Scheda  
04 Novembre 2020


Cybercrime: rassegna delle novità (settembre-ottobre 2020)


Chiara Crescioli
Chiara Greco
Beatrice Panattoni
Marco Pittiruti

Rassegna bimestrale di novità in materia di diritto e processo penale e nuove tecnologie


Responsabili scientifici: Prof. Lorenzo Picotti e Prof. Luca Lupária

* In collaborazione con l’Osservatorio Cybercrime dell’Università degli Studi di Verona.

 

1. Novità sovranazionali

L’avvio ufficiale della Procura europea

Il 28 settembre 2020 si è insediata ufficialmente la Procura europea, organismo indipendente dell’Unione europea con sede a Lussemburgo, previsto dall’art. 86 TFUE e istituito dal regolamento (UE) 2017/1939 avente compiti di indagine e persecuzione di reati lesivi degli interessi finanziari europei, compresi frodi, riciclaggio e corruzione, nonché di quelli che siano ad essi strettamente connessi. La Procura è costituita da ventidue componenti, uno per ogni Stato partecipante a detto strumento di cooperazione raffrozata (Austria, Belgio, Bulgaria, Cipro, Croazia, Estonia, Finlandia, Francia, Germania, Grecia, Italia, Lettonia, Lituania, Lussemburgo, Malta, Paesi Bassi, Portogallo, Repubblica ceca, Romania, Slovacchia, Slovenia e Spagna), cui sono rimasti estranei peraltro nove Stati mebri dell’Unione. La Procura europea svolgerà indagini in tutto il territorio dell’Unione ed eserciterà l'azione penale, svolgendo le funzioni di pubblico ministero, dinanzi agli organi giurisdizionali competenti degli Stati membri. Sarà concretamente operativa soltanto a fine 2020 o primi mesi del 2021, per la necessità di atti e provvedimenti organizzativi interni. I suoi componenti avranno un mandato di sei anni non rinnovabile.

Si evidenzia che la Procura europea è in particolare competente ad indagare e perseguire i reati che ledono gli interessi finanziari dell’Unione europea, quali indicati nella direttiva (UE) 2017/1371 sulla protezione degli interessi finanziari dell’Unione, c.d. direttiva PIF, appena recepita dal legislatore italiano col D.lgs. n. 75 del 14 luglio 2020. (C.C.)

 

Corte di Giustizia UE, Grande Sezione, sentenza 15 settembre 2020, cause riunite C-807/18 e 39/19

Questa pronuncia trae origine da due controversie che vedevano opposti la Telenor Magyarország Zrt. e il Nemzeti Média- és Hírközlési Hatóság Elnöke, ovvero il Presidente dell’Ufficio nazionale ungherese dei media e delle comunicazioni, in merito a due decisioni con le quali quest’ultimo aveva ingiunto alla Telenor di porre fine ad alcuni dei suoi servizi di accesso a Internet. Tale organo aveva avviato due procedimenti sanzionatori contro tale società, che commercializzava due pacchetti denominati MyChat e MyMusic. In particolare, si trattava di pacchetti che consentivano ai clienti sottoscrittori rispettivamente di acquistare un volume di dati pari a un gigabit e di utilizzarlo senza restrizioni fino al suo esaurimento accedendo liberamente alle applicazioni e ai servizi disponibili e di ascoltare musica online utilizzando alcune applicazioni e servizi radiofonici. Una volta esaurito il suddetto volume di dati, i clienti sottoscrittori potevano continuare ad utilizzare senza restrizioni alcune applicazioni specifiche, mentre alle altre e ai relativi servizi disponibili erano applicate misure di rallentamento del traffico. La Corte ungherese aveva così sottoposto tramite rinvio pregiudiziale la questione relativa alla compatibilità di tali pacchetti col disposto dell’articolo 3 del regolamento (UE) 2015/2120, che stabilisce misure riguardanti l’accesso a Internet aperto, e il regolamento (UE) n. 531/2012 relativo al roaming sulle reti pubbliche di comunicazioni mobili all’interno dell’Unione.

Con la sentenza qui riportata, la Corte di giustizia dell’Unione Europea evidenzia che l’art. 3 del regolamento (UE) 2015/2120 sancisce il principio di neutralità di Internet, in ragione del quale i fornitori di servizi di accesso a Internet devono trattare tutto il traffico in modo uguale e senza discriminazioni, restrizioni o interferenze, indipendentemente dalle applicazioni o dai servizi utilizzati. Sono possibili solo misure ragionevoli di restrizione del traffico, che per essere tali devono però essere trasparenti, non discriminatorie e proporzionate, non basate su considerazioni commerciali, ma su differenze tecniche oggettive tra alcune categorie di traffico, non riguardare il monitoraggio dei contenuti e non essere mantenute più a lungo del necessario. Il co. 3 dell’art. 3 prevede inoltre che i fornitori di servizi di accesso a Internet non possano applicare misure di gestione del traffico che vadano oltre quelle sopra indicate e, in ogni caso devono astenersi dal bloccare, rallentare, modificare, limitare, interrompere, degradare o discriminare specifiche applicazioni, categorie di applicazioni, servizi o categorie di servizi se non per motivi tecnici, non su considerazioni di ordine commerciale.

Inoltre, il Considerando 7 del regolamento 2015/2120 prevede che fornitore e utente possano concludere degli accordi sulle condizioni e sulle caratteristiche commerciali e tecniche dei servizi di accesso a Internet che il primo deve fornire al secondo, come il prezzo da pagare e il volume di dati nonché la velocità corrispondenti, che però non devono limitare l’esercizio dei diritti degli utenti finali né permettere di eludere le disposizioni di detto regolamento che proteggono l’accesso a un’Internet aperta. Diverse sono, invece, le pratiche commerciali di cui all’articolo 3, paragrafo 2, del regolamento 2015/2120, adottate dai fornitori di servizi di accesso a Internet e che, contrariamente agli accordi, non si traducono un incontro di volontà tra tale fornitore e un utente finale. Tali pratiche commerciali possono includere la condotta di un fornitore di servizi di accesso a Internet consistente nel proporre varianti o combinazioni specifiche di tali servizi ai suoi potenziali clienti, al fine di rispondere alle aspettative e alle preferenze di ognuno di essi, e, se del caso, di concludere con ciascuno di essi un accordo individuale. In ogni caso, però, al pari degli accordi, tali pratiche commerciali non devono limitare l’esercizio dei diritti degli utenti finali, né permettere di eludere le disposizioni di tale regolamento che proteggono l’accesso a un’Internet aperta.

Pertanto, la Corte ha ritenuto che i pacchetti in questione, in quanto contenenti accordi mediante i quali una volta esaurito il volume di dati compresi nel piano tariffario acquistato consentono ai sottoscrittori un accesso senza restrizioni solo a talune applicazioni e a taluni servizi soggetti a «tariffa zero», comportino una limitazione all’esercizio dei diritti di cui all’articolo 3, paragrafo 1, del regolamento 2015/2120, trattandosi di limitazione al traffico non ragionevole perché basata su motivi di ordine commerciale. (C.C.)

 

XXXI relazione annuale sulla tutela degli interessi finanziari dell'Unione europea e sulla lotta contro la frode (2019)

In data 3 settembre 2020 è stata pubblicata la Trentunesima relazione annuale sulla tutela degli interessi finanziari dell'Unione europea e sulla lotta contro la frode, relativa all’anno 2019, a cura della Commissione europea. Con particolare riferimento all’utilizzo degli strumenti informatici per il contrasto alle frodi, la relazione effettua dapprima una ricognizione degli strumenti legislativi esistenti, ovvero il regolamento (CE) n. 515/97 sulla mutua assistenza amministrativa in materia doganale, che definisce le modalità di cooperazione tra gli organi amministrativi degli Stati membri e tra essi e la Commissione europea nella lotta alle frodi doganali, in particolare sullo scambio reciproco di informazioni. Nella relazione la Commissione evidenzia che di tale regolamento è stato avviato nel 2019 un processo di valutazione. Tale regolamento è poi stato modificato dal regolamento (UE) 2015/1525, che ha introdotto altre due banche dati, ossia il repertorio dei messaggi sullo status dei container (CSM, Container Status Messages) e il repertorio importazioni, esportazioni e transito (IET), e fa progredire il quadro di cooperazione accelerando le indagini dell’OLAF e facilitando l’uso delle informazioni ottenute sulla base dell'assistenza reciproca come prove nei procedimenti giudiziari nazionali.

La Commissione descrive poi il Sistema d’informazione antifrode (Anti-Fraud Information System, AFIS), ovvero una serie di applicazioni informatiche antifrode gestite dalla Commissione europea destinate a consentire lo scambio tempestivo e sicuro di informazioni relative alle frodi tra le amministrazioni competenti nazionali e dell’UE, nonché la conservazione e l'analisi di dati pertinenti. Inoltre, riporta le Operazioni doganali congiunte (ODC) coordinate o sostenute dall’OLAF nel 2019, che oltre a fornire ai paesi coinvolti il sostegno necessario per l’esecuzione di azioni coordinate attraverso la sua infrastruttura tecnica permanente e i suoi strumenti informatici e di comunicazione, ha messo a disposizione anche analisi strategiche e un sostegno amministrativo e finanziario.

Con riguardo ai criteri relativi ai rischi finanziari, la Commissione dà atto di aver adottato nel maggio 2018 la decisione di esecuzione n. C (2018) 3293, che stabilisce misure per l'applicazione uniforme dei controlli doganali stabilendo criteri e norme comuni in materia di rischi finanziari. Poco più avanti descrive il funzionamento del sistema comune doganale di gestione dei rischi (CRMS), concepito per mettere a disposizione un meccanismo rapido e di facile utilizzo per lo scambio diretto di informazioni relative ai rischi tra funzionari operativi e centri di analisi dei rischi negli Stati membri. Di esso fa parte il modulo d'informazione sul rischio (RIF), che viene compilato online e messo immediatamente a disposizione di tutti gli uffici doganali collegati e garantisce che le informazioni sui rischi nuovi e significativi individuati siano distribuite il più rapidamente possibile agli uffici doganali operativi in tutti gli Stati membri.

La Commissione descrive poi i diversi progetti esistenti per consentire un approccio europeo integrato volto a rafforzare la gestione dei rischi doganali e sostenere controlli efficaci da parte degli Stati membri. In particolare, il progetto INTELF4CUSTAF, istituito nel 2018 dall’OLAF con la collaborazione del Centro comune di ricerca, e i cinque progetti pilota introdotti nel 2019, che hanno riunito esperti degli Stati membri interessati con l'obiettivo di condividere esperienze e analisi di prova, alcuni dei quali hanno sviluppato  approcci nuovi e più sperimentali quali un tentativo di rilevare sistematicamente gli operatori elettronici (eTraders) utilizzando dichiarazioni DAU (documento amministrativo unico) oppure un nuovo approccio volto a individuare container potenzialmente sospetti in base al peso. Un ulteriore progetto pilota sulla capacità di analisi congiunta destinato ad analizzare i dati sui flussi commerciali è stato attuato nel 2019 l’OLAF e dei servizi della Commissione interessati: l’analisi ha individuato rischi elevati di dichiarazione errata per diversi prodotti oggetto di misure di difesa commerciale che meritavano un seguito a livello operativo, quale la diffusione di informazioni sui rischi agli Stati membri (RIF).

Per quanto riguarda le iniziative assunte dai singoli Stati membri, nel settore delle frodi doganali gli Stati membri hanno segnalato otto misure. Tre hanno natura operativa, quali la condivisione delle migliori prassi nel settore dei controlli successivi allo sdoganamento tra i paesi del gruppo di Visegrad, l’introduzione di una gestione dei rischi basata sulle persone fisiche e sui prodotti e l’introduzione di un sistema di profilazione e segmentazione degli operatori economici. Due Stati membri hanno comunicato una misura organizzativa, ad esempio la circolare “Fascicoli OLAF sulle risorse proprie tradizionali (RPT)” o l’istituzione di una direzione di pianificazione e coordinamento operativi. Altri due Stati membri hanno comunicato misure amministrative, segnatamente il rilevamento di merci dichiarate in modo falso e misure nel settore delle entrate fiscali. Nel settore delle frodi fiscali, invece, gli Stati membri hanno comunicato cinque misure. Tre di esse hanno natura operativa: la Croazia ha riferito di aver organizzato attività di formazione tecnica sugli “strumenti per il monitoraggio e l’audit del commercio elettronico e l'acquisizione di strumenti”, l’Estonia ha aumentato le ispezioni dei subappaltatori nel settore delle costruzioni, mentre l’Italia ha introdotto applicazioni informatiche per contrastare le frodi in materia di IVA. La Polonia ha inoltre segnalato due misure legislative nel settore delle frodi fiscali riguardanti tra l'altro modifiche della legge in materia di IVA.

Infine, la Commissione evidenzia che tanto per le irregolarità fraudolente quanto per quelle non fraudolente, si è registrata una diminuzione del numero di casi segnalati rispetto alla media quinquennale, accompagnata tuttavia da un aumento degli importi corrispondenti. (C.C.)

 

Proposta di Regolamento europeo relativo a una deroga temporanea a talune disposizioni della direttiva 2002/58/CE (c.d. direttiva e-privacy) per la lotta contro gli abusi sessuali sui minori online, COM(2020) 568 final

La Commissione osserva come i fornitori dei servizi di telecomunicazioni online (in particolare fornitori di servizi di comunicazione interpersonale indipendenti dal numero quali i servizi di messaggistica e di posta elettronica basati sul web nonché la telefonia via Internet) siano tenuti a rispettare le prescrizioni della cd. ePrivacy Directive (direttiva 2002/58/EC) in tema di condizioni necessaria per processare i dati relativi alle comunicazioni. Tale rispetto rischia però di impedire il diffondersi di pratiche di collaborazione dal privato al pubblico in relazione alla segnalazione di fenomeni di abuso dei minori online, collaborazione che già diverse imprese hanno invece avviato. In particolare, alcuni provider utilizzano attualmente tecnologie ad hoc volte a rilevare condotte di abuso dei minori sui propri server, riportando tali condotte alle autorità competenti e provvedendo a rimuovere il materiale “incriminato”. Queste pratiche, che la Commissione incoraggia, rischiano però di entrare in rotta di collisione con le prescrizioni della direttiva ePrivacy. A tal proposito, la Commissione ha avanzato una Proposta di Regolamento europeo che prevede una deroga temporanea a talune disposizioni della direttiva 2002/58/CE. Con tale regolamento la Commissione propone di stabilire norme temporanee e rigorosamente limitate che derogano agli obblighi specifici di cui all’articolo 5, paragrafo 1, e all’articolo 6 della menzionata direttiva, i quali non si applicherebbero, a certe condizioni, al trattamento dei dati personali e di altro tipo connesso alla fornitura di servizi di comunicazione interpersonale indipendenti dal numero, in quanto sia strettamente necessario per l’uso della tecnologia al solo scopo di rimuovere materiale pedopornografico e di individuare o segnalare gli abusi sessuali sui minori online alle autorità competenti. Il Regolamento si applicherebbe dal 21 dicembre 2020 fino al 31 dicembre 2025. (C.G.) (B.P.)

 

Linee guida dell’European Data Protection Board sull’interpretazione di alcuni aspetti della disciplina europea in materia di protezione dei dati personali

Sono state adottate e aggiornate le linee guida dell’European Data Protection Board sull’interpretazione di alcuni aspetti della normativa europea in materia di protezione dei dati personali. Il 7 luglio 2020 sono state aggiornate le linee guida sulla disciplina relativa al diritto alla cancellazione di cui all’art. 17 del Regolamento europeo per la protezione dei dati personali 679/2016 (GDPR), con riguardo alle sole richieste avanzate verso i motori di ricerca online. In particolare, le linee guida si occupano di fornire indicazioni su: (i) i motivi (cumulabili tra loro) per cui l’interessato può avanzare una richiesta di cancellazione dei propri dati personali ad un motore di ricerca, elencati all’art. 17 § 1 GDPR; (ii) le eccezioni che il motore di ricerca può opporre all’interessato che formula richiesta di cancellazione, elencate all’art. 17 § 3 GDPR.

Il 2 settembre 2020 sono state invece adottate le linee guida che specificano i concetti, per come definiti all’art. 4 del GDPR, di: (i) titolare (controller) del trattamento, normalmente un’organizzazione, ma può trattarsi anche di persona fisica, che decide determinati elementi chiave, come le finalità e i mezzi, del trattamento dei dati, riconosciuto come tale dalla legge o sulla base di un’analisi degli elementi di fatto o delle circostanze del caso; (ii) contitolari (joint controller) del trattamento, figura disciplinata all’art. 26 del GDPR e che riguarda il caso in cui più entità collaborino nella determinazione dei fini e dei mezzi del trattamento, il quale non sarebbe possibile senza la partecipazione di entrambe le parti; (iii) responsabile (processor) del trattamento, soggetto che tratta i dati personali per conto e secondo le indicazioni del titolare del trattamento; (iv) la relazione che sussiste tra i suddetti soggetti. Si tratta di concetti che delineano i ruoli cruciali su cui si articola la disciplina europea in materia di protezione dei dati personali. (B.P.)

 

Pubblicata la Relazione del Consiglio d’Europa sulle soluzioni digitali per la lotta al COVID-19

Nell’ottobre 2020 è stato pubblicato a cura del Consiglio d’Europa il Report sulla protezione dei dati 2020.

La prima parte si focalizza sui provvedimenti legislativi adottati per il contrasto della pandemia da Covid-19 e analizza il loro impatto sui diritti fondamentali alla vita privata e alla protezione dei dati. In particolare, si evidenzia che gli approcci principali sono stati tre, ovvero: l’adozione di misure generali emergenziali volte a conferire al Governo poteri speciali, l’adozione di misure emergenziali in specifici settori quali la salute pubblica e l’adozione di misure d’emergenza prive di specifica base legislativa. Inoltre, si sottolinea che i principi fondamentali durante lo stato di emergenza sono: principio generale dello Stato di diritto, necessità, proporzionalità, temporaneità, controllo effettivo parlamentare e giudiziario, prevedibilità, leale cooperazione tra le istituzioni statali. Il Consiglio evidenzia che misure quali quarantene obbligatorie e blocchi che limitano la libertà di movimento possono essere necessarie per combattere il Covid-19, ma non sempre rispettano i principi sopra indicati. Alcuni paesi hanno invocato la base giuridica dell’interesse pubblico alla salute per introdurre le scansioni della temperatura obbligatorie presso frontiere, aeroporti e luoghi pubblici o la registrazione obbligatoria dei dati di contatto per le visite a bar e ristoranti ai fini del tracciamento dei contatti. Tuttavia, la Commissione evidenzia che per invocare con successo questa base giuridica, il paese deve garantire che il trattamento sia strettamente necessario a tale scopo. Invece, l’utilizzo dei dati delle telecomunicazioni richiede un'attenzione specifica, perché i dati delle telecomunicazioni non sono solo protetti dalla normativa generale sulla protezione dei dati, ma anche da normative specifiche che garantiscono la riservatezza delle comunicazioni. Per questo motivo anche il trattamento di dati aggregati e quindi anonimi richiede una legislazione dettagliata, poiché la creazione di tali statistiche richiede un intervento degli operatori di telecomunicazioni per il trattamento dei dati di localizzazione individuale ovvero per una finalità che non fa parte della loro competenza iniziale. In considerazione dei rischi per la protezione dei dati per le persone, i paesi non possono semplicemente fare affidamento sul motivo dell’interesse pubblico senza una legislazione specifica. Peraltro, in stato di emergenza si verificano situazioni i cui effetti non sono prevedibili e quindi risulta difficile stabilire la proporzionalità dei rimedi assunti, per cui il bilanciamento tra salute e privacy deve tenere in considerazione l’imprevedibilità degli esiti della misura adottata. Si evidenzia che in ogni caso la reale efficacia di molte misure deve ancora essere testata ed esaminata e i dibattiti sulla proporzionalità dell'interferenza con il diritto alla protezione dei dati, alla luce dell'efficacia effettiva della misura stessa, sono ancora in corso.  La Commissione sottolinea che la trasparenza risulta essere il principio-chiave nello stato di emergenza, in quanto restituisce ai rimedi emergenziali la dignità giuridica dell’interazione con l’interessato. Trasparenza che va intesa come partecipazione alla revisione del procedimento tecnologico o algoritmico a fondamento della app di tracciamento oppure partecipazione alla creazione della relativa intelligenza artificiale. In tale contesto diventa necessario pubblicare il codice sorgente dell’applicazione, affinché possa essere facilmente verificato e quindi controllato, fatto che può anche aiutare a creare fiducia nel sistema, come aspetto importante di trasparenza e fornisce strumenti di controllo del rispetto dei diritti alla privacy e alla protezione dei dati. La Commissione sottolinea poi che la fiducia in tali soluzioni digitali è fondamentale per il livello di adozione e quindi per l'efficacia del sistema. Gli utenti devono essere certi che il loro diritto ai dati personali sarà rispettato e la mancanza di chiarezza nello scopo specifico, messaggi contrastanti sui motivi legali, mancata applicazione di una rigorosa minimizzazione dei dati e periodi di conservazione non fissi o molto lunghi sembrano essere tra le preoccupazioni comuni degli utenti.

La seconda parte del Report, invece, elaborata a seguito di questionari specifici inviati ai 55 Paesi, si concentra sull’uso delle applicazioni di tracciamento digitale dei contatti e degli strumenti di monitoraggio. In particolare, emerge che le soluzioni aigitali anti-Covid-19 utilizzate sono costituite essenzialmente dalle app, che si distinguono tra quelle a raccolta centralizzata e quelle a raccolta decentralizzata, e altri strumenti digitali, ovvero: siti web per fornire notizie e informazioni generali sulla pandemia, per aiutare le persone con autodiagnosi dei sintomi, per fornire istruzioni per evitare infezioni e sull'accesso ai servizi sanitari, per creare mappe per aiutare le persone a evitare gli hotspot dei virus, per attuare misure di contenimento, per mappare i modelli di circolazione dei cittadini, per creare statistiche giornaliere dei casi registrati, per registrare il passaggio fisico dei visitatori all'ingresso e ai punti di controllo, per consentire agli utenti di inviare segnalazioni online sulla violazione delle regole da parte di altre persone e per fornire il controllo della folla. (C.C.)

 

Pubblicata l’edizione 2020 dell’Internet Organized Crime Threat Assessment, effettuata da Europol (5 ottobre 2020)

Il Report dà conto di come il cybercrime si sia evoluto nell’ultimo anno, dato reso particolarmente evidente dalla pandemia Covid-19 e dal modo in cui i cyber-criminali hanno approfittato delle nuove vulnerabilità generate dalla pandemia stessa. Il Report dà però anche atto della circostanza che la pandemia non ha “generato” nuovi rischi, quanto piuttosto ha esacerbato quelli già esistenti, tenuto conto del sempre maggior numero di persone in modalità di smart working.

Uno dei settori in cui tale amplificazione si è fatta sentire con maggiore intensità è quello dell’abuso e dello sfruttamento dei minori online. Inoltre, a causa dell’inadeguatezza delle misure di sicurezza offerte dagli operatori del settore, nonché a causa della poca consapevolezza degli utenti di Internet, si è assistito ad un aumento dei fenomeni di cd. social engineering e phishing.

In forte aumento, poi, sono anche i fenomeni di “SIM swapping”, vale a dire l’accesso ad account personali contenenti vaste quantità di dati sensibili, e di “business email compromise”, in cui target dell’attività criminosa sono i professionisti e le imprese. I dati illecitamente appresi vengono poi utilizzati per ricattare, sempre via web, le vittime dell’illecita apprensione, ed ottenere da queste indebiti vantaggi (ransomware). Da ultimo, si osserva, altresì, un aumento delle ipotesi di frodi online relative al settore degli investimenti e un sempre più frequente ricorso ai malware.

Gli attori di questo panorama criminale variano da vere e proprie associazioni per delinquere, sofisticate e costruite su base para-imprenditoriali, a lupi solitari che operano attraverso strumenti a volte rudimentali. Un elemento comune alla maggior parte degli attori, e che caratterizza in modo particolare coloro che operano sul cd. darkweb, è la sempre maggior attenzione dedicata alla creazione di veri e propri sistemi di sicurezza, che impediscano alle autorità di identificarli e perseguirli.

Il report identifica, infine, gli ‘ingredienti chiave’ nella lotta a tali forme di criminalità: la condivisione di informazioni tattiche ed operative, a prescindere dal “tipo” di cybercrime; la tempestività, da parte degli operatori del settore, nel condividere suddette informazioni; la creazione di una cultura di trasparenza ed accettazione con riferimento alle imprese e ai soggetti che cadono vittime del cybercrime; campagne di prevenzione e sensibilizzazione; processi di capacity building e creazione di task forces sovranazionali. (C.G.)

 

Pubblicato il testo provvisorio del secondo protocollo addizionale alla Convenzione di Budapest elaborato dal T-CY Committee (20 ottobre 2020)

Il Drafting Group del secondo Protocollo addizionale alla Convenzione di Budapest sul Cybercrime si è tenuto all’inizio di settembre 2020. L’approccio di fondo, condiviso dai membri del gruppo, è che Internet debba essere concepito come uno spazio dedicato alla libera circolazione delle informazioni, e dove sono le restrizioni a dover essere chiaramente individuate dalla legge, proporzionate, e soggette ad adeguate garanzie.

Attualmente è già stato discusso il contenuto delle disposizioni relative a estensione delle perquisizioni, operazioni sotto copertura effettuate attraverso sistemi informatici, disclosure accelerata in casi di emergenza, richiesta di informazioni sul Domain name registration e data protection.

Tali proposte sono state sottoposte all’assemblea plenaria del drafting group che, in data 20 ottobre 2020, ha pubblicato un testo provvisorio delle disposizioni relative a linguaggio delle richieste, videoconferenza, squadre investigative comuni, disclosure accelerata di dati contenuti su computer in caso di emergenza, richieste di mutua assistenza in caso di emergenza, disclosure diretta delle informazioni dei subscriber, esecuzione degli ordini di produzione accelerata di data ricevuti da una delle altre parti contraenti. (C.G)

 

Pubblicato lo studio sulla fattibilità di uno strumento del Consiglio d’Europa volto a disciplinare intelligenza artificiale e diritto penale, preparato dall’European Committee on Crime Problems (settembre 2020)

Lo studio analizza le questioni giuridiche, specie nel campo del diritto penale, che scaturiscono dal sempre maggiore impiego dell’intelligenza artificiale – basti pensare ai sistemi di guida automatici, ai robot operanti nel campo della medicina o delle transazioni finanziarie – nella vita quotidiana.

Pur nell’assenza di strumenti di cooperazione giuridica internazionale che affrontino direttamente tali tematiche, vi sono, nondimeno, alcuni Stati che hanno adottato discipline di settore volte a regolamentare l’automazione e l’intelligenza artificiale, e che in taluni casi affrontano anche la tematica della responsabilità. L’adozione di diversi paradigmi di responsabilità, mutevoli di Stato in Stato, però, mette in pericolo sia la certezza del diritto sia l’esigenza di assicurare agli individui una tutela effettiva.

Per tale ragione, il Comitato dei Ministri del Consiglio d’Europa ha affidato allo European Committee on Crime Problems il compito di: I) esaminare le discipline penali nazionali ed internazionali relative all’uso di automi o intelligenza artificiale; II) determinare in quali situazioni alcuni tipi di condotte sono, o dovrebbero essere, criminalizzate; III) esaminare lo stato dell’arte degli strumenti giuridici internazionali al fine di individuare standard comuni relativi agli aspetti penali delle nuove tecnologie.

Lo studio in parola si occupa pertanto delle tematiche afferenti ai principali problemi che vengono in considerazione con riferimento allo sviluppo dell’intelligenza artificiale e della conseguente responsabilità penale, interrogandosi, da un lato, circa le fonti che si sono occupate di disciplinare la materia e, dall’altro lato, sull’opportunità di adottare uno strumento internazionale che si occupi di intelligenza artificiale e diritto penale.

Nella prospettiva privilegiata dallo studio, emerge l’opportunità, corrispondente alla volontà degli Stati Membri del Consiglio d’Europa, di negoziare uno strumento internazionale ad hoc che possa servire da stimolo anche per il successivo sviluppo delle legislazioni nazionali. Si invita pertanto a procedere all’organizzazione di una conferenza internazionale di modo che i negoziati possano prendere concretamente vita. (C.G.)

 

2. Novità giurisprudenziali nazionali

Corte di Cassazione, sez. II penale, sentenza 22 ottobre 2020 (ud. 22 luglio 2020), n. 29362/2020 – Pres. Giovanna Verga, Rel. Fabio Di Pisa

Con questa pronuncia, la Corte di cassazione ha offerto importanti chiarimenti circa la possibilità di impiegare il captatore informatico per apprendere conversazioni svoltesi utilizzando una rete wi-fi estera. A fronte della doglianza del difensore del ricorrente, che riteneva inutilizzabili i risultati delle captazioni in mancanza dell’attivazione della procedura rogatoriale di cui all’art. 729 c.p.p., poiché le conversazioni si erano svolte estero su estero utilizzando un ponte telefonico canadese, la Corte ha precisato che, ai fini dell’utilizzabilità dei risultati dell’attività investigativa posta in essere mediante trojan, rilevano soltanto il luogo in cui il virus era stato inizialmente inoculato sull’attrezzatura informatica in uso agli indagati e il locus di ascolto delle conversazioni captate.

In sintesi, il caposaldo argomentativo su cui poggia la pronuncia attiene alla circostanza che i sistemi di captazione in discorso non sono costituiti solamente dal malware che viene inoculato, ma anche dalle piattaforme necessarie per il loro funzionamento, che ne consentono il controllo e la gestione da remoto e che ricevono i dati inviati dal captatore in relazione alle funzioni investigative attivate. Dunque, nella prospettiva privilegiata dalla Corte, «la registrazione della conversazioni tramite wifi sito in Canada [h]a costituito una fase intermedia di una più ampia attività di captazione iniziata ed oggetto registrazione, nella sua fase finale e conclusiva, sul territorio italiano». Invero, «al di là dei dettagli tecnici, ciò che rileva è che, in ultima analisi, l’ascolto delle conversazioni avvenga in Italia su apparecchi collegati ad un gestore italiano e la cui captazione ha avuto origine sul territorio italiano». Nel caso di specie, poiché il virus era stato inoculato quando la strumentazione era collocata nel territorio italiano, e sempre in Italia era collocata la centralina di ricezione delle registrazioni, non era necessaria alcuna rogatoria.

A sostegno del principio di diritto espresso, i giudici di legittimità hanno richiamato quel costante orientamento giurisprudenziale secondo cui l’intercettazione di comunicazioni tra presenti eseguita a bordo di una autovettura attraverso una microspia installata nel territorio nazionale, dove si svolge altresì l’attività di captazione, non richiede l’attivazione di una rogatoria per il solo fatto che il suddetto veicolo si sposti anche in territorio straniero ed ivi si svolgano alcune delle conversazioni intercettate. Tali considerazioni, secondo la Suprema Corte, sarebbero pienamente mutuabili sul terreno della captazione mediante virus a causa della natura itinerante dello strumento investigativo, giacché l’attività di captazione segue tutti gli spostamenti nello spazio dell’utilizzatore.

Conformi: con riferimento all’ipotesi di captazioni eseguite in territorio estero su un’autovettura attraverso una microspia installata nel territorio nazionale, Corte di Cassazione, sez. II penale, sentenza 30 novembre 2016 (ud. 4 novembre 2016), n. 51034/2016, Pres. Giacomo Fumu, Rel. Geppino Rago.

Per approfondire: Bene T., “Il re è nudo”: anomie disapplicative a proposito del captatore informatico, in Arch. pen. web, 2019, n. 3;  Bontempelli M., Il captatore informatico in attesa della riforma, in Dir. pen. cont., 20 dicembre 2018; Calavita O., L’odissea del trojan horse, in Dir. pen. cont., 2018, n. 11, p. 45 ss.; Giordano L., Presupposti e limiti all’utilizzo del captatore informatico: le indicazioni della Suprema Corte, in questa Rivista, 2020, n. 4, p. 109 ss.; Pittiruti M., L’apprensione all’estero della prova digitale, in Dimensione tecnologica e prova penale, a cura di L. Lupària, L. Marafioti e G. Paolozzi, Torino, 2019, p. 205 ss. (M.P.)

 

Corte di Cassazione, sez. I penale, sentenza 20 ottobre 2020 (ud. 25 settembre 2020), n, 28989/2020 – Pres. Angela Tardio, Rel. Monica Boni

In tema di captazioni eseguite mediante trojan, è congrua la motivazione del decreto autorizzativo, soggetto alla disciplina dettata dall’art. 13 del d.l. n. 152 del 1991, che dia atto della necessità del mezzo investigativo in parola in ragione dell’assenza di fonti informative dirette e di altri strumenti d’indagine esperibili. Più in dettaglio, nell’ottica della Suprema Corte, il rilievo, contenuto nel decreto autorizzativo, che i risultati investigativi non siano «diversamente ottenibili da dialoghi telefonici o dalla spontanea collaborazione di persone a conoscenza dei fatti, trinceratesi dietro un silenzio omertoso», assolve compiutamente all’onere motivazionale di cui all’art. 267 c.p.p., posto che «le esigenze investigative di captazione anche di immagini a fini comunicativi senza limitazioni di luoghi e tempi si ricavano dall’infruttuosità di altri mezzi di ricerca della prova, quali le ordinarie intercettazioni telefoniche e l’escussione di fonti dichiarative».

Per approfondire: Filippi L., Intercettazioni: habemus legem!, in Dir. pen. proc., 2020, n. 4, p. 453 ss.; Giunchedi F., Appunti su alcune criticità della nuova disciplina sulle intercettazioni, in Arch. pen., 2018, suppl. al n. 1, p. 513 ss.; Orlandi R., Usi investigativi dei cosiddetti captatori informatici. Criticità e inadeguatezza di una recente riforma, in Riv. it. dir. proc. pen., 2018, p. 538 ss.; Palmieri L., La nuova disciplina del captatore informatico tra esigenze investigative e salvaguardia dei diritti fondamentali. Dalla sentenza “Scurato” alla riforma sulle intercettazioni, in Dir. pen. cont., 2018, n. 1, p. 59  ss. (M.P.)

 

Corte di Cassazione, sez. III penale, sentenza 13 ottobre 2020 (ud. 10 settembre 2020), n. 28454/2020 – Pres. Giulio Sarno, Rel. Antonella Di Stasi

La Suprema Corte ha ribadito che integra il tentativo del reato di atti sessuali con minorenne ex art. 609-quater c.p. la programmazione concreta di un incontro col minore di anni quattordici con esplicita richiesta di rapporto sessuale, trattandosi di condotta idonea ed univoca diretta al compimento di atti sessuali col minore, così come l’instaurazione col minore di un intenso rapporto telefonico di natura esclusivamente sessuale, con richieste di invio di fotografie a sfondo pornografico e proposte di incontri per consumare le pratiche sessuali oggetto delle conversazioni telefoniche, con la promessa di pagare il prezzo del viaggio in treno per raggiungere il luogo dell’incontro. Tale condotta non integra, invece, gli estremi del reato di adescamento di minori ex art. 609-udiecies c.p., poiché la norma in questione contiene una clausola di riserva in forza della quale il reato di adescamento di minori si configura soltanto quando la condotta non integra gli estremi del reato-fine, ovvero l’art. 609-quater c.p., neanche nella forma tentata.

Conformi: Corte di Cassazione, sez. III penale, sentenza 30 luglio 2013 (ud. 11 aprile 2013), n. 32926/2013 – Pres. Claudia Squassoni, Rel. Chiara Graziosi; Corte di Cassazione, sez. III penale, sentenza 22 febbraio 2017 (ud. 29 settembre 2016), n. 8691/2016 – Pres. Aldo Finale, Rel. Giuseppe Riccardi

Per approfondire: Salvadori I., L’adescamento di minori. Il contrasto al child-grooming tra incriminazione di atti preparatori ed esigenze di garanzia, Torino, 2018; Boggiani M., L’adescamento di minorenni, in Cybercrime, a cura di A. Cadoppi, S. Canestrari, A. Manna e M. Papa, Torino, 2019, p. 599 ss. (C.C.)

 

Corte di Cassazione, sez. II penale, sentenza 25 settembre 2020 (ud. 17 settembre 2020), n. 26807/2020 - Pres. Domenico Gallo, Rel. Giuseppe Coscioni

La Cassazione ha ritenuto che anche le valute virtuali possano essere soggette alla normativa in materia di servizi finanziari nel caso in cui la vendita di bitcoin venga reclamizzata come una vera e propria proposta di investimento, con tanto di pubblicità su di un sito Internet contenente informazioni idonee a mettere i risparmiatori in grado di valutare se aderire o meno all’iniziativa. Pertanto, in tal caso si devono rispettare gli adempimenti prescritti in materia di servizi finanziari di cui agli artt. 91 ss. T.U.F., in mancanza dei quali sussiste il reato di abusivismo finanziario di cui all’art. 166, comma 1, lett. c) TUF.

Per approfondire: Vadalà R.M., Criptovalute e cyberlaundering: novità antiriciclaggio nell’attesa del recepimento della Direttiva (UE) 2018/1673 sulla lotta al riciclaggio mediante il diritto penale, in questa Rivista, 2020; Picotti L., Profili penali del Cyberlaundering: le nuove tecniche di riciclaggio, in Riv. trim. dir. pen. econ., 2018, n. 3-4, p. 590 ss; Plantamura V., Il cybericiclaggio, in Cybercrime a cura di A. Cadoppi, S. Canestrari, A. Manna e A. Papa, Torino, 2019, p. 859 ss.; Capaccioli S., Criptovalute e bitcoin: un’analisi giuridica, Milano, 2015; Picotti L. Rilevanza penale degli obblighi di registrazione della clientela in ambito bancario nella normativa antiriciclaggio, in RGEA, 2010, n. 8, p. 163; Sturzo L., Bitcoin e riciclaggio 2.0., in Dir. pen. cont. (C.C.)

 

Corte di Cassazione, sezione V penale, sentenza 11 settembre 2020 (ud. 9 luglio 2020), n. 25944/2020 - Pres. Maria Vessichelli, Rel. Paola Borrelli

Integra il reato di accesso abusivo ex art. 615 ter c.p. la condotta di accesso e mantenimento in un sistema telematico protetto commessa da un soggetto autorizzato in violazione dei limiti e dei fini connessi alla propria autorizzazione, anche se si tratta di condotta realizzata prima dell’arresto delle Sezioni Unite del 2017 (Cass. n. 41210 del 18/05/2017), che ha risolto in senso positivo il contrasto giurisprudenziale sorto in merito alla rilevanza penale di tale genere di condotta, precisando la direzione esegetica assunta già dalle stesse Sezioni Unite in una precedente sentenza del 2011 (Cass. n. 4694 del 27/10/2011), per cui non vi è stata alcuna innovazione giurisprudenziale eccentrica rispetto alle precedenti linee interpretative elaborate anche nell’ambito delle Sezioni semplici.

La Suprema Corte, uniformandosi alla giurisprudenza sul punto (cfr. da ultimo Cass. sez. un. n. 8544 del 24/19/2019), conferma quindi che non vi è overruling in contrasto con l’art. 7 CEDU in quanto l’interpretazione colpevolista era già emersa precedentemente alla commissione del fatto nell’ambito della giurisprudenza di legittimità.

Conformi: Corte di Cassazione, sez. V penale, sentenza 6 agosto 2018 (ud. 24 aprile 2018), n. 37857/2018 – Pres. Maria Vessichelli, Rel. Rosa Pezzullo.

Per approfondire: Flor R., La legge penale nello spazio, fra evoluzione tecnologica e difficoltà applicative, in Cybercrime a cura di A. Cadoppi, S. Canestrari, A. Manna e A. Papa, Torino, 2019, p. 142 ss.; Salvadori I., I reati contro la riservatezza informatica, in Cybercrime a cura di A. Cadoppi, S. Canestrari, A. Manna e M. Papa, Torino, 2019, p. 656 ss.; Flor R., La condotta del pubblico ufficiale fra violazione della voluntas domini, “abuso” dei profili autorizzativi e “sviamentodi poteri”, in Dir. Pen. Proc., 2018, n. 4, p. 506 ss.; Flor R., Verso una rivalutazione dell’art. 615-ter c.p.? in Dir. Pen. Cont. – Riv. Trim., 2011, p. 126 ss.; Salvadori I., Quando un insider accede abusivamente ad un sistema informatico o telematico? Le Sezioni Unite precisano l’ambito di applicazione dell’art. 615-ter c.p., in Riv. Trim. Dir. Pen. Economia, 2012, 369 ss.; Salvadori I., L’accesso abusivo ad un sistema informatico o telematico. Una fattispecie paradigmatica dei nuovi beni giuridici emergenti nel diritto penale dell’informatica, in L. Picotti (a cura di), Tutela penale della persona e nuove tecnologie, Padova, 2013, 125 ss.; Picotti L., Sistematica dei reati informatici, tecniche di formulazione legislativa e beni giuridici tutelati, in Id. (a cura di), Il diritto penale dell’informatica nell’epoca di Internet, Padova, 2004. (B.P.)

 

Corte di Cassazione, sez. III Penale, sentenza 8 settembre 2020 (ud. 2 luglio 2020), n. 25266/2020 - Pres. Elisabetta Rosi, Rel. Ubalda Macrì

Con questa sentenza, la Suprema corte ha ritenuto che la condotta di colui che, dopo aver inviato ad una ragazza minorenne una serie di messaggi di whatsapp allusivi e sessualmente espliciti, l’ha costretta con minacce a inviargli a sua volta una foto senza reggiseno nonché a commentare la foto da lei ricevuta ritraente il membro maschile, propspettandole altrimenti di pubblicare la chat su instagram e su pagine hot, integri il reato di violenza sessuale aggravata di cui agli artt. 609-bis e 609-ter c.p. In particolare, ha sostenuto che nella violenza sessuale non rileva la mancanza di contatto fisico tra vittima e reo, poiché tale reato può essere commesso anche mediante strumenti telematici di comunicazione a distanza, e che tale condotta è oggettivamente idonea a violare la libertà di autodeterminazione sessuale della vittima, poiché coinvolge indirettamente la sua corporeità.

Conformi: Corte di Cassazione, sez. III Penale, sentenza 24 aprile 2019 (ud. 30 ottobre 2018), n. 17509/2018 – Pres. Giulio Sarno, Rel. Aldo Aceto; Corte di Cassazione, sez. III penale, sentenza 12 giugno 2013 (ud. 9 maggio 2013), n. 25822/2013 - Pres. Claudia Squassoni, Rel. Santi Gazzara.

Per un commento alla sentenza: Picotti L., La violenza sessuale via whatsapp, in Diritto di Internet, 2020, n. 4, p. 689 s.

 Per approfondire: Salvadori I., Sexting, minori e diritto penale, in Cybercrime, a cura di A. Cadoppi, S. Canestrari, A. Manna e M. Papa, Torino, 2019, p. 567 ss; Picotti L., La pedopornografia nel Cyberspace: un opportuno adeguamento della giurisprudenza allo sviluppo tecnologico ed al suo impatto sociale riflessi nell’evoluzione normativa, in Diritto di Internet, 2019, n. 1, p. 177 ss.; Salvadori I., I minori da vittime ad autori di reati di pedopornografia? Sui controversi profili penali del sexting, in Ind. pen., 2017, n. 3, 789 ss.; Salvadori I., L’adescamento di minori. Il contrasto al child-grooming tra incriminazione di atti preparatori ed esigenze di garanzia, Torino, 2018; Picotti L., I delitti di sfruttamento sessuale dei bambini, la pornografia virtuale e l’offesa dei beni giuridici, in M. Bertolino e G. Forti (cur.), Scritti per Federico Stella, Napoli 2007, vol. II, p. 1267 ss. (C.C.)

 

2. Novità legislative e normative nazionali

Proroga dei termini delle udienze da remoto

Il decreto-legge 7 ottobre 2020 n. 125 all’art. 1 nel prorogare lo stato di emergenza al 31 dicembre 2020 ha esteso i termini delle udienze da remoto, sostituendo la nuova data all’interno del d.l n. 83/2020 (convertito nella l. n. 124/2020)  e apportando modifiche all’allegato 1 di quest’ultimo decreto, che conteneva l’elenco di tutte le norme emanate durante l’emergenza che dovevano restare in vigore fino alla fine dello stato di emergenza. Infatti, la Tabella 1 allegata al d.l. n. 125/2020, relativa alle disposizioni per le quali è stabilito lo slittamento dei termini, menziona anche l’art. 221, comma 2, d.l. n. 34/2020 (c.d. Decreto Rilancio) sui processi da remoto. Con specifico riferimento al processo penale, dunque, rimangono in vigore le disposizioni in merito alla partecipazione da remoto alle udienze degli imputati in stato di custodia cautelare in carcere o detenuti per altra causa e dei condannati detenuti e ai colloqui a distanza negli istituti penitenziari e negli istituti penali per minorenni, con i congiunti o con altre persone cui hanno diritto i condannati, gli internati e gli imputati. (C.C.)

 

Entrata in vigore della riforma delle intercettazioni

Dal 1° settembre 2020 è entrata in vigore la nuova disciplina delle intercettazioni di cui al decreto legislativo 29 dicembre 2017, n. 216, come modificato dal decreto-legge 30 dicembre 2019, n. 161, convertito con modificazioni dalla legge 28 febbraio 2020, n. 7.

Per approfondire: Le linee guida della Procura di Perugia per l’applicazione della nuova disciplina in materia di intercettazioni, in SP, 1° ottobre 2020; Le linee guida della Procura di Tivoli per l’applicazione della nuova disciplina in materia di intercettazioni, in SP, 7 settembre 2020; Le linee guida della Procura di Monza per l’applicazione della nuova disciplina in materia di intercettazioni, in SP, 7 settembre 2020. (C.C.)

 

Convertito in legge il Decreto Semplificazioni

È stata pubblicata nella Gazzetta Ufficiale del 14 settembre 2020, n. 228, la legge 11 settembre 2020, n. 120 di conversione, con modificazioni, del decreto-legge 16 luglio 2020, n. 76 recante «misure urgenti per la semplificazione e l’innovazione digitale». Le modifiche apportate dal d.l. in oggetto al d.lgs. 7 marzo 2005, n.  82, c.d. Codice dell’amministrazione digitale, sono state confermate: in particolare la semplificazione e il rafforzamento dell’accesso al domicilio digitale per i cittadini, specie per le persone con disabilità, nonché l’accesso a tutti i servizi digitali della Pubblica amministrazione tramite SPID, Carta d’identità elettronica (CIE) e tramite AppIO su smartphone. Tra le novità confermate vi è l’istituzione del c.d. domicilio digitale per i professionisti, anche non iscritti in albi, accompagnato dalla sanzione della sospensione dall’albo per il professionista che non comunica il proprio indirizzo PEC all’Ordine di appartenenza e la statuizione che la verifica dell’identità digitale con livello di garanzia almeno significativo, ai sensi dell'articolo 8, paragrafo 2, del Regolamento (UE) n. 910/2014 del 23 luglio 2014, produce, nelle transazioni elettroniche o per l’accesso ai servizi in rete, gli effetti del documento di riconoscimento equipollente.

È stata poi confermata la disposizione di cui all’art. 26, con cui è stata istituita la piattaforma per la notificazione digitale degli atti della  pubblica amministrazione, alla quale si accede tramite SPID o Carta d’identità elettronica, e si prevede che ai fini della notificazione di atti, provvedimenti, avvisi  e comunicazioni, in alternativa alle modalità previste da altre disposizioni di legge, anche in materia tributaria, le amministrazioni possono rendere disponibili telematicamente sulla piattaforma i corrispondenti documenti  informatici. Inoltre, è stato confermato che tale modalità di notificazione per il momento non si applica agli atti del processo civile, penale, per l’applicazione di misure di prevenzione, amministrativo, tributario e contabile e ai provvedimenti e alle comunicazioni ad essi connessi, agli atti della procedura di espropriazione in materia di riscossione delle imposte sul reddito indicati e atti dei  procedimenti di competenza delle autorità provinciali di pubblica sicurezza  relativi a pubbliche manifestazioni,  misure  di  prevenzione  personali  e patrimoniali, autorizzazioni e altri provvedimenti a contenuto abilitativo, soggiorno, espulsione e allontanamento dal territorio nazionale degli stranieri e dei cittadini dell'Unione europea, a carattere preventivo in  materia  di pubblica sicurezza, e ai provvedimenti e alle comunicazioni ad  essi connessi. Per questi ultimi è stato aggiunto l’inciso «o comunque agli atti di ogni altro procedimento».

È poi rimasto invariato anche l’art. 28, che si occupa della semplificazione della notificazione e comunicazione telematica degli atti in  materia civile, penale, amministrativa, contabile e stragiudiziale e dispone che le amministrazioni pubbliche possono comunicare gli indirizzi di posta elettronica certificata di propri organi o articolazioni, anche territoriali, presso cui eseguire le comunicazioni o notificazioni per via telematica nel caso in cui sia stabilito presso questi l'obbligo di notifica degli atti introduttivi di giudizio in relazione a specifiche materie ovvero in caso di autonoma capacità o legittimazione processuale.

La legge di conversione ha poi introdotto un inedito art. 27-bis, che aggiunge un nuovo co. 7-bis all’art. 55 del d.lgs. 1° agosto 2003, n. 259, c.d. codice delle comunicazioni elettroniche, e che prevede la semplificazione dell'obbligo di identificazione previsto dal co. 7 dell’art. 55 cit. in caso di acquisto di schede elettroniche (S.I.M.) utilizzate per la fornitura di servizi di tipo "internet delle cose", installate senza possibilità di essere estratte all'interno degli oggetti connessi e che, anche se disinstallate, non possono essere utilizzate per effettuare traffico vocale, inviare SMS o fruire del servizio di connessione a internet.

Infine, è stato confermato anche l’art. 31, col quale erano state introdotte alcune disposizioni in materia di semplificazione dei sistemi informativi delle pubbliche amministrazioni e dell’attività di coordinamento nell’attuazione della strategia digitale e in materia di perimetro di sicurezza nazionale cibernetica, nonché l’art. 32, che ha istituito il Codice di condotta tecnologica, allo scopo di disciplinare le modalità di progettazione, sviluppo e implementazione dei progetti, sistemi e servizi digitali delle amministrazioni pubbliche, nel rispetto della disciplina in materia di perimetro nazionale di sicurezza cibernetica. (C.C.)

 

Entrata in vigore del Decreto sicurezza (d.l. n. 130/2020)

Dal 22 ottobre 2020 è entrato in vigore il decreto-legge 21 ottobre 2020, n. 130, recante Disposizioni urgenti in materia di immigrazione, protezione internazionale e complementare, modifiche agli articoli 131-bis, 391-bis, 391-ter e 588 del codice penale, nonché misure in materia di divieto di accesso agli esercizi pubblici ed ai locali di pubblico trattenimento, di contrasto all'utilizzo distorto del web e di disciplina del Garante nazionale dei diritti delle persone private della libertà personale.

Si segnala, in particolare, l’art. 12 (Ulteriori modalità per il contrasto al traffico di stupefacenti via internet), il quale, al fine di implementare le misure di prevenzione e contrasto dei reati di cui al Titolo VIII del testo unico di cui al decreto del Presidente della Repubblica 9 ottobre 1990, n. 309, commessi mediante l’impiego di sistemi informatici o mezzi di comunicazione telematica ovvero utilizzando reti di telecomunicazione disponibili al pubblico, impone la formazione di un elenco, che dovrà essere oggetto di costante aggiornamento, dei siti web i quali, sulla base di elementi oggettivi, devono ritenersi utilizzati per la commissione sulla rete internet dei reati de quibus. L’elenco è formato dall’organo del Ministero dell’interno per la sicurezza e la regolarità dei servizi di telecomunicazione di cui all’art. 14, comma 2, della L. n. 269/1998, il quale, come noto, consente attività investigative undercover per l’accertamento dei reati di cui agli artt. 600-bis, comma 1, 600-ter, commi 1, 2 e 3, e 600-quinquies c.p. commessi mediante l’impiego di sistemi  informatici o mezzi di comunicazione telematica ovvero utilizzando reti di telecomunicazione disponibili al pubblico.

A tal fine, ferme restando le eventuali ulteriori iniziative e le determinazioni dell’autorità giudiziaria, l’organo per la sicurezza delle telecomunicazioni, su richiesta della Direzione centrale per i servizi antidroga (istituita quale articolazione del Dipartimento della pubblica sicurezza del Ministero dell’interno dall’art. 1, legge 15  gennaio 1991, n. 16), provvede all’inserimento nell’elenco e alla notifica ai fornitori di connettività della rete internet dell’indicazione dei siti web per i quali deve essere inibito l’accesso degli utenti.

I service provider dovranno, quindi, entro il termine di sette giorni, impedire l’accesso ai siti segnalati, avvalendosi degli strumenti di filtraggio e delle relative soluzioni tecnologiche conformi ai requisiti individuati dal decreto del Ministro delle comunicazioni 8 gennaio 2007, recante requisiti tecnici degli strumenti di filtraggio che i fornitori di connettività alla rete internet devono utilizzare, al fine di impedire, con le modalità previste dalle leggi vigenti, l’accesso ai siti segnalati dal Centro nazionale per il contrasto alla pedopornografia.

È prevista, altresì, una sanzione amministrativa pecuniaria, in caso di violazione degli obblighi previsti dalla disposizione, in capo al fornitore di servizi di connettività internet, entro una forbice edittale compresa tra euro  50.000 e euro 250.000, irrogata dagli  Ispettorati territoriali del Ministero dello sviluppo economico, a seguito   delle comunicazioni da parte dell’organo del Ministero dell’interno per la sicurezza delle telecomunicazioni che ha accertato la violazione. Si dispone, infine, che i proventi derivanti dalle sanzioni amministrative  pecuniarie in discorso siano versati ad apposito capitolo dell’entrata del bilancio dello Stato, per essere riassegnate, in egual misura, al finanziamento delle spese connesse all’acquisizione dei beni e servizi  necessari  all’attuazione  delle disposizioni di cui al medesimo art. 12, d.l. n. 130/2020. (M.P.)

 

4. Segnalazioni bibliografiche

Albanese D., Caso Palamara: il g.i.p. di Perugia ritiene “casuali” le intercettazioni nei confronti dei parlamentari e dispone l’acquisizione delle conversazioni, in SP, 25 settembre 2020

Blažič B.J. – Klobučar T., Investigating crime in an interconnected society: will the new and updated EU judicial environment remove the barriers to justice?, in International Review of Law, Computers & Technology, 2020, 34:1, p. 87 ss.

Blažič B.J. – Klobučar T.  Removing the barriers in cross-border crime investigation by gathering e-evidence in an interconnected society, in Information & Communications Technology Law, 2020, 29:1, p. 66 ss.

Grifo M., Sono inutilizzabili i dati intercettati a mezzo di captatore informatico al di fuori dei luoghi consentiti, in SP, 2020, n. 10, p. 127 ss.

Kjørven M.E., Who Pays When Things Go Wrong? Online Financial Fraud and Consumer Protection in Scandinavia and Europe, in 31 European Business Law Review, 2020, Issue 1, p. 77 ss.

Moraes T., Sparkling Lights in the Going Dark: Legal Safeguards for Law Enforcement's Encryption Circumvention Measures, in 6 Eur. Data Prot. L. Rev., 2020, p. 41 ss.

Nekit K. – Kolodin D. – Fedorov V., Personal Data Protection and Liability for Damage in the Field of the Internet of Things, in 10 Juridical Trib., 2020, p. 80 ss.

Palmiotto F., Captatori informatici e diritto alla difesa. Il caso Exodus, in Legislazione penale, 16 ottobre 2020

Perruccio M., Il duplice volto del captatore informatico tra usi pubblici e privati, in Dir. pen. proc., 2020, n. 10, p. 1389 ss.

Picotti L., La violenza sessuale via whats app, in Dir. internet, 2020, n. 4, p. 689 s.

Quattrocolo S., Le nuove tecnologie e il futuro del diritto pubblico, in Legislazione penale, 16 ottobre 2020

Rossi C., Il reato di cui all’art. 660-ter c.p. è configurabile anche nel caso in cui il materiale pedopornografico sia stato realizzato dallo stesso minore. Nota a Cass. n. 5522/2020, in Cass. pen., 2020, n. 9, p. 3245 ss.

Rosanò A., Il nuovo mondo della cooperazione giudiziaria in materia penale nell’Unione Europea: le proposte della Commissione Europea sugli ordini di produzione e conservazione di prove elettroniche (e-evidence), in Legislazione penale, 16 ottobre 2020.

Sacchetto E., Face to face: il complesso rapporto tra automated facial recognition technology e processo penale, in Legislazione penale, 16 ottobre 2020

Torre M., Whatsapp e l’acquisizione processuale della messaggistica istantanea, in Dir. pen. proc., 2020 n. 9, p. 1279 ss.

Trogu M., La disciplina intertemporale sull'uso del captatore informatico ai fini dell'intercettazione di comunicazioni tra presenti, in Proc. pen. giust., 2020, n. 5, p. 1243 ss.