06 Mag reati informatici
A seguito della celebre evoluzione delle tecnologie dell’informazione e della comunicazione, divengono significativi nuovi comportamenti dannosi o pericolosi noti, in specie, sotto il nome di reati informatici. Per crimine informatico si intende qualsiasi atto o fatto contrario alle norme penali, nel quale un computer è stato coinvolto come soggetto, oggetto o strumento. La loro struttura di divide in reati informatici in senso stretto ed in senso ampio. La prima dicitura di riferisce a quei reati che, alla stregua della formulazione legislativa della fattispecie incriminatrice, presentano un elemento, sostanziale o circostanziale, che richiama in maniera diretta ed univoca le TIC nella descrizione delle modalità di condotta o di altre condizioni del reato. A titolo esemplificativo, si possono introdurre gli artt. 640-ter e 640-quinquies c.p. Quelli in senso ampio, invece, rappresentano quell’insieme di reati che possono realizzarsi anche attraverso gli strumenti tecnologici. Anche qui, a titolo esemplificativo, è possibile prendere come riferimento i reati relegati nella categoria della pornografia minorile, i quali possono anche fuoriuscire dagli schemi virtuali (oppure intersecarsi con l’elemento tecnologico). Di recente creazione, vi si aggiunge anche un tertium genus: i reati cibernetici. Questi ultimi rappresentano tutte le categorie di fatti-reato che si configurano all’interno del Cyberspace. Il fenomeno dei virus informatici viene attenzionato a partire dagli anni ’80. Il pericolo dell’hacking divenne particolarmente evidente nel 1989, quando indagini dell’autorità giudiziaria nella repubblica federale della Germania identificarono alcuni hacker tedeschi che stavano utilizzando network internazionali al fine di accedere a determinate informazioni all’interno di computer americani, inglesi e di altri stati stranieri, per vendere ciò he trovavano al KGB, servizio segreto sovietico. Sempre nello stesso periodo, un semplice studente di nome Robert Morris, in America, grazie ad un Internet Worm di sua invenzione riuscì ad infettare, in pochi giorni, 6.000 computer. Al fine di maggiore chiarezza, dunque, gli strumenti utilizzati sono: – I virus – ovvero programmi in grado di esperire determinate azioni, dannose o meno, e di collegarsi ad altri elaboratori; – Worms – parassiti informatici che si inseriscono nei sistemi e si riproducono al fine di creare malfunzionamenti e carpire informazioni; – I trojans – all’apparenza un normale programma che ne nasconde un altro al suo interno atto a carpire e rubare informazioni; – Le backdoors – utitlizzato per oltrepassare le difese imposte da un sistema con la finalità di accedere ad un personal computer ed entrarne in possesso. Partendo dal primo aspetto, al fine di determinare il locus commissi delicti è necessario prendere in considerazione due articoli fondanti la materia penale. Ai sensi dell’art. 3 c.p., la legge penale obbliga tutti coloro che, cittadini o stranieri, si trovano nel territorio dello Stato. In secondo luogo, ai sensi dell’art. 6 c.p., comma 2, il reato si intende commesso nel territorio dello Stato, quando l’azione o l’omissione che lo costituisce è ivi avvenuta in tutto in parte, ovvero si è ivi verificato l’evento che è conseguenza dell’azione o dell’omissione. Il nuovo contesto informatico, in base ai precedenti articoli citati, pone delle nuove difficoltà, dal momento che ha ceduto nelle mani dei propri utenti la possibilità di delocalizzare ed archiviare i propri dati. Al riguardo, è utile uno sguardo alla Convention for the Protection of Individuals with regard to Automatic Processing of Personal Data (ETS No. 108), 01/10/1985, che si pone come primissimo strumento internazionale vincolante volto alla tutela della raccolta e del trattamento dei dati personali (a tutela del diritto alla privacy delle persone, tenendo conto del crescente flusso attraverso le frontiere di dati personali sottoposti a trattamento automatico). La seconda problematica individuata riguarda la detemporalizzazione, riguardante le singole attività (a titolo esemplificativo, basti pensare alle applicazioni di messaggistica, quali Whatsapp e Telegram, le quali permettono, tramite una specifica modalità, di poter programmare l’invio di un determinato messaggio all’orario che più si preferisce o che risulti maggiormente utile al raggiungimento di uno scopo prefissato). Al suo fianco, si pone la deterritorializzazione dell’utente, essendo per quest’ultimo richiesta una ‘‘presenza esclusivamente virtuale’’ per lo svolgimento di qualsivoglia attività, la quale può essere garantita anche da più strumenti tecnologici contemporaneamente. Le soluzioni che si sono succedute sono relegate all’ambito Europeo. Possiamo citare: – La Convenzione del Consiglio d’Europa sulla criminalità informatica, 23.11.2001, ratificata con L. 18.03.2008, n. 48 (art. 22); – La Decisione quadro n. 2005/222/GAI del Consiglio relativa agli attacchi contro i sistemi di informazione, adottata il 24.2.2005 (art. 10); – La Proposta di Direttiva del Parlamento europeo e del Consiglio relativa agli attacchi contro i sistemi di informazione, 30.9.2010, che abroga la Decisione quadro (art. 13); – La Direttiva 2011/92/UE del Parlamento e del Consiglio, 13.12.2011, relativa alla lotta contro l’abuso e lo sfruttamento sessuale dei minori e la pornografia minorile (art.17). Ponendo a confronto le disposizioni ora riportate, si può notare come la Convenzione adotti il consueto criterio della territorialità e quello della personalità attiva (si individua la legge applicabile in base alla nazionalità del soggetto attivo del reato); la Direttiva relativa alla lotta contro l’abuso e lo sfruttamento dei minori, infine, oltre ai criteri precedentemente elencati, fa riferimento anche al principio della personalità passiva (o anche cd. principio di difesa, la legge italiana troverebbe applicazione ove siano compromessi gli interessi dello Stato italiano).
Era l’ottobre del 2021 quando Mark Zuckerberg annunciava il cambio di nome della sua società da Facebook a Meta e la volontà di concentrare le forze sulla creazione del Metaverso, una realtà virtuale capace di riprodurre nel modo più fedele possibile le attività della vita reale. Due mesi dopo, il 10 dicembre 2021, la società californiana ha ufficialmente rilasciato Horizon Worlds, una piattaforma multigiocatore che al momento è disponibile soltanto per i maggiorenni di Stati Uniti e Canada dotati degli Oculus Quest, i visori per la virtual reality di Meta. Si tratta, in altri termini, del primo tentativo concreto di creare un vero e proprio Metaverso. In particolare, per accedere alla piattaforma, oltre alla strumentazione tecnologica ad essa dedicata, è necessario avere un account Facebook. Dopodiché, una volta scelto l’avatar, si può iniziare a interagire con gli altri utenti usando la propria voce ed esplorare un “mondo” di stampo futuristico. Senonché, come forse era prevedibile, la possibilità di relazionarsi con gli altri ha dato vita alle prime controindicazioni, contro le quali non sono servite le raccomandazioni di Meta contro bullismo e abusi. Fin dalle prime esperienze di utilizzo della piattaforma, infatti, molte donne hanno raccontato di aver subito aggressioni verbali da parte di altri avatar con voci maschili, pedinamenti e continui apprezzamenti non richiesti. Per questo, è arrivata anche la prima denuncia per molestie sessuali sul Metaverso e, presumibilmente, non sarà l’ultima. Una ricercatrice che stava testando la piattaforma Horizon Worlds in qualità di addetta ai lavori ha infatti raccontato di essere stata subito avvicinata e accerchiata da diversi avatar che le hanno indirizzato epiteti e inviti a sfondo sessuale, e che poi l’hanno seguita a lungo nel mondo virtuale continuando ad apostrofarla in vari modi. Il tutto alla “presenza” di altri utenti che scattavano fotografie, giravano filmati e incoraggiavano i molestatori a continuare. La vicenda ha inevitabilmente acceso il dibattito non solo sul grado di sicurezza del Metaverso, ma anche sui profili giuridici dei reati commessi nella realtà virtuale e delle misure di tutela necessarie per “governare” un fenomeno di questa portata. Sotto questo punto di vista, anche il nostro Paese dovrà cominciare a pensarci. Visti i problemi pressoché immediati delle prime applicazioni del Metaverso negli Stati Uniti e in Canada, è forse il caso di iniziare a pensare ai risvolti giuridici di tali condotte nell’ordinamento italiano che, presumibilmente, non tarderà a trovarsi di fronte al fenomeno. Partendo dalla violenza sessuale, quest’ultima è sanzionata con la reclusione da 6 a 12 anni dall’art. 609-bis c.p., e consiste nella condotta di colui che con violenza, minaccia o mediante abuso di autorità, costringe taluno a compiere o subire atti sessuali. Inoltre, il comma 2 della stessa disposizione commina la medesima sanzione all’ipotesi di commissione del reato abusando dell’inferiorità psichica o fisica della vittima, o traendo quest’ultima in inganno mediante sostituzione di persona. Ora, ciò premesso, il nodo cruciale ai fini della punibilità della condotta online risiede nel riferimento della norma al fatto di “compiere o subire atti sessuali”, il quale potrebbe far pensare alla necessità di un contatto fisico tra l’autore e la vittima. Peraltro, né l’art. 609-bis sulla violenza sessuale, né il successivo art. 609-ter sulle circostanze aggravanti della stessa, fanno esplicito riferimento all’ipotesi di consumazione del reato mediante strumenti elettronici. In realtà, a sopperire a queste carenze letterali ci ha pensato la Corte di Cassazione. Già nel 2013, con la sentenza n. 19033 pronunciata dalla Terza Sezione Penale, la Corte aveva ritenuto commesso il tentativo di violenza sessuale da parte di colui il quale, tramite minacce, voleva costringere le sue vittime a ricevere fotografie a contenuto esplicito che lo ritraevano, e ad inviargliene altre in cambio. Tale orientamento è stato poi ribadito in pronunce successive, nelle quali gli Ermellini hanno confermato le condanne avvenute in sede di appello nei confronti di soggetti che avevano costretto le vittime a ricevere od inviare materiale pornografico, nonché a subire messaggi allusivi e sessualmente espliciti (Cass. Pen., Sez. III, sent. n. 17509/2018; Cass. Pen., Sez. III, sentenza n. 25266/2020). Si può quindi affermare che, secondo l’orientamento giurisprudenziale ormai consolidato, nella violenza sessuale commessa con strumenti telematici di comunicazione a distanza, la mancanza di contatto fisico tra l’agente e la vittima non è idonea né ad escludere la commissione del reato ex art. 609-bis c.p., né a garantire il riconoscimento della circostanza attenuante del fatto di minore gravità. Quanto al caso delle molestie, le conclusioni possono essere analoghe, seppure si tratti di una fattispecie molto diversa rispetto alla precedente e, soprattutto, non specificamente pensata per la tutela della sfera sessuale. L’art. 660 c.p., infatti, punisce con l’arresto fino a sei mesi o con l’ammenda fino a euro 516 chi, in un luogo pubblico o aperto al pubblico, ovvero col mezzo del telefono, per petulanza o per altro biasimevole motivo, reca a taluno molestia o disturbo. Dalla lettura della norma, quindi, si nota che il legislatore non ha previsto un reato autonomo di molestie sessuali, bensì un reato generico di molestia o disturbo alle persone, il quale può, a seconda delle circostanze concrete, andare anche a minare la sfera sessuale. In altri termini, il bene giuridico tutelato è, in questo caso, la tranquillità pubblica e del privato: nel primo caso, si fa riferimento al luogo in cui viene realizzata la condotta, in quanto deve essere compiuta in luogo pubblico o aperto al pubblico; nel secondo frangente, invece, rileva l’utilizzo del mezzo telefonico o di qualsiasi altro idoneo ad arrecare disturbo. In questo caso, è lo stesso legislatore a prevedere chiaramente la possibilità che il reato possa essere commesso anche a distanza. Tuttavia, benché sia importante la sanzionabilità dell’illecito commesso online, la nota dolente la si può riscontrare proprio sul fatto che, come anticipato, il reato ex art. 660 c.p. si configura come un disturbo generico alla quiete pubblica o privata che non concerne specificamente la sfera sessuale. Più precisamente, manca nel nostro ordinamento un alter ego dell’art. 222-33 del Codice penale francese, che sanziona il c.d. harcèlement sexuel. Quest’ultimo consistente proprio nella condotta di imporre a una persona, in maniera ripetuta, osservazioni o comportamenti aventi una connotazione sessuale o sessista che ledano la sua dignità a causa della loro natura degradante o umiliante, oppure creino nei suoi confronti una situazione intimidatoria, ostile o offensiva. In conclusione, è necessario prendere in considerazione fin da subito il fatto che, benché la piattaforma Horizon Worlds sia ad oggi limitata ai cittadini maggiorenni di Stati Uniti e Canada, anche l’Italia dovrà fare i conti con il Metaverso. Da questo punto di vista, l’ordinamento giuridico è munito di molteplici strumenti normativi e giurisprudenziali volti a tutelare le vittime di eventuali reati commessi nella realtà virtuale. Ciononostante, non si può nascondere la necessità di procedere ad ulteriori interventi. In particolare, sarebbe opportuno integrare l’art. 609-bis c.p. in materia di violenza sessuale con il riferimento espresso alle nuove tecnologie, non accontentandosi del solo lavoro interpretativo della Suprema Corte. Inoltre, sarebbe altrettanto apprezzabile un’integrazione del Codice penale con una norma ad hoc per le molestie sessuali, distinta dalla fattispecie generica dell’art. 660, sulla scia del già citato harcèlement sexuel francese. Dopodiché, una presa di posizione dell’Unione europea potrebbe essere necessaria, soprattutto alla luce del Regolamento UE 2016/679 in materia di protezione dei dati personali e del futuro Regolamento sull’intelligenza artificiale, i quali testimoniano come l’approccio finalizzato a “governare” la diffusione e l’uso delle nuove tecnologie sia solidamente continentale. Da un punto di vista tecnico, invece, a seguito dei primi fatti illeciti commessi sulla piattaforma Horizon Worlds, Meta ha annunciato la creazione della c.d. Safe Zone. Si tratta, in sostanza, di una sorta di “bolla protettiva” che gli utenti possono attivare quando si sentono minacciati, impedendo a qualsiasi altro avatar di parlare con loro o di avvicinarsi. Se a prima vista può sembrare un’iniziativa risolutiva, c’è il rischio concreto che prendano il sopravvento le controindicazioni. Infatti, il pericolo è quello di spostare le responsabilità sugli utenti vittime dei reati, distogliendo l’attenzione dagli autori e, soprattutto, dall’azienda. La possibile conseguenza, cioè, è che se una persona subisce un illecito, questo sia sminuito dall’eventuale mancata attivazione della Safe Zone da parte della vittima.