Attacchi informatici: gli strumenti di tutela
Transcript
Attacchi informatici: gli strumenti di tutela
Rubrica legale – ICT Security Ottobre 2003 Autore: Daniela Rocca SG&A– www.sng.it Attacchi informatici: gli strumenti di tutela Attacchi informatici: gli strumenti di tutela SOMMARIO Ipotesi di “attacco” informatico La procedibilità su querela o d’ufficio La querela: contenuto e modalità di presentazione Cosa è la denuncia Brevi cenni sull’esposto Le ipotesi di “attacco” informatico Accade frequentemente che ci venga chiesto come procedere nel caso in cui si subisse un attacco informatico: naturalmente non da un punto di vista tecnico, ma giuridico. Vorremmo qui prendere in considerazione gli artt. 615-ter, 615-quinquies, 635-bis e 640-ter del Codice Penale, che più concretamente possono configurare ipotesi di “attacco” nell’accezione più comunemente usata: art. 615-ter - Accesso abusivo ad un sistema informatico o telematico1: è punito chiunque abusivamente si introduca in un sistema informatico o telematico protetto da misure di sicurezza ovvero vi si mantenga contro la volontà espressa o tacita di chi ha il diritto di escluderlo. 1 Art. 615-ter “Accesso abusivo ad un sistema informatico o telematico” “Chiunque abusivamente si introduce in un sistema informatico o telematico protetto da misure di sicurezza ovvero vi si mantiene contro la volontà espressa o tacita di chi ha il diritto di escluderlo, è punito con la reclusione fino a tre anni. La pena è della reclusione da uno a cinque anni: 1) se il fatto è commesso da un pubblico ufficiale o da un incaricato di un pubblico servizio, con abuso dei poteri o con violazione dei doveri inerenti alla funzione o al servizio, o da chi esercita anche abusivamente la professione di investigatore privato, o con abuso della qualità di operatore del sistema; 2) se il colpevole per commettere il fatto usa violenza sulle cose o alle persone, ovvero se è palesamente armato; 3) se dal fatto deriva la distruzione o il danneggiamento del sistema o l'interruzione totale o parziale del suo funzionamento, ovvero la distruzione o il danneggiamento dei dati, delle informazioni o dei programmi in esso contenuti. Qualora i fatti di cui ai commi primo e secondo riguardino sistemi informatici o telematici di interesse militare o relativi all'ordine pubblico o alla sicurezza pubblica o alla sanità o alla protezione civile o comunque di interesse pubblico, la pena è, rispettivamente, della reclusione da uno a cinque anni e da tre a otto anni. Nel caso previsto dal primo comma il delitto è punibile a querela della persona offesa; negli altri casi si procede d'ufficio.” Rubrica legale – ICT Security Ottobre 2003 Autore: Daniela Rocca SG&A– www.sng.it Attacchi informatici: gli strumenti di tutela art. 615-quinquies - Diffusione di programmi diretti a danneggiare o interrompere un sistema informatico2: è punito chiunque diffonda, comunichi o consegni un programma informatico da lui stesso o da altri redatto, avente per scopo o per effetto il danneggiamento di un sistema informatico o telematico, dei dati o dei programmi un esso contenuti o a esso pertinenti, ovvero l'interruzione, totale o parziale, o l'alterazione del suo funzionamento. art. 635-bis – Danneggiamento di sistemi informatici e telematici3: è punito chiunque distrugga, deteriori o renda, in tutto o in parte, inservibili sistemi informatici o telematici altrui, ovvero programmi, informazioni o dati altrui. Art. 640 – Frode informatica4: è punito chiunque, alterando in qualsiasi modo il funzionamento di un sistema informatico o telematico o intervenendo senza diritto con qualsiasi modalità su dati, informazioni o programmi contenuti in un sistema informatico o telematico o ad esso pertinenti, procuri a sé o ad altri un ingiusto profitto con altrui danno. La procedibilità su querela o d’ufficio La procedibilità di questi, oltre che di tutti i restanti reati informatici, è a querela della persona offesa oppure d’ufficio. Il diritto di querela spetta ad ogni persona offesa da un reato per cui non debba procedersi d’ufficio, su istanza o su richiesta (art. 120 c.p.). Tralasciamo le ultime due ipotesi, residuali, e vediamo cos’è la procedibilità d’ufficio. 2 Art. 615-quinquies “Diffusione di programmi diretti a danneggiare o interrompere un sistema informatico” “Chiunque diffonde, comunica o consegna un programma informatico da lui stesso o da altri redatto, avente per scopo o per effetto il danneggiamento di un sistema informatico o telematico, dei dati o dei programmi in esso contenuti o ad esso pertinenti, ovvero l'interruzione, totale o parziale, o l'alterazione del suo funzionamento, è punito con la reclusione sino a due anni e con la multa sino a lire venti milioni”. 3 Art. 635-bis. “Danneggiamento di sistemi informatici e telematici” “Chiunque distrugge, deteriora o rende, in tutto o in parte, inservibili sistemi informatici o telematici altrui, ovvero programmi, informazioni o dati altrui, è punito, salvo che il fatto costituisca più grave reato, con la reclusione da sei mesi a tre anni. Se ricorre una o più delle circostanze di cui al secondo comma dell'articolo 635, ovvero se il fatto è commesso con abuso della qualità di operatore del sistema, la pena è della reclusione da uno a quattro anni.” 4 Art. 640-ter. “Frode informatica” “Chiunque, alterando in qualsiasi modo il funzionamento di un sistema informatico o telematico o intervenendo senza diritto con qualsiasi modalità su dati, informazioni o programmi contenuti in un sistema informatico o telematico o ad esso pertinenti, procura a sé o ad altri un ingiusto profitto con altrui danno, è punito con la reclusione da sei mesi a tre anni e con la multa da lire centomila a due milioni. La pena è della reclusione da uno a cinque anni e della multa da lire seicentomila a tre milioni se ricorre una delle circostanze previste dal numero 1) del secondo comma dell'articolo 640, ovvero se il fatto è commesso con abuso della qualità di operatore del sistema. Il delitto è punibile a querela della persona offesa, salvo che ricorra taluna delle circostanze di cui al secondo comma o un'altra circostanza aggravante.” Rubrica legale – ICT Security Ottobre 2003 Autore: Daniela Rocca SG&A– www.sng.it Attacchi informatici: gli strumenti di tutela Ai sensi dell’art. 50 del c.p.p., l’azione penale è esercitata dal Pubblico Ministero quando non sussistono i presupposti per la richiesta di archiviazione. E’ obbligatoria, ai sensi dell’art. 112 della Costituzione. E’ esercitata d’ufficio quando non è necessaria la querela, l’istanza, la richiesta o l’autorizzazione a procedere. Quindi: per le ipotesi di reato per le quali è necessaria la querela, la persona che ha subito un reato, o il suo legale rappresentante, deve manifestare la volontà che si proceda in ordine ad un fatto previsto dalla legge come reato non perseguibile d’ufficio (art. 336 c.p.p.). Per le ipotesi di reato perseguibili d’ufficio, la querela non è necessaria (ma la persona offesa dal reato può sporgere denuncia). Il Pubblico Ministero che conoscerà un fatto di reato o supposto tale, su denuncia di privati o o perché semplicemente apprenderà la notizia di reato da altre fonti, dovrà, salvo richiesta di archiviazione, procedere con l’azione penale. La querela: contenuto e modalità di presentazione La presentazione della dichiarazione di querela può essere proposta personalmente o a mezzo di procuratore speciale, al pubblico ministero, ad un ufficiale di polizia giudiziaria ovvero ad un agente consolare all’estero; la dichiarazione di querela può anche essere recapitata da un incaricato o spedita per posta. La querela può essere presentata in forma orale o in forma scritta. Se è proposta oralmente, il verbale redatto dal ricevente deve essere sottoscritto dal querelante o dal procuratore speciale. Nella dichiarazione è sufficiente che, oltre alla descrizione del fatto-reato, risulti la chiara manifestazione di volontà del querelante affinché si proceda in ordine al fatto e se ne punisca il colpevole. Il termine per proporre la querela è di 3 mesi dal giorno della notizia del fatto-reato (art.124 C.P.). Al diritto di querela si può rinunciare, in maniera espressa o tacita, prima di averlo esercitato (art. 339 c.p.p.). Inoltre, dopo aver proposto validamente una querela, la si può revocare, dando luogo così all’estinzione del reato (art.152 C.P.). La remissione di querela può essere fatta personalmente o a mezzo di procuratore speciale; può essere espressa (dichiarazione - scritta o orale - all’autorità che procede o ad un ufficiale di polizia giudiziaria che gliela trasmette immediatamente ) o tacita, e cioè consistere in fatti oggettivi univoci, incompatibili con la volontà di persistere nella querela. Rubrica legale – ICT Security Ottobre 2003 Autore: Daniela Rocca SG&A– www.sng.it Attacchi informatici: gli strumenti di tutela La remissione di querela deve essere accettata dalla persona querelata (art.155 C.P.), che può avere interesse a vedere dimostrata, con il processo, la propria innocenza. Se il querelato rifiuta, espressamente o tacitamente la remissione, questa non ha effetto. Una eccezione alla revocabilità è prevista per alcune ipotesi di violenza sessuale o di atti sessuali con minorenne, perseguibili a querela di parte; in questi casi la querela, una volta proposta, diventa irrevocabile. Cosa è la denuncia La denuncia è un atto con il quale ogni persona che abbia notizia di un reato perseguibile d’ufficio informa il pubblico ministero o un ufficiale di polizia giudiziaria. Non sussiste un obbligo di denuncia generalizzato. La denuncia può essere presentata sia dai privati che da pubblici ufficiali e incaricati di pubblico servizio. Per la denuncia da parte di privati (art. 333 c.p.p.) non è previsto un contenuto formale tipico: è sufficiente l’esposizione dei fatti da parte del cittadino al pubblico ministero o all’ufficiale di polizia giudiziaria che la riceve. La denuncia può essere presentata oralmente o per iscritto, personalmente o a mezzo di procuratore speciale. Nel primo caso chi la riceve redige un apposito verbale, di cui il denunciante può richiedere copia; nel secondo caso la denuncia è sottoscritta personalmente dal denunciante o da un suo procuratore speciale e si ha diritto ad ottenere attestazione della ricezione. L’atto viene presentato o redatto nei diversi uffici delle Forze dell’Ordine (Questure, Commissariati di P.S., Compagnie e Stazioni dell’Arma dei Carabinieri ecc.). La denuncia da parte dei privati è obbligatoria solo nei seguenti casi: per il cittadino che abbia avuto notizia di un delitto contro la personalità dello Stato per il quale la legge preveda la pena dell’ergastolo (art.364 C.P.); per chiunque abbia ricevuto in buona fede monete contraffatte o alterate e si accorga della loro contraffazione (art.694 C.P.); per chiunque abbia ricevuto denaro o acquistato o comunque ricevuto cose provenienti da delitto senza conoscerne o sospettarne la provenienza (art.709 C.P.); per chi abbia notizia che nel luogo da lui abitato si trovano materie esplodenti (art.679 C.P.) o rinvenga esplosivi di qualunque natura o venga a conoscenza di depositi o di rinvenimenti di esplosivi (art.20 co.6 L.18/4/1975, n. 110); Rubrica legale – ICT Security Ottobre 2003 Autore: Daniela Rocca SG&A– www.sng.it Attacchi informatici: gli strumenti di tutela per chi abbia subito il furto o sia incorso nello smarrimento di armi, parti di esse o esplosivi di qualunque natura (art.20 co.3 L.110/1975). Chiunque rinvenga un’arma o parte di essa è tenuto ad effettuarne il deposito presso l’Autorità locale di Pubblica Sicurezza o al più vicino Comando dei Carabinieri; per i rappresentanti di enti sportivi che, nell’esercizio o a causa delle loro funzioni, hanno avuto notizia di frodi in competizioni sportive. Brevi cenni sull’esposto Per completare questa breve analisi degli strumenti a disposizione per rispondere ad un attacco informatico parliamo dell’esposto, che in realtà è un mezzo di conciliazione. L’esposto non è altro che una richiesta di intervento dell’Autorità di P.S. presentato dalle parti in contesa o da una di esse in caso di dissidi privati. Sono Ufficiali di P.S gli appartenenti al ruolo dei dirigenti e dei commissari della Polizia di Stato e gli Ufficiali dell’Arma dei Carabinieri. Dopo la richiesta di intervento le parti vengono invitate a comparire entro un termine congruo per il tentativo di conciliazione. L’Ufficiale di P.S. chiarisce le questioni di fatto ed i principi di diritto senza imporre il suo giudizio e può adottare provvedimenti conservativi per la soddisfazione delle parti o per prevenire eventuali incidenti. Del procedimento si prende nota negli atti d’ufficio e, se ritenuto necessario, si redige un verbale che viene firmato dalle parti e dall’Ufficiale di P.S. e può essere prodotto in giudizio, con valore di scrittura privata riconosciuta. Affinché possa essere realizzata la composizione dei dissidi privati occorre, oltre alla volontà partecipativa delle parti, che non sia stato commesso alcun reato procedibile d’ufficio, altrimenti l’Ufficiale di P.S. deve trasmettere la notizia di reato all’Autorità Giudiziaria. Per i delitti perseguibili a querela della persona offesa è consentito tentare la conciliazione; tale richiesta non pregiudica il successivo esercizio del diritto di querela. Daniela Rocca Consuelente legale Studio Genghini & Associati Rubrica legale – ICT Security Ottobre 2003 Autore: Daniela Rocca SG&A– www.sng.it Attacchi informatici: gli strumenti di tutela