ISSN 2704-8098
Con la collaborazione scientifica di
Rassegna bimestrale di novità in materia di diritto e processo penale e nuove tecnologie
Responsabili scientifici: Prof. Lorenzo Picotti e Prof. Luca Lupária.
* In collaborazione con l’Osservatorio Cybercrime dell’Università degli Studi di Verona.
1. Novità sovranazionali
La Commissione europea, evidenziando come la cybersicurezza sia divenuta essenziale per un’efficace trasformazione digitale dell’economia e della società, vista la sempre maggior dipendenza dell’Europa da reti e sistemi informatici, fortemente accresciuta e divenuta evidente con la pandemia Covid-19, ha evidenziato l’opportunità di creare una piattaforma unica e comune a livello europeo volta a coordinare gli sforzi dell’UE per prevenire, rilevare, scoraggiare, contrastare e attenuare le crisi e gli incidenti informatici su vasta scala (ossia «eventi con un reale effetto pregiudizievole per la sicurezza della rete e dei sistemi informativi», ex art. 4 punto 7 direttiva UE/2016/1148, aventi un impatto significativo in almeno due Stati membri). A tal fine la Commissione afferma, articolandone le fasi e tempistiche d’istituzione, la necessità di creare un’unità congiunta per il cyberspazio, che consenta di garantire una risposta coordinata agli incidenti attraverso, tra le altre, l’istituzione di gruppi di reazione rapida dell’UE per la cybersicurezza e la realizzazione coordinata di una piattaforma virtuale e fisica quale infrastruttura di supporto per la cooperazione tecnica e operativa tra i partecipanti. (B.P.)
L’articolo 3 paragrafo 1 della direttiva 2001/29/CE del 22 maggio 2001, sull’armonizzazione di taluni aspetti del diritto d’autore e dei diritti connessi nella società dell'informazione (direttiva sul diritto d’autore), deve essere interpretato nel senso che il gestore di una piattaforma di condivisione di video o di una piattaforma di hosting e di condivisione di file, sulla quale utenti possono mettere illecitamente a disposizione del pubblico contenuti protetti, non effettua una «comunicazione al pubblico» di detti contenuti, ai sensi di tale disposizione, salvo che esso contribuisca, al di là della semplice messa a disposizione della piattaforma, a dare al pubblico accesso a siffatti contenuti in violazione del diritto d’autore. Ciò si verifica, in particolare, qualora tale gestore sia concretamente al corrente della messa a disposizione illecita di un contenuto protetto sulla sua piattaforma e si astenga dal rimuoverlo o dal bloccare immediatamente l’accesso ad esso, o nel caso in cui detto gestore, anche se sa o dovrebbe sapere che, in generale, contenuti protetti sono illecitamente messi a disposizione del pubblico tramite la sua piattaforma da utenti di quest’ultima, si astenga dal mettere in atto le opportune misure tecniche che ci si può attendere da un operatore normalmente diligente nella sua situazione per contrastare in modo credibile ed efficace violazioni del diritto d’autore su tale piattaforma, o ancora nel caso in cui esso partecipi alla selezione di contenuti protetti comunicati illecitamente al pubblico, fornisca sulla propria piattaforma strumenti specificamente destinati alla condivisione illecita di siffatti contenuti o promuova scientemente condivisioni del genere, il che può essere attestato dalla circostanza che il gestore abbia adottato un modello economico che incoraggia gli utenti della sua piattaforma a procedere illecitamente alla comunicazione al pubblico di contenuti protetti sulla medesima.
Per quanto riguarda invece il regime di responsabilità delineato dall’articolo 14 paragrafo 1 della direttiva 2000/31/CE (direttiva sul commercio elettronico), rientra nel suo ambito di applicazione l’attività del gestore di una piattaforma di condivisione di video o di una piattaforma di hosting e di condivisione di file, purché detto gestore non svolga un ruolo attivo idoneo a conferirgli una conoscenza o un controllo dei contenuti caricati sulla sua piattaforma. È dunque escluso dal beneficio dell’esonero dalla responsabilità previsto da tale disposizione il gestore che sia al corrente degli atti illeciti concreti dei suoi utenti relativi a contenuti protetti che siano stati caricati sulla sua piattaforma. (B.P.)
Corte di Giustizia dell’Unione Europea, Sezione V, 17 giugno 2021, causa C-597/19
Sulla base dell'articolo 3, paragrafi 1 e 2, della direttiva 2001/29/CE del 22 maggio 2001, sull'armonizzazione di taluni aspetti del diritto d'autore e dei diritti connessi nella società dell'informazione, costituisce messa a disposizione del pubblico il caricamento, a partire dall'apparecchiatura terminale di un utente di una rete peer-to-peer verso apparecchiature terminali di altri utenti di tale rete, dei segmenti di un file multimediale contenente un'opera protetta, benché tali segmenti siano utilizzabili autonomamente soltanto a partire da una determinata percentuale di scaricamento e l'utente finale, previamente informato, abbia dato il suo consenso.
L'articolo 6, paragrafo 1, primo comma, lettera f), del Regolamento (UE) 2016/679 del 27 aprile 2016, relativo alla protezione delle persone fisiche con riguardo al trattamento dei dati personali, nonché alla libera circolazione di tali dati, in combinato disposto con l'articolo 15, paragrafo 1, della direttiva 2002/58/CE del 12 luglio 2002, relativa al trattamento dei dati personali e alla tutela della vita privata nel settore delle comunicazioni elettroniche, come modificata dalla direttiva 2009/136/CE del 25 novembre 2009, deve essere interpretato nel senso che esso non osta, in linea di principio, né alla registrazione sistematica, da parte del titolare dei diritti di proprietà intellettuale, nonché di un terzo per suo conto, degli indirizzi IP di utenti di reti peer-to-peer utilizzate per violazioni di questi diritti, né alla comunicazione loro dei nomi e degli indirizzi postali di tali utenti al fine di consentirgli di proporre un ricorso per risarcimento danni dinanzi a un giudice civile, a condizione, però, che queste iniziative abbiano fondamento normativo nazionale e siano proporzionate e non abusive.
In senso conforme: Corte di Giustizia dell’Unione Europea, Grande Sezione, 7 agosto 2018, C‑161/17; Corte di Giustizia dell’Unione Europea, Grande Sezione, 9 marzo 2021, C- 392/19.
Per approfondire: FLOR R., Tutela penale e autotutela tecnologica dei diritti d'autore nell'epoca di Internet. Un'indagine comparata in prospettiva europea ed internazionale, Padova, 2010; ID., La tutela penale dei diritti d’autore e connessi, in CADOPPI A., CANESTRARI S., MANNA A. e PAPA A. (a cura di), Cybercrime, Torino, 2019, p. 1045 ss.. (R. M. V.)
Il comitato ah hoc del Consiglio d’Europa sull’Intelligenza Artificiale (Ad hoc Committee on Artificial Intelligence, CAHAI), dopo aver pubblicato nel 2020 uno studio che esaminava le ragioni per cui risulta necessario elaborare un adeguato quadro normativo per la protezione dei diritti umani, la democrazia e il principio di legalità di fronte alle sfide poste dai sistemi di AI, ha avviato una consultazione da marzo a maggio 2021, rivolta a diversi attori pubblici e privati del settore, i cui risultati vengono riepilogati e commentati in questo report.
Le questioni analizzate riguardano la definizione di “AI system”, le opportunità e i rischi legati a tali sistemi, le potenziali lacune nelle fonti normative vigenti ritenute applicabili al settore, gli elementi e i principi che dovrebbero essere ricompresi da un quadro normativo relativo ai sistemi di AI, e, infine, le scelte e le proposte di politiche e misure legislative da assumere.
Nell’analisi dei rischi legati alla protezione dei diritti umani, della democrazia e del principio di legalità, le risposte raccolte segnalano un maggior grado di rischio in relazione alle aree della law enforcement, della giustizia, dei social networks, della sicurezza nazionale e della lotta al terrorismo. Mentre tra le tipologie di applicazioni di AI percepite e valutate quali maggiormente rischiose figurano i sistemi utilizzati dalle autorità pubbliche per lo scoring dei cittadini e il riconoscimento facciale utilizzato a supporto delle forze dell’ordine. Tra l’analisi degli strumenti normativi da utilizzare per colmare le lacune eventualmente riscontrate, si registra un ampio consenso nel ritenere i meccanismi di self-regulation meno efficienti rispetto a fonti di hard law (41, 5%), nonché generalmente insufficienti e per mitigare e prevenire i rischi di violazioni di diritti umani (53, 9%). (B.P.)
Corte europea diritti dell’uomo, 22 giugno 2021, app. n. 57292/16, Hurbain v. Belgium
L’anonimizzazione, nell’archivio digitale di un giornale, di un articolo indicante il nominativo completo del responsabile di un omicidio stradale, verificatosi 20 anni prima, condannato e già riabilitato, costituisce misura idonea a garantire il giusto bilanciamento tra il diritto al rispetto della vita privata del soggetto responsabile, il quale include altresì il diritto ad essere dimenticato, e la libertà di espressione. Pur non sussistendo in conseguenza del decorrere del tempo dal fatto di cronaca riportato un obbligo di verifica dei relativi contenuti presenti negli archivi online dei giornali, l’anonimizzazione costituisce rimedio doveroso in caso di espressa richiesta dell’interessato, al fine di evitare che la permanenza della notizia online si trasformi in un virtual criminal record che continui ininterrottamente a danneggiarne la reputazione.
Per approfondire: PAPA A., Espressione e diffusione del pensiero in Internet. Tutela dei diritti e progresso tecnologico, Torino, 2009; DI CIOMMO F., Quello che il diritto non dice. Internet e oblio, in Danno resp., 2014, n. 12, p. 1101 ss.; R. FLOR, Dalla data retention al diritto all'oblio. Dalle paure orwelliane alla recente giurisprudenza della corte di giustizia. Quali effetti per il sistema di giustizia penale e quali prospettive de jure condendo?, in Dir. inf., 2014, n. 4-5, p. 775 ss.; MAZZANTI E., Eternal Sunshine of the Spotless Crime. Informazione e oblio nell’epoca dei processi su internet, in Diritto Penale Contemporaneo - Rivista trimestrale, 2019, n. 2, p. 212 ss.; PANATTONI B., I riflessi penali del perdurare nel tempo dei contenuti illeciti nel Cyberspace, in Sistema Penale, 2020, n. 5, p. 303 ss.; GIMIGLIANO S., Quando il tempo sposta l’ago della bilancia. Spunti sul diritto all’oblio dalla giurisprudenza penale di legittimità, in Giurisprudenza penale web, 2020, n. 3. (R. M. V.)
Il ricorso presentato alla Corte EDU riguardava la censura della diffusione online di informazioni riguardanti elezioni politiche in un periodo pre-elezioni, ritenuta dai ricorrenti in violazione del proprio diritto di libera manifestazione del pensiero tutelato dall’art. 10 CEDU, mentre veniva qualificata dal governo russo quale misura legittima in quanto prevista da legge e necessaria in una società democratica al fine di garantire uno svolgimento delle elezioni politiche trasparente e privo di interferenze illecite.
In particolare, i ricorrenti (che non erano affiliati ad alcun partito politico, gruppo elettorale o candidato) affermavano che le informazioni pubblicate non potevano qualificarsi quale materiale di campagna elettorale e che dunque la loro pubblicazione non dovesse rispettare tutte le formalità previste dalla relativa normativa nazionale.
La Corte EDU, nel valutare la legittimità dell’interferenza rispetto al diritto di libera manifestazione del pensiero esercitata dalle autorità statali russe, ha evidenziato come la legge che costituiva fonte dell’interferenza stessa fosse diretta a regolare la divulgazione di informazioni relative alle elezioni realizzata solamente attraverso determinati media, quali la stampa, la radio e la televisione, mentre nulla risultava disposto in merito a compagne elettorali pre-elezioni realizzate attraverso Internet. Tale elemento non è stato considerato in ogni caso dirimente dal momento che la Corte EDU ha ritenuto applicabile al caso di specie le conclusioni raggiunte nel caso Orlovskaya Iskra, che riguardava la diffusione attraverso la stampa di informazioni relative alla campagna elettorale in periodo pre-elezioni, non ritenendo che la diversità del mezzo di comunicazione utilizzato pregiudicasse l’applicabilità delle stesse conclusioni.
Nel caso Orlovskaya Iskra la Corte concluse che il quadro normativo previsto dall’ordinamento russo riducesse eccessivamente e senza una giustificazione convincente lo spazio di espressione politica nella stampa, limitando la gamma dei partecipanti e delle prospettive. Tale quadro non ha dimostrato di raggiungere, in modo proporzionato, l'obiettivo di svolgere correttamente le elezioni. La Corte ha evidenziato come tale logica si applichi con ancora più forza nel contesto delle pubblicazioni online, che al giorno d'oggi tendono ad essere accessibili ad un maggior numero di persone e vengono considerate fonte importante di informazioni e idee.
Inoltre, la pubblicazione del contenuto sarebbe stata effettuata in un periodo precedente a quello relativo al c.d. silenzio elettorale che precede immediatamente le elezioni, risultandone dunque la limitazione non proporzionata agli interessi che si proponeva di tutelare. La Corte ha dunque accolto il ricorso riconoscendo sussistente la violazione dell’art. 10 CEDU.
In senso conforme: Corte Europea dei diritti dell’Uomo, 21 febbraio 2017, app. n. 42911/08, Orlovskaya Iskra v. Russia; Corte Europea dei diritti dell’Uomo, 25 febbraio 2020, app. n. 19273/08, Yartseva v. Russia. (B.P.)
Il Garante europeo per la protezione dei dati personali, sostenendo e accogliendo con favore la proposta di direttiva del Parlamento europeo e del Consiglio relativa a misure per un livello comune elevato di cybersicurezza nell’Unione, che abroga la direttiva (UE) 2016/1148, sottolinea alcuni punti che andranno a toccare la protezione dei dati personali nella gestione e garanzia di un livello adeguato di cybersicurezza, suggerendo alcune modifiche da apportare al testo della proposta. In particolare, il GEPD raccomanda di chiarire all’articolo 2 della proposta che la normativa dell’Unione in materia di protezione dei dati personali, in particolare il GDPR e la direttiva relativa alla vita privata e alle comunicazioni elettroniche, si applica a qualsiasi trattamento di dati personali che rientra nell’ambito di applicazione della proposta (invece che solo in contesti specifici); nonché di chiarire in un considerando che la proposta non mira ad incidere sull’applicazione delle norme vigenti dell’UE che disciplinano il trattamento dei dati personali, compresi i compiti e i poteri delle autorità di controllo indipendenti competenti a controllare il rispetto di tali atti. Inoltre, tra le altre, si evidenzia: la necessità di stabilire una definizione chiara e univoca del termine «cybersicurezza» ai fini della proposta; l’importanza dell’applicazione dei requisiti in materia di protezione dei dati fin dalla progettazione (by design) e per impostazione (by default) anche per la strategia in materia di cybersicurezza; ed infine, il ruolo fondamentale delle tecnologie di cifratura, determinanti e insostituibili per un’efficace protezione dei dati e della vita privata, la quale non dovrà dunque essere indebolita mediante soluzioni di «backdoor» o analoghe. (B.P.)
L’European Banking Authority (EBA) ha posto in pubblica consultazione, dal 6 maggio 2021 e fino al 17 giugno 2021, il progetto per l’istituzione di una banca dati centrale sull’antiriciclaggio e il contrasto al finanziamento del terrorismo.
La proposta posta in consultazione specifica sia il contenuto delle informazioni da raccogliere e il modo in cui dovranno essere comunicate, sia come saranno analizzate e potranno essere condivise a protezione e nel rispetto della riservatezza dei dati raccolti. In proposito l’EBA ha già richiesto il parere del Garante europeo della protezione dei dati (GEPD) e messo a disposizione dei partecipanti alla consultazione anche le specifiche tecniche relative al funzionamento della banca dati.
Le informazioni che dovranno essere trasmesse riguarderanno, in particolare, le carenze e criticità che le autorità competenti nazionali individueranno in relazione ai singoli istituti finanziari e le misure adottate per rettificarle.
Mediante questa banca dati si intende, così, creare uno strumento di “allarme preventivo”: gli elementi raccolti saranno, infatti, analizzati e condivisi con le autorità nazionali e dell’Unione Europea per lo svolgimento delle rispettive attività di vigilanza, nonché potranno essere trasmessi, per gli approfondimenti necessari, alle Autorità Giudiziarie nazionali e all’EPPO ( European Public Prosecutor’s Office). In questo modo l’EBA potrà svolgere una più efficace azione di guida e coordinamento delle misure di prevenzione e contrasto al riciclaggio e al finanziamento del terrorismo. (R.M.V.)
Consultazione ESMA sui rischi FinTech
La digitalizzazione sta trasformando la società, l’economia e il settore finanziario. L’applicazione di tecnologie innovative nel settore finanziario dell’Unione Europea può creare importanti benefici, riducendo le barriere geografiche e promuovendo una maggiore trasparenza, ma al contempo generando anche una serie di rischi relativi alla sicurezza informatica e alla gestione dei dati. La Commissione Europea mira ad affrontare questi rischi proponendo adeguamenti ai quadri legislativi esistenti entro la metà del 2022. L’European Securities and Markets Authority (ESMA) con la consultazione, che è stata avviata il 25 maggio 2021 e avrà termine il 1° agosto 2021, intende raccogliere le opinioni dei partecipanti al mercato al fine di supportare la Commissione nell’affrontare le future sfide regolamentari. (R.M.V.)
UNESCO, The Chilling: Global trends in online violence against women journalists, 4 maggio 2021
Nel maggio 2021, l’UNESCO ha pubblicato il discussion paper “The Chilling: Global trends in online violence against women journalists”, mettendo in evidenza il netto aumento della violenza online nei confronti delle giornaliste e sottolineando come questi attacchi siano inestricabilmente legali alla disinformazione, alla discriminazione intersezionale e alle politiche populiste. Il paper rassegna le seguenti conclusioni: gli attacchi online producono effetti sulla vita offline, sia per il modo in cui incidono sulla salute mentale delle vittime sia perché sovente gli attacchi ‘fisici’ trovano la propria radice in molestie online; la misoginia interagisce con altre forme di discriminazione; la violenza di genere online interagisce con la disinformazione; gli attacchi online diretti alle giornaliste hanno motivazioni politiche; le piattaforme digitali e le testate giornalistiche, allo stato, fanno fatica a dare una risposta efficiente a tali problematiche. Allo studio hanno contribuito 23 ricercatrici e ricercatori internazionali provenienti da 16 Paesi (C.G.).
In data 4 maggio 2021, l’ufficio del Garante Europeo per la Privacy ha reso pubblico il proprio contributo al Sesto round di consultazioni sulla bozza di Secondo Protocollo Addizionale alla Convenzione di Budapest sul Cybercrime, 4 maggio 2021. Nel contributo (definito dallo stesso Ufficio come un ‘preliminary finding’, alla luce delle tempistiche ristrette) si evidenzia l’esigenza che il Protocollo venga emendato in modo da rispettare l’acquis europeo in tema di protezione dei dati personali, pur riconoscendosi le difficoltà insite nella necessità di affrontare situazioni transnazionali con riferimento all’accesso ai dati personali (C.G.).
European Union Agency for Cybersecurity, Recommendations of the security of CAM, 5 maggio 2021
Il 5 maggio 2021 l’ENISA ha pubblicato le proprie raccomandazioni sulla sicurezza del settore CAM (Computered aid manifacturing – ossia produzione automatizzata). Il documento evidenzia come la cyber-sicurezza nel settore CAM sia parzialmente standardizzata e come il ruolo degli standard in materia sia ampiamente riconosciuto. L’obiettivo del report è identificare le principali sfide nel panorama attuale e avanzare suggerimenti concreti per i vari attori coinvolti nell’ecosistema CAM, al fine di aumentare il livello di sicurezza e resilienza dei sistemi e delle infrastrutture in Europa in ogni fase del ciclo produttivo (C.G.).
Un’app lanciata da INTERPOL – chiamata ID-Art – aiuterà ad identificare i beni culturali rubati, a ridurre il loro traffico illecito e ad aumentare le possibilità di un loro efficiente recupero. L’app, che utilizza una tecnologia di image-recognition all’avanguardia, consentirà ai fruitori – pubbliche autorità ma anche soggetti privati – di accedere al database INTERPOL in cui sono elencate tutte le opere d’arte rubate, di creare un catalogo di collezioni private di arte e di segnalare siti culturali potenzialmente a rischio. In questo modo, chiunque avrà la possibilità di controllare in tempo reale se un determinato oggetto rientra nei più di 52.000 beni culturali rubati e riportati nel database di INTERPOL. Le ricerche potranno essere effettuate sia caricando nell’app un’immagine sia inserendo manualmente i criteri di ricerca. Inoltre, utilizzando gli standard internazionali denominati ‘Object ID’, i musei e i collezionisti privati potranno utilizzare l’app per tenere sotto controllo le proprie collezioni, ed agevolare le indagini delle autorità nel caso di furti. Da ultimo, l’app potrà essere utilizzata per descrivere, anche attraverso l’upload di immagini, lo stato di siti culturali a rischio, in modo da monitorarli e consentirne un’eventuale ricostruzione in caso di distruzione. (C.G.).
Eurojust, Cybercrime Judicial Monitor – Numero 6, 27 maggio 2021.
Il 27 maggio 2021 Eurojust ha pubblicato il numero annuale del Cybercrime Judicial Monitor. Il monitor si compone di quattro sezioni. Nella prima vengono evidenziati gli sviluppi legislativi intervenuti nel corso del 2020 nell’area del cybercrime e delle prove elettroniche. La seconda sezione è dedicata all’analisi giuridica di numerose sentenze rese dalle autorità giudiziarie degli Stati Membri dell’UE e di paesi terzi, nonché dalle ‘Corti Europee’. La terza sezione si occupa degli sviluppi intervenuti nell’ultimo anno nell’Unione Europea con riferimento al tema della data retention. Proprio quest’ultimo argomento (ed in particolare, la data retention finalizzata alla prevenzione e alla repressione dei reati) rappresenta il ‘topic of interest’ approfondito nella quarta ed ultima sezione del monitor, in cui è fornito altresì un riepilogo delle principali sentenze della Corte di Giustizia sull’argomento (C.G.).
In data 28 maggio 2021, il Cybercrime Convention Committee, riunitosi in seduta plenaria, ha approvato la bozza del Secondo Protocollo Addizionale alla Convenzione sul Cybercrime sulla cooperazione rafforzata e l’accesso alle prove elettroniche. Il protocollo ambisce a migliorare la cooperazione internazionale nella lotta al cybercrime, la capacità delle autorità nazionali di raccogliere prove elettroniche, la cooperazione in situazioni di emergenza e la cooperazione diretta tra autorità, provider ed altri soggetti in possesso di informazioni rilevanti. Il protocollo è suddiviso in quattro capitoli: I. Disposizioni Comuni; II. Misure per la cooperazione rafforzata; III. Condizioni e garanzie; IV. Disposizioni finali (C.G.)
INTERPOL lancia un nuovo database globale per identificare le persone scomparse attraverso il DNA della famiglia, 1 giugno 2021.
INTERPOL ha ufficialmente lanciato il database ‘I-Familia’, un database che utilizza gli approdi più recenti della ricerca scientifica e il DNA dei familiari per identificare soggetti scomparsi o resti umani rinvenuti in qualsiasi parte del mondo (metodo che si rivela particolarmente utile nelle ipotesi in cui non è disponibile un campione di materiale biologico del soggetto scomparso). Il database è stato elaborato in modo da tener conto delle complesse variabili che stanno alla base della comparazione tra profili DNA, e fornisce altresì linee guida standard su ciò che può essere considerato un ‘match’. Attraverso I-Familia, INTERPOL si pone l’obiettivo di aumentare l’efficienza delle indagini nazionali sulle persone scomparse, in passato rese complesse dalla mancanza di scambio di dati tra vari paesi e dalla complessità dell’interpretazione dei risultati dei test del DNA. I profili del DNA saranno condivisi direttamente dai 194 Stati membri di INTERPOL. I-Familia è costituito da tre componenti: un database globale che ospita i profili DNA forniti dai parenti (profili che saranno conservati separatamente da eventuali dati penalmente rilevanti); il software di comparazione del DNA, chiamato ‘Bonaparte’ e sviluppato dalla compagnia olandese ‘Smart Research’; le linee guida sull’interpretazione, prodotte da INTERPOL e aventi l’obiettivo di identificare e segnalare con efficienza i potenziali match (C.G.).
EUROPOL, The Cyber Blue Line, 25 giugno 2021.
Gli obiettivi del position paper ‘The Cyber Blue Line’ elaborato per EUROPOL sono: evidenziare i più recenti cambiamenti della società; riassumere le principali sfide che tali cambiamenti pongono nel campo del cyberspazio; sollevare una pluralità di interrogativi per rispondere ai quali sono necessari ampie riflessioni e una ‘cyber leadership’. Lo scopo è quello di ispirare e promuovere un dialogo, ritenuto necessario, tra i principali attori del cyberspazio. Il paper parte dalla definizione del cyberspazio come ‘domain of operation’, prosegue evidenziando l’evoluzione nelle scelte di policing e mette in luce come tra i primi fruitori delle nuove tecnologie vi siano le forze di polizia. Gli autori passano poi ad esaminare la costante espansione del cyberspazio e il connesso tema della cybersecurity. Nel concludere, il paper evidenzia come coloro che traggono profitti economici dal cyberspace dovrebbero essere coinvolti nelle scelte in tema di sicurezza, e suggerisce di ri-esaminare il contratto sociale alla luce delle nuove tecnologie (C.G.).
2. Novità giurisprudenziali nazionali
Non può essere considerata abusiva ai sensi dell’art. 615-ter c.p. la condotta degli agenti della Guardia di Finanza, che, durante verifica fiscale, esercitando legittimamente i poteri ispettivi e di controllo loro conferiti, procedano all’accesso ad un sistema informatico mediante le relative credenziali, acquisendo anche dati informatici riferibili a società terza. Premesso che in materia di illeciti tributari sono sempre utilizzabili quale notitia criminis gli elementi raccolti dalla Guardia di Finanza durante gli accessi, le ispezioni e le verifiche compiuti per l'accertamento dell'imposta sul valore aggiunto e delle imposte dirette, a prescindere dalla regolarità formale della loro acquisizione, in quanto a tali attività non è applicabile la disciplina prevista dal codice di rito per l'operato della polizia giudiziaria, la società terza i cui dati informatici siano stati acquisiti in seguito a tale accesso può agire per il dissequestro solo in presenza di una pretesa giuridica, in forza della quale abbia diritto alla restituzione, ed in presenza di un decreto di sequestro probatorio che, anche laddove abbia ad oggetto cose costituenti corpo di reato, sia privo di motivazione che, per quanto concisa, dia conto specificatamente della finalità perseguita per l'accertamento dei fatti.
Per approfondire: SALVADORI I., I reati contro la riservatezza informatica, in CADOPPI A., CANESTRARI S., MANNA A., PAPA M. (a cura di), Cybercrime, Torino, 2019, p. 656 ss.; FLOR R., La condotta del pubblico ufficiale fra violazione della voluntas domini, “abuso” dei profili autorizzativi e “sviamento di poteri”, in Dir. Pen. Proc., 2018, n. 4, p. 506 ss.; BUSSOLATI N., Accesso abusivo a un sistema informatico o telematico ex art. 615-ter c.p.: il nodo dell’abusività, in Studium iuris, 2018, n. 4, p. 428 ss.; ZAMPERINI V., Impugnabilità del sequestro probatorio di dati informatici, in Diritto penale e processo, 2016, n. 4, p.509 ss.. (R.M.V.)
In tema di intercettazioni mediante captatore informatico, la mancata allegazione, da parte del Pubblico ministero, dei decreti autorizzativi a corredo della richiesta di applicazione di misure cautelari e la successiva omessa trasmissione degli stessi al Tribunale del riesame a seguito di impugnazione del provvedimento coercitivo, non determina né l’inefficacia della misura né l’inutilizzabilità delle intercettazioni, ma obbliga il Tribunale ad acquisire d’ufficio tali decreti ove la parte ne faccia richiesta. Pertanto, alla mancata trasmissione dei decreti autorizzativi al Giudice per le indagini preliminari non consegue la perdità d’efficacia della misura disposta, bensì, in via solo eventuale, l’inutilizzabilità degli esiti delle operazioni di captazione, qualora adottati fuori dai casi consentiti dalla legge o in violazione degli artt. 267 e 268, commi 1 e 3, c.p.p. Ciò, a condizione che «la difesa dell’indagato abbia presentato specifica e tempestiva richiesta di acquisizione, e la stessa o il giudice non siano stati in condizione di effettuare un efficace controllo di legittimità». Analogamente, quanto al provvedimento esecutivo del Pubblico ministero e ai verbali di inizio e di fine delle captazioni redatti dalla polizia giudiziaria, qualora essi non siano stati trasmessi al Tribunale del riesame, è necessaria una specifica richiesta difensiva volta alla loro acquisizione, non sussistendo ragioni per ricavare dall’impianto normativo una disciplina dissimile rispetto a quella dettata con riferimento ai decreti autorizzativi.
Tali conclusioni trovano fondamento, secondo i giudici di legittimità, nel principio generale «secondo cui l’ordinanza applicativa della custodia cautelare in carcere perde di efficacia in caso di omessa trasmissione al Tribunale del riesame, da parte dell’autorità giudiziaria procedente, di tutti gli atti presentati a norma dell’art. 291 comma primo cod. proc. pen., tra i quali rientrano anche i decreti di autorizzazione delle intercettazioni telefoniche, e la sua applicazione comporta che, a contrario, se i decreti autorizzativi delle intercettazioni telefoniche non erano allegati alla richiesta del P.M. di applicazione della misura cautelare, la loro omessa trasmissione al Tribunale del riesame a seguito di impugnazione del provvedimento coercitivo non determina l’inutilizzabilità, né la nullità assoluta ed insanabile delle intercettazioni».
In senso conforme: con riferimento alle intercettazioni telefoniche, Corte di cassazione, sez. I penale, 22 giugno 2018 (ud. 6 febbraio 2018), n. 29036/2018, Pres. Mazzei – Rel. Centofanti; Corte di cassazione, sez. IV penale, 18 aprile 2017 (ud. 21 marzo 2017), n. 18802/2017, Pres. Blaiotta – Rel. Gianniti.
Per approfondire: ZAMPINI A., Quid iuris in caso di omessa trasmissione al giudice del riesame dei decreti autorizzativi delle intercettazioni telefoniche?, in Cass. pen., 2018, n. 11, p. 3809 ss. (M.P.)
La circostanza aggravante della detenzione di ingente quantità di materiale pedopornografico di cui all’art. 600-quater co. 2 c.p. si configura anche nel caso in cui le immagini non siano tutte immediatamente fruibili perché cancellate o comunque accantonate, in quanto ciò che rileva è la mera detenzione di tale materiale anche per il solo tempo necessario alla sua cancellazione. In ogni caso, anche se i confini della nozione di ingente quantità non sono stati rigidamente definiti in sede normativa, si rileva che la stessa è ravvisabile ogni qual volta il numero d’immagini detenute sia significativo, a prescindere dall’effettivo numero dei files.
In senso conforme: Corte di cassazione, Sezione III penale, sentenza 30 agosto 2017 (ud. 26 giungo 2017), n. 39543, Pres. Savani – Rel. Di Nicola; Corte di cassazione, Sezione III penale, 31 agosto 2016, n. 35866.
In senso difforme: Corte di Cassazione, sez. III penale, sentenza 11 maggio 2021 (ud. 7 aprile 2021), n. 18153/2021, Pres. Di Nicola – Rel. Di Stasi (v. infra).
Per approfondire v.: PICOTTI L., La pedopornografia nel Cyberspace: un opportuno adeguamento della giurisprudenza allo sviluppo tecnologico ed al suo impatto sociale, in Dir. di Internet, 2019, n. 1, p. 177 ss.; PICOTTI L., I delitti di sfruttamento sessuale dei bambini, la pornografia virtuale e l’offesa dei beni giuridici, in M. Bertolino e G. Forti (cur.), Scritti per Federico Stella, Napoli, 2007, vol. II, p. 1267 ss. (C.C.)
La Cassazione ribadisce che ai fini della sussistenza della circostanza aggravante della "ingente quantità" nel delitto di detenzione di materiale pedopornografico di cui all’art. 600-quater co. 2 c.p., si deve tener conto non solo del numero dei supporti informatici detenuti, ma anche del numero di immagini, da considerare come obiettiva unità di misura, che ciascuno di essi contiene. Pertanto, l’aggravante in esame risulta configurabile in ipotesi di detenzione di almeno un centinaio di immagini pedopornografiche, limite che rende in maggior misura percepibile il pericolo di implementazione del mercato illecito, che costituisce la ratio dell’inasprimento sanzionatorio. Inoltre, la Suprema Corte ribadisce che, sempre in tema di detenzione di materiale pedopornografico, l’aggravante dell’uso di mezzi atti ad impedire l’identificazione dei dati di accesso alle reti telematiche, di cui all’art. 602-ter co. 9 c.p., è configurabile nel caso in cui l’agente ponga in essere una qualunque azione volta ad impedire la sua identificazione, eludendo le normali modalità di riconoscimento, a partire da quelle relative all’accesso fisico al computer fino a quelle di inserimento nella rete stessa. Pertanto, ben può configurarsi l’aggravante in questione qualora l’imputato abbia scaricato le immagini pedopornografiche dal web mediante accesso ad apposito link con il sistema TOR, che consente di navigare sui siti pedopornografici senza far comparire il proprio indirizzo IP.
In senso conforme: Corte di Cassazione, sez. III penale, sentenza 16 novembre 2020 (ud. 8 ottobre 2020), n. 32166/2020, Pres. Di Nicola – Rel. Semeraro; Corte di Cassazione, sez. III penale, sentenza 30 agosto 2017 (ud. 27 giugno 2017), n. 39543/2017, Pres. Savani – Rel. Di Nicola; Corte di Cassazione, sez. III penale, sentenza 31 agosto 2016 (ud. 21 giugno 2016), n. 35876/2016, Pres. Rosi – Rel. Graziosi.
In senso difforme: Corte di Cassazione, sez. III penale, sentenza 24 giugno 2021 (ud. 3 marzo 2021), n. 24644/2021, Pres. Rosi – Rel. Gentili (v. supra).
Per approfondire v.: PICOTTI L., La pedopornografia nel Cyberspace: un opportuno adeguamento della giurisprudenza allo sviluppo tecnologico ed al suo impatto sociale, in Dir. di Internet, 2019, n. 1, p. 177 ss.; PICOTTI L., I delitti di sfruttamento sessuale dei bambini, la pornografia virtuale e l’offesa dei beni giuridici, in M. Bertolino e G. Forti (cur.), Scritti per Federico Stella, Napoli, 2007, vol. II, p. 1267 ss. (C.C.)
È stata ritenuta istigazione pubblica a commettere atti di abuso sessuale in danno di minori la pubblicazione online su dominio pubblicamente accessibile di un racconto a contenuto erotico e pedofilo contenente minuziose descrizioni e resoconti emozionali espressivi di piacere, eccitazione ed esaltazione.
Il dolo istigatorio, qualificato erroneamente dal ricorrente quale dolo specifico, configura un dolo generico coincidente con la coscienza e volontà di turbare l’ordine pubblico, da analizzarsi in relazione alla condotta, che deve ritenersi dotata di una forza suggestiva e persuasiva tale da poter stimolare nell’animo dei destinatari la commissione dei fatti criminosi propalati o esaltati, senza che questi debbano effettivamente realizzarsi.
La condotta istigatoria non esprime, sottolinea la Corte, un dolo specifico, ma concorre alla descrizione della fattispecie oggettiva connotandone la tipicità, con sfumature di natura soggettiva.
Per quanto riguarda la natura della condotta posta in essere, ossia la sua idoneità concreta a provocare un rischio effettivo di consumazione dei delitti indicati specificamente nell’art. 414-bis c.p., la dovizia di dettagli e la palese partecipazione e adesione dell’autore dimostrano con chiarezza la potenzialità emulativa del narrato, il quale ha suscitato diversi commenti adesivi alla storia, significativi della forza e efficacia concreta dello scritto.
A nulla rileva la circostanza che l’imputato abbia scritto a premessa del racconto l’avvertenza “l’autore crede fermamente che le molestie su minori vadano punite dalla legge nella maniera più severa”. (B.P.)
Configura il reato di adescamento di minori di cui all’art. 609-undecies c.p. la condotta di colui che chiede ad una dodicenne di inviargli tramite whatsapp fotografie ritraenti le sue parti intime, in particolare del seno e delle natiche, in quanto trattasi di raffigurazioni che ben possono essere ricomprese nella nozione di pedopornografia di cui all’art 600-ter c.p., poiché idonee ad eccitare l’istinto sessuale. Ai fini della fattispecie in esame, infatti, non è necessario che la condotta contestata sia idonea alla realizzazione del reato di violenza sessuale ovvero di atti sessuali con minorenni, perché il reato di adescamento di minorenni può essere finalizzato anche alla commissione dei reati di cui agli artt. 600-ter e 600-quater, dunque anche alla mera produzione o detenzione di materiale pedopornografico.
Per approfondire: PICOTTI L., La violenza sessuale via whatsapp, in Diritto di Internet, 2020, n. 4, p. 685 ss., in commento a Corte di Cassazione, sez. III Penale, sentenza 8 settembre 2020 (ud. 2 luglio 2020), n. 25266/2020, Pres. Rosi - Rel. Macrì; SALVADORI I., Sexting, minori e diritto penale, in CADOPPI A., CANESTRARI S., MANNA A. e PAPA A. (a cura di), Cybercrime, Torino, 2019, p. 567 ss; BOGGIANI M., L’adescamento di minorenni, in Cybercrime, cit., p. 599 ss. PICOTTI L., La pedopornografia nel Cyberspace: un opportuno adeguamento della giurisprudenza allo sviluppo tecnologico ed al suo impatto sociale riflessi nell’evoluzione normativa, in Diritto di Internet, 2019, n. 1, p. 177 ss.; SALVADORI I., I minori da vittime ad autori di reati di pedopornografia? Sui controversi profili penali del sexting, in Ind. pen., 2017, n. 3, 789 ss.; SALVADORI I., L’adescamento di minori. Il contrasto al child-grooming tra incriminazione di atti preparatori ed esigenze di garanzia, Torino, 2018; PICOTTI L., I delitti di sfruttamento sessuale dei bambini, la pornografia virtuale e l’offesa dei beni giuridici, in M. Bertolino e G. Forti (cur.), Scritti per Federico Stella, Napoli 2007, vol. II, p. 1267 ss. (C.C.)
Con questa pronuncia, la Corte di cassazione prende posizione, ribadendo approdi ormai consolidati, in ordine a diversi profili di primaria rilevanza in tema di intercettazioni mediante trojan horse. Sollecitata dal ricorrente quanto all’utilizzabilità delle captazioni, i giudici di legittimità ne approrittano per offrire, con motivazione ampia e articolata, la propria ricostruzione di alcuni aspetti problematici dello strumento investigativo in discorso. Segnatamente, la Corte afferma che: a) «le questioni relative all’installazione degli strumenti tecnici per l’intercettazione – come nella specie il virus trojan – in relazione all’obiettivo da intercettare non attengono alla fase autorizzativa dell’attività investigativa demandata al giudice per le indagini preliminari, né alla verifica dei presupposti di legittimità delle intercettazioni, bensì alla fase esecutiva, già coperta dall’autorizzazione a disporre le stesse intercettazioni»; b) «la fase esecutiva è consegnata alle prerogative del Pubblico Ministero che può delegare la polizia giudiziaria alle operazioni materiali di installazione tecnica degli strumenti (software, hardware, trojan) idonee a dar vita, in concreto, alle intercettazioni»; c) «eventuali modifiche degli strumenti già indicati nel decreto autorizzativo del GIP come quelli da utilizzare per eseguire le captazioni possono essere disposte dallo stesso Pubblico Ministero»; d) «le operazioni di collocazione e disinstallazione del materiale tecnico necessario per eseguire le captazioni, anche tramite virus trojan, costituiscono atti materiali rimessi alla contingente valutazione della polizia giudiziaria, consentiti dalla finalità pubblica di procedere ad attivare il mezzo di ricerca della prova anche quando consistono in un’intrusione da parte degli agenti incaricati dell’esecuzione in luoghi privati o altrui o, come nel caso del captatore informatico, in dispositivi informatici tramite inserimento di un software spia; l’omessa documentazione delle operazioni svolte dalla polizia giudiziaria non dà luogo ad alcuna nullità od inutilizzabilità dei risultati delle intercettazioni ambientali».
Tale assetto, a parere della Corte, risulta immune da censure di incostituzionalità. Invero, l’invasione della sfera privata dell’intercettato e di terzi risulterebbe legittima dal punto in ragione del necessario bilanciamento tra l’interesse pubblico all’accertamento di gravi delitti, tutelato dal principio dell’obbligatorietà dell’azione penale di cui all’art. 112 Cost e il principio di inviolabilità della sfera di riservatezza e segretezza di qualsiasi forma di comunicazione previsto dall’art. 15 Cost. Per la medesima ragione, sarebbe parimenti giustificata l’incidenza del mezzo di ricerca della prova in discorso sul diritto di proprietà privata, di cui all’art. 42 Cost., avuto riguardo all’utilizzazione – mediante l’intercettazione con trojan horse – dell’hardware e dell’energia da questo assorbita.
In senso conforme: Corte di Cassazione, sez. V penale, sentenza 22 marzo 2021 (ud. 30 settembre 2021), n. 10981/2021, Pres. Vessichelli – Rel. Calaselice; Corte di Cassazione, Sez. Un. penali, 1° luglio 2016 (ud. 28 aprile 2016), n. 26889/2016, Pres. Canzio – Rel. Romis.
Per approfondire: BRONZO P., Intercettazione ambientale tramite captatore informatico: limiti di ammissibilità, uso in altri processi e divieti probatori, in GIOSTRA G., ORLANDI R. (a cura di), Nuove norme in tema di intercettazioni. Tutela della riservatezza, garanzie difensive e nuove tecnologie informatiche, Torino, 2018, p. 235 ss.; CAMON A., Cavalli di Troia in Cassazione, in Arch. nuova proc. pen., 2017, p. 91 ss.; CAPRIOLI F., Il captatore informatico come strumento di ricerca della prova in Italia, in Rev. Bras. de Direito Processual Penal, Porto Alegre, vol. 3, n. 2, 2017, p. 483 ss. (M.P.)
Non può essere considerato ignaro strumento dell'altrui attività di riciclaggio del denaro proveniente dal reato di cui all'art. 615-ter c.p. il soggetto che accetta una proposta di lavoro, che per contenuto e forma lessicale non può essere considerata munita di genuinità e serietà, né tantomeno lecita.
La natura illecita della “proposta di lavoro”, valutata in uno con la qualità professionale dell'agente e le modalità stesse della condotta, attestano la sua consapevolezza sia della provenienza da delitto delle somme che l'imputato ha accettato di ricevere sul proprio conto corrente, sia dell’ostacolo all'identificazione della provenienza delittuosa del denaro che si realizza girando queste somme attraverso il servizio Western Union in favore di soggetti stranieri che le prelevano poi in contanti. Per la Suprema Corte, come giustamente rilevato dai giudici di merito, “anche una persona non avvezza ad eseguire operazioni di pagamento sulla rete internet... avrebbe dovuto rendersi conto di una circostanza assolutamente evidente: e cioè della assenza di una qualche apparente utilità, in capo al proponente del fantomatico “lavoro”, che non fosse quella di riciclare denaro di provenienza illecita, dell'assenza, cioè, di una qualsivoglia diversa plausibile giustificazione o ragione per la quale una fantomatica azienda multinazionale dovesse servirsi del conto corrente dell'imputato per trasferirvi pagamenti destinati a soggetti stranieri e sconosciuti”.
La possibilità che la vittima del phishing potesse risalire in conseguenza della tracciabilità del bonifico all’identità dell’imputato non vale ad escludere il dolo eventuale di riciclaggio, potendo essere al più indice di scarsa dimestichezza con tale tipologia di illecito o semplicemente di superficialità.
Per approfondire: FLOR R., Phishing, identity theft e identy abuse. Le prospettive applicative del diritto penale vigente, in Riv. it. dir. e proc. pen., n. 2-3, 2007, p. 899 ss.; ID., Phishing e profili penali dell’attività illecita di “intermediazione” del cd. financial manager, in Diritto penale e processo, 2012, n. 1, p. 55 ss.; RAZZANTE R., Riciclaggio e phishing. Il rischio di riciclaggio e il ruolo del financial manager secondo la Cassazione, in Responsabilità amministrativa delle società e degli enti (La), 2012, n. 2, p.125 ss.; PIANCASTELLI S., La ricezione di somme di denaro provento di phishing: risultanze investigative e problemi applicativi in punto di qualificazione giuridica, in www.dirittopenalecontemporaneo.it, 3 marzo 2015.
Con specifico riferimento al dolo eventuale circa la provenienza illecita del provento nel vicino delitto di ricettazione cfr. Cass., Sez. Un., ud. 26.11.2009, dep. 30.3.2010, n. 12433, Nocera, pubblicata fra l’altro in www.dirittopenalecontemporaneo.it, 20 dicembre 2010 con commento di ABBADESSA G., Ricettazione e dolo eventuale. (R.M.V.)
Corte di Cassazione, sez. V penale, sentenza 24 maggio 2021 (ud. 23 aprile 2021), n. 20645/2021, Pres. Sabeone – Rel. Tudino
La Suprema Corte, pronunciandosi in merito alla legittimità del sequestro preventivo del sito web del programma televisivo “Le Iene” ospitante dei servizi giornalistici sul virologo prof. Burioni, evidenzia che al sito web non può essere estesa la peculiare garanzia della non assoggettabilità a sequestro preventivo per il reato di diffamazione accordata alla stampa in senso tradizionale ed estesa dalla sentenza delle Sezioni Unite 17 luglio 2015, n. 31022, ric. Fazzo anche alla testata giornalistica telematica registrata. Infatti, con tale ultima pronuncia le Sezioni Unite non hanno fatto uso dello strumento dell’analogia, ma si sono limitate ad interpretare estensivamente il concetto di stampa. Pertanto, il semplice sito web non può godere della speciale garanzia, sia perché non è prevista la sua registrazione presso il Tribunale, sia perché è privo di una figura che possa essere assimilata a quella del direttore responsabile di una testata giornalistica telematica registrata, chiamato giuridicamente a rispondere dei fatti diffamatori in forza di una specifica posizione di garanzia disciplinata dalla legge. Né può essere applicata al sito web la diversa disciplina di cui all’art. 30 della L. 6 agosto 1990, n. 223, dettata per le trasmissioni radiotelevisive e che non può certo essere applicata, sulla base di un'analogia in malam partem, alla pubblicazione on line.
In senso conforme: Corte di Cassazione, Sezioni Unite penali, sentenza 17 luglio 2015 (ud. 29 gennaio 2015), n. 31022/2015, Pres. Santacroce – Rel. Milo
Per approfondire: CORRIAS LUCENTE G., Le testate telematiche registrate sono sottratte al sequestro preventivo. Qualche dubbio sulla “giurisprudenza legislativa", in Dir. Inf. Inf., 2015, n. 6, pag. 1041 ss.; MELZI D’ERIL C., Contrordine compagni: le Sezioni Unite estendono le garanzie costituzionali previste per il sequestro degli stampati alle testate on-line registrate, in Dir. Pen. Cont., 9 marzo 2016; VIMERCATI S., La Cassazione conferma l'inestensibilità ai blog delle garanzie costituzionali previste per gli stampati in tema di sequestro, in Dir. Pen. Cont., 26 ottobre 2016; CAMPANARO C., Legittimo il sequestro preventivo del sito internet se i contenuti sono diffamatori, in Dir. Pen. Cont., 13 febbraio 2011. (C.C.)
La pronuncia merita di essere segnalata in ragione della peculiarità del caso di specie. Il ricorrente veniva inizialmente indagato per il reato di cui all’art. 416-bis c.p.p., ma il Pubblico ministero provvedeva a richiedere l’archiviazione per la sua posizione; nella pendenza della richiesta di archiviazione, però, egli veniva intercettato indirettamente mediante captatore informatico nell’ambito di un diverso procedimento, nel quale egli non rivestiva la qualità di indagato. Proprio il sopravvenire delle risultanze delle captazioni mediante trojan aveva determinato una nuova iscrizione del nominativo del ricorrente nel registro delle notizie di reato, per il medesimo titolo di reato di cui all’art. 416-bis c.p.p. Tale iter, a parere dei giudici di legittimità, è legittimo e sono pienamente utilizzabili i risultati delle captazioni mediante trojan horse, poiché non si verserebbe in un’ipotesi di attività investigativa compiuta in assenza di una formale riapertura delle indagini. Difatti, per un verso, l’attività di captazione era stata svolta, in altro procedimento, nella pendenza della richiesta di archiviazione e non già a seguito del provvedimento di archiviazione del G.i.p.; per altro verso, l’intercettazione aveva consentito di accertare un fatto diverso rispetto a quello per cui si procedeva originariamente, poiché, pur essendo identico il titolo di reato, si trattava di associazioni criminali distinte giacché operanti in differenti contesti territoriali e in diversi segmenti temporali.
In senso conforme: Corte di Cassazione, sez. I penale, sentenza 21 gennaio 2021 (ud. 18 settembre 2020), n. 2568/2021 – Pres. Santalucia – Rel. Cairo. (M.P.)
Scoprire e disattivare il captatore informatico inoculato dalla pubblica accusa nel proprio telefono cellulare e attivarsi perché analoga disattivazione sia compiuta dai co-imputati negli apparati informatici in loro possesso esprime una «sodalità inquinatoria tra gli imputati» tale da giustificare un pericolo per l’acquisizione o la genuinità della prova di cui all’art. 274, comma 1, lett. a) c.p.p. e, pertanto, l’applicazione di una misura cautelare coercitiva. A ciò non osta l’avvenuto superamento della fase invesigativa, con fissazione dell’udienza dibattimentale. Difatti, l’esigenza di salvaguardare da inquinamento l’acquisizione e la genuinità della prova non si esaurisce con la chiusura delle indagini preliminari e neppure con la conclusione del giudizio di primo grado, poiché ostacoli al corretto evolversi di questo processo formativo e conservativo possono insorgere in ciascuno dei momenti procedimentali, ivi incluso l’appello in caso di rinnovazione istruttoria. Di conseguenza, il potere coercitivo attribuito al giudice, con la possibilità dell’imposizione delle misure cautelari nella loro funzione di tutela di esigenze di tipo probatorio, si estende lungo tutto l’arco del processo di merito.
In senso conforme: con generale riferimento al pericolo d’inquinamento probatorio, Corte di Cassazione, sez. II penale, sentenza 12 novembre 1997 (ud. 12 giugno 1997), n. 3900/1997, Pres. Morelli – Rel. Besson. (M.P.)
La Cassazione ribadisce che il delitto di atti persecutori di cui all’art. 612-bis c.p. ben può essere integrato dal reiterato invio alla persona offesa di messaggi su Facebook, in quanto a rilevare non è tanto il mezzo attraverso il quale si diffonde la comunicazione, ma piuttosto il contenuto della stessa, che deve costituire un comportamento concretamente vessatorio a danno della persona offesa. Peraltro, lo stesso legislatore, a seguito del d.l. 14 agosto 2013, n. 93, art. 1, comma 3, lett. a), convertito, con modificazioni, dalla L. 15 ottobre 2013, n. 119, ha introdotto al co. 2 dell’art. 612-bis c.p., la circostanza aggravante del fatto commesso “attraverso strumenti informatici o telematici”, così chiarendo come tale delitto non solo può consumarsi anche attraverso tali modalità di comunicazione, ma in tal caso deve anche considerarsi connotato da un maggior disvalore sociale. Inoltre, evidenzia che quando il messaggio viene inviato al "profilo" della persona offesa, tale comunicazione non diverge da quelle veicolate con altro mezzo di diffusione poiché, in questo caso, si attua una diretta invasione della sfera privata altrui. Invece, quando il messaggio, pur rivolto ad una determinata persona, sia pubblicato sul profilo dell’imputato, va verificata la conoscibilità, che certamente sussiste qualora tale "profilo" sia ampiamente accessibile.
In senso conforme: Corte di Cassazione, sez. VI penale, sentenza 30 agosto 2010 (ud. 16 luglio 2010), n. 32404/2010, Pres. De Roberto – Rel. Colla; Corte di Cassazione, sez. V penale, sentenza 12 giugno 2019, (ud. 1 marzo 2019), n. 26049/2019, Pres. Palla – Rel. De Gregorio. (C.C.)
Il reato di frode informatica sussiste quando l’alterazione del sistema informatico è ciò che consente di ottenere il profitto. Nel caso in cui, invece, l'intervento sulla macchina è consistito nell'avere utilizzato indebitamente un codice per la apertura dei cassetti degli apparecchi, a cui è seguito un ordinario impossessamento fisico di quanto contenuto al loro interno, sarà configurabile il differente reato di furto eventualmente aggravato dal ricorso al mezzo fraudolento o alla violenza sulle cose, quali modalità che hanno reso possibile l'apprensione fisica del bene.
Per approfondire: PICOTTI L., Reati Informatici, in Enc. Giur. Treccani, Aggiornamento, VIII, Roma, 2000, p. 1 ss.; BARTOLI R., La frode informatica tra "modellistica", diritto vivente e prospettive di riforma, in Dir. Inf., 2011, n. 3, p. 383 ss.; CAPPITELLI R., La nozione di “mezzo fraudolento” nel delitto di furto aggravato tra implicazioni storiche e principio di offensività, in Cass. Pen., 2014, n. 5, p. 1651 ss.; TAMBURRO A., Un'aggravante degli elastici confini: l'uso di mezzo fraudolento nel reato di furto, in Rivista penale, 2014, n. 2, p. 131 ss.; MANICCIA A., I recenti approdi della suprema Corte sui “liquidi” confini tra la truffa e il furto aggravato dal mezzo fraudolento, in Cass. Pen., 2018, n. 2, p. 561 ss.; SCORDAMAGLIA I., Differenze tra il furto aggravato dall’uso del mezzo fraudolento e la truffa, in Dir. pen. e processo, 2020, n. 3, p. 372 ss.. (R.M.V.)
La Cassazione torna sul tema, ormai “classico”, dell’utilizzabilità delle intercettazioni di comunicazioni “criptate” in quanto eseguite con il sistema “pin to pin” su apparecchi Blackberry. Ribadendo l’ormai granitica giurisprudenza della Suprema Corte, i giudici di legittimità distinguono, in via preliminare, le operazioni di captazione e di registrazione del messaggio cifrato mentre lo stesso è in transito dall’apparecchio del mittente a quello del destinatario dalle operazioni di decriptazione del contenuto del messaggio, necessarie per trasformare mere stringhe informatiche in dati comunicativi intellegibili. In ragione di ciò, la Corte afferma che, nel caso di specie, la “cattura” e la registrazione del flusso telematico era sempre avvenuta in Italia, dal momento che i relativi dati erano stati acquisiti nel transito da ponti radio o telefonici collocati nel territorio dello Stato italiano, in quanto messaggi in partenza da o in arrivo su apparecchi Blackberry di soggetti che si trovavano fisicamente in Italia ovvero che, con la loro comunicazione, avevano impegnato stazioni o ponti radio che si trovavano nel territorio italiano: essendo irrilevante che, nel passaggio dal mittente al destinatario, quel flusso informatico fosse stato “elaborato” da un server collocato in Canada. Dunque, non era indispensabile l’attivazione dello strumento rogatoriale.
Si segnala il passaggio argomentativo dei giudici di legittimità relativo alla doglianza, sollevata dal ricorrente, circa il fatto che l’operazione di “decriptazione” dei messaggi registrati fosse avvenuta, su richiesta dell’autorità inquirente italiana, con il contributo della società canadese RIM, proprietaria dell’algoritmo necessario per la “trasformazione” dei dati comunicativi criptati dei flussi telematici già acquisiti. La doglianza è, a parere della Corte, infondata, dal momento che «tale attività tecnica non rientra propriamente nella nozione di operazioni di intercettazioni, perché non riguardante la captazione e la registrazione di dati comunicativi in itinere dal mittente al destinatario. Né vi sono nome che impongano che una siffatta iniziativa istruttoria debba essere compiuta necessariamente negli uffici della procura della Repubblica: essendo, anzi, nel codice di rito presenti numerose norme che permettono ad ausiliari dell’autorità giudiziaria di disporre materialmente di beni già acquisiti (e persino sottoposti a sequestro) per effettuare su di essi operazioni di verifica». Simile conclusione, del resto, «non muta sia nel caso in cui la società canadese avesse già a disposizione, per averli conservati nella memoria dei propri server, i messaggi già decriptati oppure se, ricevuto il flusso di dati criptati, si sia limitata a consentirne la “trasformazione” mediante l’impiego dell’algoritmo di sua proprietà», trattandosi di una “collaborazione investigativa” estranea all’istituto di cui all’art. 266-bis c.p.p. e, piuttosto, riconducibile all’art. 234-bis c.p.p.
In senso conforme: Corte di Cassazione, sez. III penale, sentenza 23 agosto 2019 (ud. 9 maggio 2019), n. 36381/2019, Pres. Lapalorcia – Rel. Di Nicola.
Per approfondire: FÙRFARO S., Le intercettazioni “pin to pin” del sistema blackberry, ovvero: quando il vizio di informazione tecnica porta a conclusioni equivoche, Arch. pen. web, 2016, n. 1; FILIPPI F., Questioni nuove in tema di intercettazioni: quid iuris sul “pin-to-pin” dei blackberry?, in Arch. pen. web, 2016, n. 1, PITTELLI G. – COSTARELLA F., Ancora in tema di chat “pin-to-pin” su sistema telefonico BlackBerry, in Arch. pen. web, 2016, n. 1, p. 1 ss.; TESTAGUZZA A., Chat BlackBerry: sistema “pin-to-pin”. Nascita di un nuovo paradiso processuale, in Arch. pen. web, 2016, n. 1, p. 1; TROGU M., Come si intercettano le chat pin to pin tra dispositivi Blackberry?, in Proc. pen. giust., 2016, n. 3, p. 74. Volendo, v. anche PITTIRUTI M., L’apprensione all’estero della prova digitale, in LUPÀRIA L. – MARAFIOTI L. – PAOLOZZI G. (a cura di), Dimensione tecnologica e prova penale, Giappichelli, Torino, 2019, p. 205 ss. (M.P.)
Tribunale di Rieti, sez. Penale, ordinanza del 4 maggio 2021, Pres. Sabatini – Rel. Marinelli
Con ordinanza del 4 maggio 2021 il Tribunale di Rieti ha sollevato questione pregiudiziale innanzi alla Corte di Giustizia dell’Unione Europea affinché valuti la compatibilità dell’art. 132 co. 3 d.lgs. 30 giugno 2003 n. 196 (c.d. codice privacy) in tema di acquisibilità dei dati ottenibili dallo sviluppo di tabulati telefonici, con l’art. 15, par. 1, della Direttiva 2002/58/UE, letto alla luce degli articoli 7, 8 e 11 nonché dell’articolo 52, paragrafo 1, della Carta di Nizza e dei principi stabiliti dalla Corte di Giustizia UE nella sentenza del 2 marzo 2021 nella causa C-746/18. In particolare, il Tribunale chiede alla Corte di Giustizia se il Pubblico ministero italiano possa essere considerato un organo terzo competente a disporre, mediante decreto motivato, l’acquisizione dei dati relativi al traffico e dei dati relativi all’ubicazione ai fini di un’istruttoria penale. Il Tribunale si preoccupa poi del fatto che un’eventuale applicazione retroattiva dei princìpi stabiliti nella sentenza del 2 marzo 2021 causa C-746/18, in assenza di una disciplina transitoria o di indicazioni intertemporali fornite dalla stessa CGUE, possa creare una paralisi delle indagini penali in corso e costituire un serio ostacolo all’accertamento e contrasto delle forme gravi di criminalità. Pertanto, come ulteriore questione pregiudiziale, il Tribunale domanda alla Corte di Giustizia UE se la normativa sovranazionale sopra menzionata possa essere interpretata nel senso di contemplare eccezionali ipotesi di “urgenza investigativa”, tali da consentire al Pubblico Ministero l’immediata acquisizione dei dati dei tabulati telefonici, da ritenersi legittimamente acquisiti ove successivamente convalidati, in tempi rapidi, dal Giudice procedente.
In senso difforme: Corte di Cassazione, Sez. III penale, sentenza 2 dicembre 2019, (ud. 25 settembre 2019), n. 48737/2019, Pres. Lapalorcia – Rel. Reynaud; Corte di Cassazione, Sez. III penale, sentenza 23 agosto 2019 (ud. 19 aprile 2019), n. 36380/2019, Pres. Andreazza - Rel. Semeraro; Corte di Cassazione, sez. V penale, sentenza 19 luglio 2018, (ud. 24 aprile 2018), n. 33851/2018, Pres. Vessichelli – Rel. Morosini.
Per approfondire: LEO G., Le indagini sulle comunicazioni e sugli spostamenti delle persone: prime riflessioni riguardo alla recente giurisprudenza europea su geolocalizzazione e tabulati telefonici, in Sist. Pen., 31 maggio 2021; TONDI V., La disciplina italiana in materia di data retention a seguito della sentenza della Corte di giustizia Ue: il Tribunale di Milano nega il contrasto con il diritto sovranazionale, in Sist. Pen., 7 maggio 2021; MALACARNE A., Ancora sulle ricadute interne della sentenza della Corte di Giustizia in materia di acquisizione di tabulati telefonici: il G.i.p. di Roma dichiara il “non luogo a provvedere” sulla richiesta del p.m., in Sist. Pen., 5 maggio 2021; DELLA TORRE J., L'acquisizione dei tabulati telefonici nel processo penale dopo la sentenza della Grande Camera della Corte di Giustizia UE: la svolta garantista in un primo provvedimento del g.i.p. di Roma, in Sist. Pen., 29 aprile 2021; NERONI REZENDE I., Dati esterni alle comunicazioni e processo penale: questioni ancora aperte in tema di data retention, in Sist. Pen., 2020, n. 5, p. 183 ss.; LUPARIA L., Data retention e processo penale. Un’occasione mancata per prendere i diritti davvero sul serio, in Dir. di Internet, 2019, n. 4, p. 762 ss.; MARCOLINI S., L’istituto della data retention dopo la sentenza della Corte di Giustizia del 2014, in Cybercrime a cura di A. Cadoppi, S Canestrari, A. Manna, M. papa, Torino, 2019, p. 1579 ss.; CASTELLANI L., Favoritismo ed abuso d’ufficio, in RGEA, 2018, n. 2, pag. 51 ss.; FLOR R., Data retention ed art. 132 Cod. privacy: vexata quaestio (?), in Dir. Pen. Cont., 29 marzo 2017; FLOR R., La Corte di giustizia considera la direttiva europea 2006/24 sulla cd. “data retention” contraria ai diritti fondamentali. Una lunga storia a lieto fine?, in Riv. trim. Dir. Pen. Cont., 2014, n. 2, p. 178 ss; FLOR R., Le recenti sentenze del Bundesverfassungsgericht e della Curtea Constituţională sul data retention, in L. Violante, T. Galiani, A. Merli, Oggetto e limiti del potere coercitivo dello Stato nelle democrazie costituzionali, in Annali della facoltà giuridica, Camerino, 2013, p. 308 ss.; FLOR R., Data retention e limiti al potere coercitivo dello Stato in materia penale: le sentenze del Bundesverfassungsgericht e della Curtea Constituţională, in Cass. pen., 2011, p. 1952 ss.; FLOR R., Data retention rules under attack in the European Union? (Po sulmohen rregullat mbi ruajtjen e të dhënave në Bashkimin Evropian?), in Illyrius, 2012, p. 69 ss; FLOR R., La tutela dei diritti fondamentali della persona nell’epoca di Internet. Le sentenze del Bundesverfassungsgericht e della Curtea Constituţională su investigazioni ad alto contenuto tecnologico e data retention, in L. Picotti, F. Ruggieri, Nuove tendenze della giustizia penale di fronte alla criminalità informatica. Aspetti sostanziali e processuali, Torino, 2011, p. 32 ss. (C.C.)
3. Novità legislative e normative nazionali
Nella Gazzetta ufficiale n. 140 del 14 giugno 2021 è stato pubblicato il d.l. 14 giugno 2021, n. 82, rubricato “Disposizioni urgenti in materia di cybersicurezza, definizione dell'architettura nazionale di cybersicurezza e istituzione dell'Agenzia per la cybersicurezza nazionale”. Con tale disposizione legislativa viene istituita la nuova Agenzia per la cybersicurezza nazionale, allo scopo di coordinare i soggetti pubblici coinvolti in materia di cybersicurezza a livello nazionale e promuovere la realizzazione di azioni comuni dirette ad assicurare la sicurezza e la resilienza cibernetiche per lo sviluppo della digitalizzazione del Paese, del sistema produttivo e delle pubbliche amministrazioni, nonché il conseguimento dell'autonomia, nazionale ed europea, con riguardo a prodotti e processi informatici di rilevanza strategica a tutela degli interessi nazionali nel settore. In particolare, tra i diversi compiti attribuiti alla nuova agenzia dall’art. 7 del d.l. vi sono quello di predisporre la strategia nazionale di cybersicurezza, di sviluppare capacità nazionali di prevenzione, monitoraggio, rilevamento, analisi e risposta, per prevenire e gestire gli incidenti di sicurezza informatica e gli attacchi informatici, di mantenere un quadro giuridico nazionale aggiornato e coerente nel dominio della cybersicurezza, anche esprimendo pareri non vincolanti sulle iniziative legislative o regolamentari concernenti la cybersicurezza e di coordinare la cooperazione internazionale nella materia della cybersicurezza. Inoltre, all’art. 10 viene prevista l’adozione di una nuova procedura per la gestione delle crisi che coinvolgono aspetti di cybersicurezza.
In argomento, con riferimento al d.l. 105/2019, conv. in l. 133/2019, si vedano PICOTTI L., Cybersecurity: quid novi?, in Diritto di Internet, 2020, n. 1, p. 11 ss.; PICOTTI L. e VADALÁ R.M., Sicurezza cibernetica: una nuova fattispecie delittuosa a più condotte con estensione della responsabilità degli enti, in Sist. Pen., 5 marzo 2019; MELE S., Il perimetro di sicurezza nazionale cibernetica, in Dir. di Internet, 2020, n. 1, p. 15 ss. (C.C.)
Discorso del Presidente della Consob al mercato e Relazione annuale
Nel presentare in data 14 giugno 2021 la Relaziona annuale sull’anno 2020 il Presidente della Consob ha messo in luce l’urgenza d’intervenire sulla regolamentazione delle innovazioni finanziarie e in particolar modo sul variegato ecosistema delle cryptocurrency: “Senza presidi adeguati (norme ed enti), ne consegue un peggioramento della trasparenza del mercato, fondamento della legalità e delle scelte razionali degli operatori. Tra gli effetti negativi ben conosciuti vi è la schermatura che queste tecniche consentono ad attività criminali, come l’evasione fiscale, il riciclaggio di denaro sporco, il finanziamento del terrorismo e il sequestro di persone”.
Le preoccupazioni segnalate derivano dal registrato aumento, attestato dalla Relazione, dei casi di prestazione abusiva di servizi d’investimento e offerta abusiva di prodotti finanziari in prevalenza sul web. Nonostante il livello di attività dei risparmiatori in cripto-valute, trading on line, robo advice e crowdfunding risulti ancora contenuto, è rapidamente e significativamente cresciuto sia per effetto della pandemia, sia per l’accelerazione delle iniziative FinTech.
Nello specifico, nel corso del 2020 si è assistito ad un incremento delle offerte abusive aventi ad oggetto digital token emessi nell’ambito di autentiche o presunte operazioni di Initial Coin Offering (ICO), nonché delle proposte di investimenti finanziari ‘atipici’ relativi a presunte cripto-valute con apparenti rendimenti del tutto fuori mercato. È indicato come schema tipico di truffe in trading on line il seguente meccanismo: il risparmiatore, mosso dalla prospettiva di facili guadagni a fronte di investimenti iniziali di modica entità, viene invitato a fornire i propri dati personali e a versare somme di denaro d’importo via via crescente per aprire i conti per il trading di titoli presso la piattaforma online indicata dall’operatore abusivo. Non di rado gli è offerta, come ulteriore incentivo ad investire, la possibilità di avvalersi anche per lo svolgimento dell’attività di trading di software che realizzano operazioni di investimento secondo modalità automatiche. Ma al momento di incassare i presunti guadagni maturati, l’investitore si vede negata la possibilità di prelevare in tutto o in parte le somme che risultano presenti sul conto, con i pretesti più disparati. Ulteriori fattispecie ricorrenti, sulle quali la Consob ha pubblicato avvisi ai risparmiatori, riguardano l’utilizzo illegittimo da parte di operatori finanziari abusivi del nome e dell’immagine di personaggi noti ed offerte fittizie via web d’investimenti in qualche modo collegati alla pandemia, come quelli in Corona-coin, valute virtuali correlate alla diffusione del contagio. Dai risultati raccolti emerge, inoltre, che gli operatori abusivi sono spesso società fittizie o extraeuropee, in apparenza localizzate in paesi europei, ma in realtà irreperibili, che dichiarano spesso falsamente di essere autorizzate a operare. Per questi casi ed in generale per le ipotesi di abusivismo per violazione delle disposizioni in materia di emittenti (offerta al pubblico di prodotti finanziari e pubblicità relativa all’offerta al pubblico di prodotti finanziari in assenza di pubblicazione del prospetto) e di intermediari (prestazione abusiva di servizi di investimento) la Consob ha avviato 348 istruttorie nel corso del 2020, adottando 185 ordini di oscuramento riferibili a 237 siti internet ed inoltrando in 208 casi segnalazioni all’Autorità Giudiziaria per la possibile ricorrenza di profili di abusivismo penalmente rilevanti ai sensi dell’art. 166 del Tuf .
La Consob intende, inoltre, affrontare le sfide poste del web e dal ricorso alle nuove tecnologie proseguendo la transizione tecnologica in atto dell’Istituto. È, in particolare, previsto il potenziamento della vigilanza data driven e l’avvio di sperimentazioni per l’impiego dell’intelligenza artificiale, con promozione di quelle iniziative che garantiscano elevati livelli di cybersecurity. (R.M.V.)
In conformità alle caratteristiche dello strumento, che vuole essere di ausilio ai destinatari degli obblighi antiriciclaggio nella rilevazione di fenomeni di riciclaggio e finanziamento del terrorismo, sono descritte alcune ipotesi rilevanti individuate dall’Unità d’Intelligenza Finanziaria, UIF, nella sua esperienza operativa, attraverso le segnalazioni di operazioni sospette, gli accertamenti ispettivi, gli scambi informativi con le Financial Intelligence Unit estere (FIU).
Per ogni fattispecie è previsto un breve abstract, che ne riassume, nel rispetto dei presidi di riservatezza, i tratti fondamentali e l’esito degli approfondimenti effettuati dall’UIF, nonché gli indicatori di anomalia ritenuti esemplificativi.
La selezione dei casi riportati conferma la crescente complessità degli schemi operativi delle attività di riciclaggio e finanziamento del terrorismo: dall’utilizzo di sofisticate triangolazioni al ricorso a strumenti di pagamento innovativi, in connessione con fenomeni criminali come criminalità organizzata, corruzione ed evasione fiscale.
Questo intreccio è messo in evidenzia nel caso trattato di riciclaggio dei proventi derivanti dal traffico di sostanze stupefacenti: sulla base di informazioni di fonte estera, l’UIF è risalita a proventi illeciti in valute virtuali derivanti dal traffico di sostanze stupefacenti gestito, tramite diverse piattaforme sul c.d. dark web, da un’organizzazione operante tra l’Italia e il Nord America. Le somme in valute virtuali venivano convertiti in valute aventi corso legale e accreditati su conti correnti italiani per essere ritrasferiti, poi, in Nord America mediante rimesse ed acquisti di auto di lusso. (R.M.V.)
In data 24 giugno 2021 è stato presentato il Rapporto Annuale sull’attività svolta nel 2020 dall’Unità d’Informazione Finanziaria, UIF, il quale attesta ancora un incremento delle segnalazioni di operazioni sospette ricevute, pari a oltre 113.000 unità, di cui quasi 2.300 relative a contesti di rischio legati all’emergenza sanitaria. Per queste ipotesi sono stati implementati gli scambi informativi sia con la Direzione Ivestigativa Antimafia (DIA), sia con le altre Financial Intelligence Unit estere (FIU), soprattutto con riguardo alle truffe telematiche (love e romance scams, phone scams, CEO e Business Email Compromise frauds, ransomware),alla sottrazione di fondi mediante accesso abusivo a sistemi informatici, ai pagamenti on line, anche in valute virtuali, o alle transazioni nel dark web connesse al traffico di stupefacenti, alla tratta di esseri umani, alla contraffazione, al commercio di materiale pedopornografico e allo sfruttamento sessuale di minori, nonché a casi sospetti di finanziamento del terrorismo. Se con riguardo a questa minaccia si tratta di fattispecie, per lo più, connotate da un basso contenuto tecnologico e organizzativo, nel 2020 diverse sono state, invece, quelle di riciclaggio connesse o a fenomeni illeciti agevolati dal massiccio ricorso, in conseguenza delle misure di distanziamento sociale e del lockdown, ai servizi telematici ed in generale alla rete, ovvero connessi alle misure di sostegno economico varate per far fronte alla crisi innescata dalla pandemia, come la distrazione degli aiuti erogati alle imprese in pagamenti on line a favore di società operanti nel settore dei giochi e delle scommesse o in investimenti mobiliari e immobiliari, anche in criptovalute.
Con riferimento a quest’ultime, si è registrato nel 2020 un incremento soprattutto delle segnalazioni riguardanti la loro associazione a fenomeni di abusivismo finanziario e truffe in trading online, anche da parte di soggetti che svolgono professionalmente l’attività di collettori nell’acquisto di virtual asset, senza però disporre di adeguate strutture organizzative e senza rispettare i presidi antiriciclaggio. Le attività di analisi, svolte in collaborazione con la CONSOB (per cui si rinvia al punto 2 di questa sezione) e le altre Autorità di vigilanza, anche estere, rilevano come le persone truffate siano adescate tramite insistenti contatti informatici o telefonici da sedicenti consulenti finanziari, che li inducono ad eseguire molteplici pagamenti di importo crescente a favore di rapporti esteri, riconducibili alle società straniere che gestiscono le piattaforme. Queste società, a loro volta, trasferiscono i fondi ad altre società e spesso tramite Virtual Asset Service Providers. I casi approfonditi hanno messo in luce come questi investitori possano essere truffati una seconda volta, aderendo all’offerta di consulenza legale per il recupero di quanto perduto nelle descritte operazioni di trading da parte di società collegate a piattaforme sospette e che richiedono ulteriori esborsi. Sempre con riferimento all’ambito dei virtual asset e alle truffe connesse al trading on line, dalle segnalazioni è risultato l’impiego, inoltre, da parte di una piattaforma di un algoritmo, basato sull’offerta/domanda di big data e sul traffico di dati generati e raccolti, che al fine di garantire l’incameramento di un ingiusto profitto, forzava in rialzo il prezzo delle criptovalute.
Numerosi, in ogni caso, rimangono i casi in cui l’investimento in virtual asset è effettuato con l’impiego di fondi illeciti, per lo più derivanti da frodi informatiche. Con riguardo a queste ipotesi desta particolare preoccupazione la diffusione del fenomeno dei c.d. “crypto-ATM” o ATM indipendenti, riferibili a gestori non regolamentati, sia in ambito finanziario che antiriciclaggio, costituiti da esercizi commerciali al dettaglio che consentono in contanti l’acquisto o la conversione di valute virtuali.
A queste criticità emergenti si associano quelle relative all’operatività in generale del Virtual Asset Service Providers. Dall’attività ispettiva eseguita su quelli operanti nel comparto italiano, costituito da quatto grandi società (una italiana e tre estere), a cui associano piccole società a responsabilità limitata con capitale minimo, emerge, in particolate, una scarsa attenzione nella profilatura della clientela, carenze nei sistemi automatici di transaction monitoring e l’inefficacia dei presidi inerenti al servizio di acquisto di valute virtuali mediante carte di pagamento. (R.M.V.)
Cybersecurity: la lettera al mercato dell’IVASS alla luce degli Orientamenti EIOPA
Il 3 giugno 2021, l’IVASS ha fornito alcune indicazioni ai soggetti vigilati per l’adeguamento alle recenti novità previste dagli Orientamenti dell’EIOPA (l’Autorità europea delle assicurazioni e delle pensioni aziendali e professionali), dello scorso 6 aprile 2021, sulla sicurezza e sulla governance della tecnologia dell’informazione e comunicazione, in attuazione di quanto previsto dalla direttiva 2009/138/CE (“direttiva Solvency II”) e dal regolamento delegato della Commissione 2015/35/UE.
Tra gli aspetti messi in rilievo l’IVASS indica, quali misure da implementare, con specifico riferimento al sistema di gestione dei rischi delle ICT e della cyber security, la determinazione di limiti di tolleranza e la predisposizione di report periodici all’Organo amministrativo, quale responsabile dell’istituzione e dell’esito del processo di gestione dei rischi. Sul piano della governance si segnala l’istituzione di una Funzione indipendente a cui devono essere attribuiti compiti di assistenza e reporting all’Organo amministrativo e di monitoraggio e coordinamento delle attività in materia di sicurezza informatica.
Sul piano di una sana gestione della continuità operativa dei sistemi ICT, conformemente al Regolamento n. 38/2018 che prevede la predisposizione di un piano, si evidenzia come sulla base degli Orientamenti bisogna procedere ad un’analisi circa l’esposizione a gravi interruzioni dell’attività e il loro potenziale impatto quantitativo e qualitativo, nonché una conseguente ideazione dell’infrastruttura ICT che tenga conto dei risultati dell’analisi.
A tal fine è richiesta l’adozione nei sistemi ICT di un processo di change management affinché i cambiamenti introdotti, anche quelli dovuti a situazioni emergenziali o alla mitigazione dei rischi rilevati dall’analisi, siano censiti, valutati, autorizzati e attuati in modo controllato. (R.M.V.)
Il 13 maggio 2021 il Comitato di Sicurezza finanziaria ha trasmesso la Relazione al Parlamento sullo stato dell’azione di prevenzione del riciclaggio e del finanziamento del terrorismo, dando atto della persistenza di vaste aree coperte dall’economia informale, nonché dall’uso del contante, con un connesso rischio di riciclaggio che è stato valutato molto significativo, mentre il rischio di finanziamento del terrorismo è stato valutato abbastanza significativo.
Nello specifico sulla base di 105.789 segnalazioni di operazioni sospette relative al 2019, di cui solo 770 relative al finanziamento del terrorismo, viene evidenziata, con riguardo al rischio di riciclaggio connesso a settori e strumenti innovativi, la centralità del ricorso ai virtual asset in connessione a truffe, frodi informatiche e abusivismo finanziario ed accanto a fenomeni di phishing, di ransomware, di distrazioni di fondi aziendali e di evasione fiscale spesso collegata a frodi nelle fatturazioni.
Il rischio relativo al finanziamento del terrorismo per azioni nel territorio nazionale rimane, invece, principalmente collegato ad un largo utilizzo del contante e ad importi modesti.
Quanto sopra dipende dal tipo di attività jihadiste rilevate in Italia e relativo per lo più alla diffusione di propaganda online ed all’apologia del terrorismo con conseguente capacità dei terroristi singoli o delle piccole cellule di autofinanziarsi facendo ricorso, anche, a fondi di origine lecita.
Per quanto riguarda, infine, il finanziamento del terrorismo internazionale, i casi emersi hanno documentato l'esistenza di reti di supporto finanziario in grado di trasferire in Siria le somme raccolte dai simpatizzanti jihadisti in Europa principalmente attraverso l’hawala o altri sistemi bancari informali, nonché iniziative di fund raising avviate anche sulle piattaforme di messaggistica telematica. (R.M.V.)
Dal Garante Privacy altre misure a tutela dei minori su TIK TOK
In data 12 maggio 2021, il Garante per la protezione dei dati personali, pur riconoscendo gli importanti risultati raggiunti a tutela dei minori, ha richiesto e ottenuto da Tik Tok l’impegno ad adottare ulteriori interventi al fine di tenere gli infratredicenni fuori dalla piattaforma. Tra queste misure appaiono particolarmente significative: la cancellazione, entro 48 ore, degli account segnalati e che risultino, all’esito di verifiche, intestati a utenti al di sotto dei 13 anni di età; l’elaborazione di soluzioni, anche basate sull’intelligenza artificiale, che consentano di minimizzare il rischio che bambini al di sotto dei 13 anni di età utilizzino la piattaforma; il rafforzamento di meccanismi di blocco dei dispositivi utilizzati dagli utenti infratredicenni per impedire l’accesso alla piattaforma; la condivisione con il Garante dei dati e delle informazioni relative all’efficacia delle diverse misure adottate.
Il Garante vigilerà sull’adempimento da parte di Tik Tok degli impegni assunti nell’ambito dei procedimenti ancora in corso nei confronti della piattaforma. (R.M.V.)
4. Segnalazioni bibliografiche
Algeri L., Intelligenza artificiale e polizia predittiva, in Dir. pen. proc., 2021, n. 6, p. 724 ss.
Braschi S., Il ruolo delle reti sociali nel contrasto ai reati commessi all’interno del web. Tendenze evolutive e prospettive di sviluppo, in Rivista di Diritto dei Media, 17 giugno 2021
Baccari G.M., Conti C., La corsa tecnologica tra Costituzione, codice di rito e norme sulla privacy: uno sguardo d’insieme, in Dir. pen. proc., 2021, n. 6, p. 711 ss.
Cajani F., Sequestri di files e bitcoin: i riflessi della dematerializzazione di beni e valute sulla disciplina penal-processualistica italiana, in Dir. pen. proc., 2021, n. 6, p. 735 ss.
Casale P.P., Prima “legge” della sicurezza informatica: “un computer sicuro è un computer spento”, in Arch. pen. web, 2021, n. 2, 26 maggio 2021
Curtotti D., Indagini hi-tech, spazio cyber, scambi probatori tra Stati e Internet provider service e “vecchia Europa”: una normativa che non c’è (ancora), in Dir. pen. proc., 2021, n. 6, p. 745 ss.
Giordano L., La giurisprudenza di legittimità sulle prime applicazioni del processo penale telematico, in questa Rivista, 21 maggio 2021
Governa J., Jihad elettronica e partecipazione nel reato di organizzazione terroristica ex art. 270-bis c.p., in Diritto di Internet, 2021, n. 3, p. 523 ss.
Giuca M., Criptovalute e diritto penale nella prevenzione e repressione del riciclaggio, in Dir. pen. cont. – Riv. trim., 2021, n. 1, p. 150 ss.
Griffo M., Il captatore, tra luoghi e tempo…, in Proc. pen. giust., 2021, n. 3, p. 658 ss.
Leo G., Le indagini sulle comunicazioni e sugli spostamenti delle persone: prime riflessioni riguardo alla recente giurisprudenza europea su geolocalizzazione e tabulati telefonici, in questa Rivista, 31 maggio 2021
Magliulo M.R., Illegittimo il trattenimento prolungato della copia integrale dei dati informatici in caso di sequestro probatorio, in Proc. pen. giust., 2021, n. 3, p. 648 ss.
Nigro R., Il Regolamento europeo sulla prevenzione della diffusione di contenuti terroristici online, in Diritto di Internet, 2021, n. 3, p. 391 ss.
Tomasi L., Diffamazione e illegittimità “convenzionale” della pena detentiva: oltre l’aggravante dell’uso della stampa?, in questa Rivista, 3 maggio 2021
Tondi V., La disciplina italiana in materia di data retention a seguito della sentenza della Corte di giustizia Ue: il Tribunale di Milano nega il contrasto con il diritto sovranazionale, in questa Rivista, 7 maggio 2021
Trogu M., Intercettazioni all’estero mediante captatore informatico: nuovi strumenti, vecchi problemi, in Proc. pen. giust., 2021, n. 3, p. 590 ss.
Salvadori I., Agentes artificiales, opacidad tecnológica y distribución de la responsabilidad penal, in Cuaderno de política criminal, 2021, I, n. 133, p. 137 ss.
Chiara Crescioli
Chiara Greco
Beatrice Panattoni
Rosa Maria Vadalà
Marco Pittiruti
