Il consiglio dell'Unione Europea ha varato una serie di linee guida per
meglio definire il concetto di crimine informatico e le relative pene.
Lo scorso maggio il Consiglio dell'Unione Europea ha varato una serie di linee guida per la definizione del concetto di
crimine informatico, adeguando le relative pene. Per il momento si tratta di indicazioni che devono essere recepite poi
nei singoli ordinamenti nazionali degli Stati membri entro marzo 2007. Niente di particolarmente sconvolgente, almeno
per l'Italia, se non l'obiettivo, cioè uniformare le singole legislazioni per un quadro normativo d'insieme
sovrannazionale, e l'introduzione delle responsabilità delle persone giuridiche.
Il reato
Per come è configurato dalle linee guida, si configura come reato l'accesso intenzionale e senza diritto a un
sistema d'informazione o una parte di esso. Entrare in un sistema o interferire con le sue funzioni, senza autorizzazione
del titolare, è reato. Rimane a discrezione dei singoli stati determinare se la presenza o meno di dispositivi di
sicurezza determini la punibilità di chi ha violato il sistema stesso. Ciò può apparire come un
controsenso, ma è bene ricordare che molte legislazioni prevedono che il fatto costituisca reato soltanto in
presenza di dispositivi di sicurezza. Non metti in sicurezza il tuo sistema? Non c'è reato se qualcuno si
intromette. L'aver lasciato questa discrezionalità ai singoli Paesi rappresenta un'occasione persa di maggiore
uniformità.
Sistemi e dati
La punibilità deve essere prevista anche per l'interferenza sia che riguardi i sistemi sia che riguardi i dati
informatici. Le linee guida, infatti, definiscono sistema d'informazione un'apparecchiatura o un gruppo di apparecchi
interconnessi o collegati, in grado di trattare automaticamente i dati informatici secondo un programma e i dati stessi
immagazzinati e gestiti nelle apparecchiature. I dati informatici, invece, sono qualsiasi rappresentazione di
informazioni di qualsiasi forma che possa essere trattata da un sistema d'informazione.
Le pene e le preoccupazioni
Non c'è molto di nuovo rispetto all'ordinamento specifico italiano, che è abbastanza avanzato su questo
fronte. Le linee guida europee prevedono anche la misura delle pene per i reati di interferenza illecita: la detenzione
deve avere durata massima compresa tra uno e tre anni. Aggravanti possono essere addotte se chi commette l'illecito
appartiene a organizzazioni criminali. Inoltre, il Consiglio europeo richiede ai singoli Stati membri di configurare
come reato penale anche i casi di istigazione, favoreggiamento e tentativo. Come dire che il livello di attenzione per i
crimini informatici è ormai alto. Aldilà degli attacker di provincia, a impaurire sono i possibili
terroristi informatici. A tutt'oggi, non si sono mai registrati significativi tentativi di attacchi terroristici online.
Attacker al soldo di terroristi, però, potrebbero mettere in ginocchio i sistemi di comunicazione di interi
Paesi.
Le persone giuridiche
Ultimo aspetto particolarmente interessante delle linee guida del Consiglio UE è legato alla responsabilità
introdotta a carico delle persone giuridiche (così come qualificati in base alle disposizioni di ogni singolo
Paese). Infatti, qualora la persona giuridica dovesse trarre un vantaggio da qualsiasi tipo d'infrazione commessa da
persona fisica di posizione importante in seno alla persona giuridica stessa, vedrà configurarsi una precisa
responsabilità della persona giuridica stessa. In altre parole, se un individuo in posizione rilevante all'interno
di una persona giuridica commette un crimine informatico e la persona giuridica ne trae un vantaggio, allora sussiste
una responsabilità per entrambi. Individuo in posizione rilevante è definito rigorosamente dal Consiglio
europeo come un soggetto che abbia potere di rappresentanza della persona giuridica, o potere decisionale per conto di
essa o esercizio di poteri di controllo in seno a essa. I singoli Paesi membri dovranno poi definire una
responsabilità della persona giuridica anche quando essa non abbia adottato sorveglianza o controllo di un
soggetto sottoposto alla sua autorità, traendo dai suoi comportamenti illeciti dei benefici. Oltre alle sanzioni
pecuniarie e penali, i Paesi potranno adottare a carico delle persone giuridiche misure di esclusione dal godimento di
aiuti pubblici, divieti temporanei o permanenti di esercizio di attività commerciali, provvedimenti giudiziari di
scioglimento o assoggettamento a sorveglianza giudiziaria.
