta a questo tipo di acrobazia mentale: è
semplice, lineare, chiaro, onnicomprensivo, una buona norma di diritto penale.
Basta decidersi ad applicarlo come l'ordinamento comanda.
|
Pagina stampabile
