Direttiva europea sul cybercrime e criminalizzazione dei tools di sicurezza

cybercrimeQualche giorno fa la Commissione per le Libertà Civili (LIBE) del Parlamento europeo ha approvato una proposta di direttiva in materia di cybercrime. La proposta parte da una iniziativa del 2010 della Commissione europea, con l'obiettivo di realizzare una maggiore cooperazione internazionale e quindi standardizzare sia la normativa che gli strumenti di repressione dei crimini in rete.
L'importanza di tale iniziativa è ovvia, considerando l'incremento degli attacchi informatici, sia effettuati da singoli che da organizzazioni, sempre più spesso a mezzo di reti di computer (botnet) infettati da virus proprio al fine di poterli comandare da remoto per portare attacchi mirati a siti web.
Poiché al giorno d'oggi la quasi totalità dei dati, sia dei cittadini che delle aziende e dell'amministrazione statale sono conservati online, risulta evidente il pericolo di tali tipi di reati.

L'obiettivo è, quindi, di implementare strumenti e pratiche di contrasto al crimine informatico, attraverso la cooperazione internazionale e l'armonizzazione della legislazione. In particolare la direttiva parte col porre delle definizioni, in quanto proprio la diversità di definizione di cyber crime crea problemi di applicazione delle norme tra i singoli Stati membri.
La definizione di "cyber crime", crimine informatico, infatti, ricomprende molte attività regolate e definite diversamente a seconda dei singoli Stati. In genere in esso rientrano tutti quei reati che, generalmente compiuti al di fuori del web, possono essere commessi anche attraverso strumenti informatici, come le frodi. Poi ci sono le pubblicazione di contenuti illeciti sulla rete, come materiale pornografico, incitamento al razzismo e alla violenza. Infine vi sono i crimini propri della rete, gli attacchi contro i sistemi elettronici (DDOS), sia realizzati personalmente che su larga scala attraverso botnet.

I primi articoli definiscono, quindi, i tipi di attività da considerare come reato all'interno degli Stati membri (artt. 3-5): l'accesso illegale ad un sistema, l'interferenza illecita al sistema, oppure l'interferenza sui dati, intesa come danneggiamento, alterazione, soppressione, ma anche come intercettazione. La direttiva prevede che anche l'istigazione o il favoreggiamento di tali reati devono essere soggetti a sanzione penale.
La direttiva prescrive, inoltre, la criminalizzazione (art. 7) dell'uso, della produzione, dell'importazione, della distribuzione e del possesso degli strumenti, compreso un programma per computer, disegnati principalmente per commettere uno dei reati indicati. Lo stesso vale anche per una informazione, ad esempio una password, che consenta l'accesso ad un sistema.
La pena massima prevista per tali tipi di reati deve essere di due anni di carcere, ma sono previste anche delle circostanze aggravanti, come ad esempio l'uso di strumenti che consentono attacchi su larga scala (botnet), oppure in caso di notevoli danni, con aumento delle pene fino a 5 anni.
Infine si prevede anche la responsabilità per le persone giuridiche, ed in particolare la giurisdizione viene radicata in uno Stato nel caso in cui il reato sia commesso per favorire una persona giuridica con sede in quello Stato.

Fin qui la proposta di direttiva, che però fa nascere alcune perplessità.
Per cominciare, la definizione di cui all'articolo 2, cioè "without right means access or interference not authorised by the owner, other right holder of the system or of part of it, or not permitted under national legislation", permette la criminalizzazione di comportamenti in contrasto con un contratto privatistico, con ciò ponendo nelle mani dei privati, il titolare del sistema, e di chi stila i contratti il potere di definire quello che è reato e quello che non lo è. Per assurdo tale norma porterebbe a sanzionare penalmente la violazione dei termini di servizio di un social network. La questione pone un serio problema all'interno delle aziende, quando un determinato uso dei computer aziendali da parte del lavoratore non è autorizzato da parte dell'azienda; secondo la Direttiva in questione quel comportamento diventerebbe automaticamente reato penale.

Altro punto di rilievo è dato dalla criminalizzazione dei tools, gli strumenti utilizzati per portare attacchi informatici. L'articolo 7 recita così: "Tools used for committing offences.
Member States shall take the necessary measure to ensure that the production, sale, procurement for use, import, possession, distribution or otherwise making available of the following is punishable as a criminal offence when committed intentionally and without right for the purpose of committing any of the offences referred to in Articles 3 to 6:
(a) device, including a computer program, designed or adapted primarily for the purpose of committing any of the offences referred to in Articles 3 to 6;
(b) a computer password, access code, or similar data by which the whole or any part of an information system is capable of being accessed
".

La norma, generica e vaga, criminalizza la produzione, la vendita, l'importazione, il possesso e l'uso di strumenti disegnati o adattati principalmente per commettere i reati indicati nella direttiva, cioè il comportamento in questione (produzione, vendita...) è sanzionato di per sé penalmente. La norma prevede, però, che l'attività deve essere intenzionalmente diretta a commettere i reati ("committed intentionally and without right for the purpouse of..."), ma risulta piuttosto difficile provare l'intenzione al momento della produzione di un tool. Se ciò avviene per presunzioni, potrebbe accadere che la qualificazione di reato dipende da chi produce un tool, se lo fa una azienda notoriamente dedita alla produzione di tool di sicurezza, ad esempio, si potrebbe presumere che il tool non sia diretto a commettere reati, mentre se lo fa il ragazzino brufoloso si potrebbe presumere l'opposto. È evidente il rischio di una norma così redatta.
Il punto essenziale è che la quasi totalità degli strumenti in questione non hanno uno scopo specifico, ma sono, appunto, solo degli strumenti. Così come una pistola od un martello, la funzione dipende dal soggetto che lo usa. Per capirci, strumenti come WireShark (la cui prima versione col nome di Ethereal fu realizzata da un laureato in informatica e non da una grande azienda) sono usati certamente dai criminali informatici, ma allo stesso modo sono anche adoperati per testare la sicurezza dei sistemi informatici.

Il non avere il diritto all'accesso ad un sistema non equivale sempre e comunque ad avere un intento criminale, per cui sarebbe bene che la norma fosse modificata in modo da sanzionare penalmente solo condotte più specifiche con dolo specifico, non anticipando troppo la tutela criminalizzando condotte come la produzione od il possesso.
Esiste una vasta comunità di informatici che si occupa proprio di testare la sicurezza dei sistemi (come i crash test delle auto), al fine di migliorarla, e spesso l'attività di testing non è autorizzata prima. Una norma come l'articolo 7 della direttiva si presta a sanzionare penalmente anche l'attività di tutti coloro che svelano le falle dei sistemi informatici della aziende (citiamo tanto per fare qualche esempio il caso del bug di geolocalizzazione della Apple oppure la scoperta di Nik Cubrilovic), con evidenti ricadute sulla sicurezza dei sistemi, poiché le aziende non sarebbero "stimolate" a migliorarla. Insomma si eliminerebbe la sicurezza difensiva, perché potrebbe essere vietato controllare il sistema e potrebbe essere vietata la produzione di programmi utilizzati per il controllo della sicurezza del sistema.
Lo stesso sistema Tor, utilizzato per navigare anonimamente in rete, potrebbe essere considerato illecito perché favorisce (art. 8) attacchi informatici.

Entro l'estate la proposta di direttiva sarà discussa dal Parlamento europeo.