Teutas - Diritto & Tecnologia

What does the term "Wardriving" mean? What are the implications from a criminal law point of view? The author examines the art. 615 ter c.p. under the light of the latest judgements of the Italian Supreme Court.

Premessa

Scrivere di diritto dell'informatica ed in particolare degli aspetti penali di alcune condotte poste in essere dai cosiddetti “hackers” (termine quanto mai inflazionato ed impropriamente utilizzato dai mass media e da quanti non hanno assolutamente dimestichezza con certe tematiche) costringe inevitabilmente il redattore ad affrontare molteplici difficoltà.

Basti pensare che l'accezione “reati informatici” può essere piuttosto ampia. In linea di massima con “reati informatici” si intendono tutte quelle condotte penalmente rilevanti che aggrediscono “beni informatici”, con questo intendendo sia il singolo personal computer che i sistemi informatici ben più complessi. Tuttavia, secondo alcuni, nella categoria reato informatico sarebbero da includere tutti quei reati nei quali il bene tutelato non è tanto l'oggetto materiale (il personal computer appunto) ma altri beni fondamentali della persona messi in pericolo dall'utilizzo dello strumento informatico. A titolo meramente esemplificativo: ingiuria e diffamazione a mezzo internet, la diffusione di materiale pornografico e pedopornografico, la truffa telematica e la diffusione telematica abusiva di opere d'ingegno.

Mentre infatti i reati informatici puri sono effettivamente pochi l'uso diffuso dell'informatica per molti versi ha reso ancora più complesse molte fattispecie penali tradizionali. Questo avviene perché il legislatore, che dovrebbe occuparsi di tenere il nostro ordinamento sempre aggiornato ed in linea con i cambiamenti socio-culturali del nostro paese, spesso e volentieri si “impigrisce” e lascia stare le cose come sono, evitando come la peste certe riforme strutturali che si renderebbero necessarie.

Si pensi che, e con questo termino questo excursus introduttivo, il reato di accesso abusivo a sistema informatico, così come molte altre fattispecie o integrazioni al codice penale, è stato introdotto dalla legge n. 547 del 1993. Certo, siamo stati insolitamente lungimiranti, però da allora è stata la giurisprudenza a dover fare la maggior parte del lavoro.

“Wardriving”. Analisi di un fenomeno.

Il Wardriving è innanzitutto “un'attività che consiste nell'intercettare reti Wi-Fi, in automobile o a piedi con un laptop , solitamente abbinato ad un ricevitore GPS per individuare l'esatta locazione della rete trovata ed eventualmente pubblicarne le coordinate geografiche su un sito web” ¹. Questa è a nostro parere la definizione più esatta che si potrebbe dare alla condotta del wardriver. Perché? Perchè, così come nel peer to peer, il fenomeno va analizzato depurato dalle sue patologie, ovvero, una volta letto “in positivo” potremo essere più precisi nel leggerlo “in negativo”.

Quindi la condotta del wardriver consiste innanzitutto nell'intercettazione delle reti wireless. Questa attività se protratta coscientemente non è proprio alla portata di tutti, o meglio, non del classico soggetto che utilizza il computer quasi esclusivamente per scrivere testi o per consultare il proprio account di posta elettronica. In realtà anche solo per comprendere cosa significhino concetti quali “Access Point”, “SSID”, “WEP” o “WPA”, fondamentali per il wardriver “di professione”, è necessaria un'alfabetizzazione informatica di base che vada oltre quella dell'utente medio, che spesso e volentieri non è cosciente di gran parte di quello che accade nei meandri dell'etere.

Si capisce quindi che l'attività deve essere cosciente, volontaria e finalizzata ad un obiettivo ben preciso. Fino a questo momento però non si pone alcuna problematica: in sé e per sé andare in giro con un portatile o con un palmare con funzioni wi-fi o con qualsiasi altro gingillo finalizzato alla rilevazione di reti wireless è del tutto innocuo.

Da un punto di vista giuridico, infatti, la condotta potrebbe assomigliare a chi cammina per strada sbirciando distrattamente dentro i giardini altrui senza però farvi ingresso. Tra i due sistemi infatti, ovvero tra la macchina che segue lo scanning e l'Access Point (il dispositivo che permette all'utente mobile di collegarsi ad una rete wireless), avviene un mero scambio di informazioni a livello di protocollo di comunicazione, ma da un punto di vista strettamente di diritto nessuna norma è stata violata.

L'art 615 ter c.p. - Problemi e questioni.

Come accennavamo poc'anzi tuttavia il wardriver può porre in essere attività penalmente rilevanti ed è quindi necessario dare una lettura in negativo del fenomeno. Dovremo cioè analizzare la sussistenza di quegli elementi minimi necessari perché possa configurarsi un illecito penale.

Ai sensi dell'art. 615 ter del codice penale, rubricato “Accesso abusivo ad un sistema informatico o telematico” si legge che “Chiunque abusivamente si introduce in un sistema informatico o telematico protetto da misure di sicurezza ovvero vi si mantiene contro la volontà espressa o tacita di chi ha il diritto di escluderlo, è punito con la reclusione fino a tre anni”.

Il reato di accesso abusivo è un reato doloso, comune e di mera condotta ovvero si perfeziona con la violazione del cosiddetto domicilio informatico senza che sia necessario che l'introduzione sia effettuata allo scopo di insediare la riservatezza dei legittimi utenti e che si verifichi una effettiva lesione della stessa (cfr. Cass. Pen. - Sez V – Sent. n. 11689/07). La qualifica di pubblici ufficiali o di incaricati di un pubblico servizio è solo la condizione per essere puniti più severamente ma la sostanza della condotta non cambia.

Al di là di queste prime considerazioni è però basilare ricordarsi che l'accesso abusivo al sistema informatico altrui deve essere il risultato di una condotta volontaria e non casuale – è richiesto cioè il cosiddetto “dolo generico” ovvero la volontà di porre in essere quella determinata condotta sanzionata dall'ordinamento. Il soggetto agisce con coscienza e volontà di produrre l'evento tipico sanzionato dalla norma.

La seconda parte dell'articolo 615 ter fa invece riferimento alla condotta di chi si mantiene nel sistema contro la volontà di chi ha il diritto di escluderlo. La formula “si mantiene contro la volontà del proprietario” si riferisce ai casi in cui l'introduzione nel sistema sia avvenuto previo assenso del proprietario ma poi si protragga più del consentito.

Premesso questo dobbiamo domandarci ora cosa venga tutelato dalla norma. Secondo alcuni il cosiddetto “domicilio informatico”, intendendo con questa espressione uno spazio ideale (ma anche fisico in cui sono contenuti i dati informatici) di pertinenza della sfera individuale, quale bene anche costituzionalmente protetto. Esiste quindi secondo questa impostazione un domicilio che coincide con la propria rete informatica o comunque con il proprio pc che è del tutto assimilabile alle quattro pareti domestiche della propria abitazione.

Altri commentatori ritengono invece che la norma tuteli la riservatezza informatica ovvero la segretezza di ogni dato o programma presente nel sistema informatico violato, segretezza che verrebbe quindi inevitabilmente messa a repentaglio dalla condotta incriminata. Ma in realtà i beni giuridici che la norma tutela sono ben più numerosi: il diritto alla riservatezza, diritti di carattere patrimoniale, come il diritto all'uso indisturbato dell'elaboratore per perseguire fini di carattere economico e produttivo, interessi pubblici rilevanti, come quelli di carattere militare, sanitario nonché quelli inerenti all'ordine pubblico ed alla sicurezza, che potrebbero essere compromessi da intrusioni o manomissioni non autorizzate.

Indipendentemente dagli orientamenti di pensiero, stando alle ultimissime pronunce giurisprudenziali e considerando che la norma viene posizionata all'interno della sezione del codice dedicata ai “Delitti contro la inviolabilità del domicilio”, è preferibile pensare che il bene essenziale tutelato dalla norma sia prevalentemente il domicilio informatico. Ma sul punto non vi è assolutamente un'uniformità di vedute².

Appurato ciò è il momento di puntare l'attenzione sulla questione più delicata che viene posta dal 615 ter: perché si configuri il reato è necessario che l'agente si introduca volontariamente in un sistema informatico “protetto da misure di sicurezza”. Tutto il reato ruota attorno a questo perno: è necessario, ripetiamo, che il sistema attaccato sia protetto da misure di sicurezza di un qualche genere, non rilevando la “robustezza” o l'efficacia delle stesse.

Francamente, al di là delle considerazioni che possono essere fatte in merito alla disattenzione di alcuni possessori di access point, che talvolta ignorano o che volontariamente decidono di non predisporre la propria rete con misure di sicurezza per evitare che altri abusivamente utilizzino la propria connessione o che altrimenti facciano “irruzione” nelle proprie macchine, la soluzione del codice ci convince poco. Il domicilio informatico va tutelato, a nostro parere, indipendentemente dal fatto che siano state approntate delle misure per escludere terzi, ma ad onor del vero le norme in esame sono state introdotte ben quattordici anni fa quando niente faceva pensare all'evoluzione delle odierne comunicazioni digitali.

Comunque, al di là di questa considerazione, il titolare degli apparati informatici, se decide di blindare il proprio sistema informatico con delle misure di sicurezza (nello specifico chiavi di cifratura WEP, WPA, WPA 2 o simili), manifesta espressamente la volontà di volere escludere terzi dall'utilizzo dei propri apparati, manifesta cioè quello che in gergo giuridico si definisce lo jus excludendi alios. Ma allora cosa avverrà se io lascio i miei apparati incustoditi, privi di qualsiasi misura di sicurezza? Significherà che acconsento tacitamente a che altri possano legittimamente connettersi alla mia rete? Risponderemo con quanto la Corte di Cassazione ha recentemente stabilito in una sentenza laddove, ritornando anche un po' timidamente sulla questione delle misure di sicurezza, afferma che, ai fini della configurabilità del 615 ter, è necessario non solo la presenza di un sistema informatico protetto da misure di sicurezza ma “che l'agente abbia neutralizzato tali misure” (Cass. Sez. V, 15 Febbraio 2007 n. 6459). Questi principi in realtà confermano quelli di una sentenza del 2004 (la n. 46509 del 27 Ottobre) la quale, in un caso di introduzione nel sistema informatico di un Comune da parte di un dipendente per fini personali ed illeciti, ha stabilito che il soggetto non fosse punibile per accesso abusivo perché il sistema del comune non era protetto da alcuna misura di sicurezza.

Più recentemente e con un diverso approccio ermeneutico la Suprema Corte è tornata ad occuparsi degli ambiti applicativi dell'art 615 ter ritenendo che “la violazione dei dispositivi di protezione del sistema informatico non assume rilevanza di per sé, perché non si tratta di un illecito caratterizzato dalla effrazione dei sistemi protettivi, bensì solo come manifestazione di una volontà contraria a quella di chi del sistema legittimamente dispone” (Cass. Pen. - Sez. V – Sent. n. 37322/08 e Cass. Pen. Sez. V – Sent. n. 9002/00). In buona sostanza gli ermellini hanno ritenuto che la presenza di misure di sicurezza sia un elemento meramente accessorio del reato in esame, sintomatico della volontà del proprietario della rete di escludere i soggetti non autorizzati.

Questo ultimo orientamento interpretativo è di una certa rilevanza applicativa. Se dovessimo infatti svuotare di significato la predisposizione di misure di sicurezza dovremmo giungere alla conclusione che comunque avvenga l'intrusione ed il mantenimento nel sistema informatico altrui in violazione dello jus excludendi alios si concretizzerebbe la fattispecie penale prevista dall'art 615 ter. Se accogliamo quindi questa interpretazione e diamo massima rilevanza al valore del domicilio informatico e del diritto alla riservatezza dovremo necessariamente ritenere la norma “troppo lunga” dal momento che sarebbe sufficiente riformularla in questo modo: “Chiunque abusivamente si introduce o si mantiene in un sistema informatico o telematico contro la volontà espressa o tacita di chi ha il diritto di escluderlo...”. In attesa di un intervento del legislatore dovremo fare comunque i conti con le misure di sicurezza previste dalla norma e con le inevitabili difformità interpretative.

Esempi concreti e conclusioni.

Richiamati molto sinteticamente i principi di diritto e ricordando al lettore che allo stato attuale la materia è priva di orientamenti giurisprudenziali dominanti, dobbiamo ora capire in concreto quali sono le condotte ipotizzabili e quali le conseguenze penali nel caso uno venga colto “con le mani nel sacco”.

In realtà e con i dovuti caveat del caso tutta la norma di accesso abusivo sembrerebbe ruotare attorno alla circostanza che il sistema informatico attaccato sia protetto o meno da misure di sicurezza. Nella stragrande maggioranza dei casi la situazione tipica vedrà un soggetto che, armato di portatile o di un dispositivo portatile adatto allo scopo, vedi per esempio un palmare con modulo wifi, e appostatosi in un luogo dove si riceve un segnale wireless non protetto (leggi senza cifratura WEP o WPA), si collegherà alla rete del malcapitato di turno sfruttandone per fini leciti o illeciti, comunque individuali, la connessione internet. Il malcapitato che venisse colto nel porre in essere una siffatta condotta sarebbe passibile di denuncia proprio per accesso abusivo a sistema informatico. In questi casi tuttavia, al di là degli aspetti risarcitori che potranno trovare luogo se adeguatamente motivati, con difficoltà potrà configurarsi a suo carico il reato di accesso abusivo a sistema informatico proprio perché l'access point risulterebbe privo di adeguati sistemi di blindatura.

A diverse conclusioni dovremo giungere nel caso in cui il sistema sia protetto da un qualsivoglia sistema di sicurezza. Come è noto infatti esistono diversi tools per la decifrazione del traffico wireless, si citano a titolo esemplificativo Netstumbler o AirCrack. Questi software sono stati scritti e concepiti per ricavare la chiave di cifratura sfruttando le debolezze del protocollo di comunicazione. Per raggiungere tale scopo è necessario che l'agente raccolga una discreta quantità di dati trasmessi dall'access point e a tal fine sono state elaborate numerose tecniche per accumulare la mole di informazioni necessarie; si comprende che tutto questo comporterà tempo e una discreta padronanza degli strumenti informatici oltre che di un background tecnico. Una volta ottenuta la chiave di cifratura l'agente potrà utilizzare tranquillamente l'access point violato. In questo caso la fattispecie penale troverà compiuta applicazione e si perfezionerà in tutti i suoi elementi: il dolo generico e la violazione delle misure di sicurezza ovvero l'abusivo accesso al sistema informatico altrui infatti, ripetiamo, sono le condizioni necessarie per la configurabilità del reato.

Concludendo questo nostro breve excursus teniamo a precisare che la materia di cui si è discorso è tutt'altro che assestata nonostante abbia una certa anzianità operativa. D'altra parte le condotte incriminate per quanto comuni raramente arrivano al vaglio della Suprema Corte e per questi motivi è difficile che si creino degli orientamenti condivisi e consolidati su taluni aspetti interpretativi.

Lorenzo Nizzi Grifi Gargiolli

---

Aggiungi questo articolo ai tuoi social bookmarks preferiti