Estratto del documento

Criminalità informatica

Definizione di criminalità informatica

Cosa s'intende per criminalità informatica? Ci sono due definizioni possibili: La criminalità informatica è quella disciplina che studia i reati informatici; – La criminalità informatica è la disciplina che ha ad oggetto la connessione tra criminalità ed informatica. Riflettendo maggiormente su questo secondo aspetto, ci rendiamo conto che questo inglobi anche il primo, e cioè che anche i reati informatici siano oggetto di studio della criminalità informatica intesa nella seconda accezione.

Evoluzione storica

Nel 1978 la criminalità informatica iniziava a preoccupare seriamente le economie nazionali e quindi iniziavano ad essere fatte le prime elaborazioni teoriche. Una prima descrizione è quella di Tiedermann, che parla di delitti nel campo dell'informatica come “qualsiasi azione illegale nella quale il computer è lo strumento o l'oggetto del delitto”. Qualche anno prima Parker parla di “computer abuse”, allargando il reato al comportamento illecito, a prescindere dalla sua qualificazione penale, commesso nel campo dell'informatica. Il computer abuse va inteso come “qualsiasi atto illecito associato o collegato con la tecnologia del computer nel quale una vittima ha subito una perdita ed un autore ha intenzionalmente ricavato un guadagno”. Questo rimarcare il guadagno, colloca la definizione di Parker nell'ambito della criminalità economica ma non poteva non essere così in quanto la qualificazione in campo economico del computer crime o del computer abuse era necessaria.

Dal punto di vista degli organismi istituzionali, un contributo allo studio di questi reati l'ha dato l'OCSE che ha prima organizzato un convegno in Spagna nel 1981 sulla frode informatica (reato informatico, non fattispecie specifica), e poi avviò nell'83 a Parigi uno studio specifico sui reati informatici facendo riferimento non solo ad una componente illecita ma anche non etica o non autorizzata: poteva dunque violare una norma giuridica, una norma etica o l'autorizzazione di un privato circa l'elaborazione automatica dei dati o la trasmissione degli illeciti.

Sulla base di questo, nell'84 viene istituito il gruppo di esperti sulla criminalità informatica che doveva condurre un'indagine dal punto di vista giuridico e criminologico per formare una normativa a livello internazionale che fosse soddisfacente. Il taglio preso fu essenzialmente criminologico indipendentemente dal concetto legale e dalla qualificazione giuridica di reato.

Quindi l'OCSE basò i propri lavori su un questionario dal quale venne fuori una definizione di frode informatica in senso lato come “qualsiasi atto intenzionale contrario alla legge che necessita della conoscenza della tecnologia informatica e telematica per la sua realizzazione”. I singoli stati membri intervenirono proponendo soluzioni alternative (Austria: qualsiasi comportamento fraudolento in cui l'informatica è il mezzo o l'oggetto dell'atto; Belgio: qualsiasi atto od omissione suscettibile di arrecare offesa ai beni corporali o incorporali che risulta direttamente o indirettamente dall'intervento della tecnologia informatica).

Nel 1985 il comitato per i problemi criminali insieme al consiglio d'Europa istituì un altro consiglio di esperti per studiare nuovamente il problema della criminalità informatica, i cui lavori terminarono nell'88. Questi, più che puntare ad una definizione di reato informatico, si concentravano sulle ipotesi di reato che dovevano essere sanzionate dal diritto penale dei singoli stati. In questo comitato di esperti non c'era unanimità di vedute, si arrivò così alla lista minima (dove erano previste tutte le condotte necessariamente perseguibili come illecito penale) ed alla lista facoltativa (che prevedeva degli illeciti sui quali non c'era unanimità di vedute e sui quali non tutti pensavano dovessero essere perseguibili penalmente).

Lo scopo del consiglio d'Europa era quello di orientare i singoli stati membri alla creazione di una normativa penale in materia, dunque si pensò di lavorare molto sulle fattispecie concrete e di presentare una lista minima ed una facoltativa di illeciti penali.

Il 13/9/1989 venne fatta la raccomandazione 89 numero 9 del comitato dei ministri degli stati membri in seno al consiglio d'Europa dedicata ai computer related crimes, nella quale si raccomandava ai singoli stati di tener conto del lavoro degli esperti e di inserire all'interno delle normative nazionali le fattispecie della lista minima e di verificare se inserire anche quelle della lista facoltativa. L'Italia ha recepito la raccomandazione emanando la legge 547 del '93 che è stata la prima che abbia dato ingresso ai reati informatici nel nostro ordinamento giuridico, novellando il nostro codice penale.

Legge del '93 e riflessioni internazionali

Dalla legge del '93, le riflessioni a livello internazionale sono andate avanti e si è giunti ad esempio alla convenzione di Budapest del 2001 sul cyber crime. Ci sono poi le direttive comunitarie che aspirano ad avvicinare i vari ordinamenti. Tornando ai reati informatici, sono state proposte diverse classificazioni che ricalcano un po' le definizioni che storicamente sono state già introdotte: alcuni facevano riferimento ai computer crimes come quei reati che avevano ad oggetto o per strumento l'utilizzo del sistema informatico, classificazione che riguarda il ruolo del sistema informatico nelle fattispecie criminose; abbiamo poi una classificazione che riguarda il tipo di tecnologie, ad esempio un elaboratore non collegato ad una rete od uno collegato alla stessa; ancora, rientrano tra i reati informatici quelli che utilizzano internet come strumento; infine, abbiamo un'altra classificazione che si riferisce all'essenzialità o meno dell'informatica nella struttura dell'illecito (ci sono cioè dei reati che possono essere commessi attraverso tecnologie informatiche ma dove l'informatica non è elemento strutturale del reato -esempio: la diffamazione online-).

Abbiamo delle altre classificazioni che riguardano il bene giuridico tutelato (se guardiamo dal punto di vista dell'interesse dell'ordinamento giuridico ma anche dal punto di vista vittimologico), allo scopo dell'azione illecita (si può porre in essere una violazione ad un sistema informatico per motivi economici, o perché uomo e donna litigano e uno dei due vuole entrare in un sistema informatico protetto da misure di sicurezza).

La classificazione relativa al bene giuridico violato la si riscontra nella suddivisione dei reati informatici all'interno del codice penale, ad esempio con l'evoluzione della truffa in frode informatica, collocando dunque nuovi reati accanto ad altri che tutelavano già il medesimo bene giuridico. Ma vi è anche un'altra classificazione: quando si sente parlare di computer crime o cyber crime in senso stretto o in senso lato, si fa riferimento proprio alla necessaria presenza o meno dell'elemento informatico all'interno del reato. Quando parliamo di reati informatici, generalmente, si fa riferimento a TUTTE queste ipotesi di reato.

Dunque, in generale, la criminalità informatica è un concetto molto esteso, nel quale rientrano lo studio di reati commessi tramite computer connessi a rete, ma anche gli illeciti commessi a danni di beni o sistemi informatici o telematici, o ancora gli illeciti nei quali il sistema informatico o telematico ha un ruolo incidentale o nei quali l'informatica può avere una valenza probatoria o investigativa. Se noi riprendiamo il concetto di criminalità rapportandoci al concetto di reato come inteso da Shutterland, potremmo ipotizzare che il reato informatico sia un illecito non necessariamente penale, anche se generalmente così. Spesso avviene che la condotta illecita abbia rilevanza sia penale che civile.

Inquadramento teorico originario dei computer crime

Essendosi sviluppati gli elaboratori intorno agli anni '40, la criminalità informatica si sviluppa nello stesso periodo, ma aveva tra i riferimenti culturali la criminalità dei colletti bianchi non solo per la forte influenza che Shutterland ha avuto, ma soprattutto per le caratteristiche che l'informatica aveva all'epoca, ad esempio il fatto di essere appannaggio di un'élite. Ora, però, c'è bisogno di una rivisitazione delle stesse teorie.

Quasi tutti i progetti informatici nascono con dei finanziamenti pubblici in campo militare. Quindi la criminalità informatica sino agli anni '70 era relegata alle grandi aziende e dunque connotava un particolare settore industriale.

Evoluzione dell'informatica e risposte legislative

L'evoluzione dell'informatica ha portato anche all'evoluzione della criminalità informatica e alle risposte che a livello nazionale ed internazionale sono state date a questa problematica. Mentre in precedenza la maggior parte dei computer non erano collegati in rete, e quindi i virus si propagavano attraverso i dischetti, ora lo sono tutti ed i virus si propagano sfruttando le potenzialità del sistema telematico.

Siamo arrivati a parlare della legge 547/93, la quale rispondeva alla necessità di introdurre fattispecie incriminatrici che non potevano essere incriminatorie altrimenti (esempio l'accesso abusivo di sistemi informatici o telematici, che prima di questa legge non poteva essere punito come violazione di domicilio). Con la convenzione di Budapest del 2001, recepita dal nostro paese con la L.48/2008, si sono radicati dei nuovi bisogni, diversi in quanto hanno una rilevanza transnazionale e con il risultato dunque di una omogenizzazione delle legislazioni normative in materia di criminalità informatica. Questo non vale solo per l'incriminazione della fattispecie ma soprattutto per gli strumenti operativi e di acquisizione delle prove. Dalla convenzione di Budapest abbiamo anche da recepire la riorganizzazione delle fattispecie di reato, anche per tener conto di norme non prevedibili nel '93 (che era il frutto delle raccomandazioni dell'89); si è poi avuta l'estensione della responsabilità agli enti (di cui al Dlgs 31/2001) e ciò sia in conseguenza alla L.48/2008, sia in conseguenza di altre novità che hanno allargato ulteriormente la responsabilità degli enti in materia di criminalità informatica. La logica che c'è dietro è che un fatto che costituisce reato è da perseguire non solo nei confronti della persona fisica che possa averlo commesso, ma anche dell'ente, e questo tipo di responsabilità viene intesa in senso organizzativo perché si chiede agli enti di dotarsi di un modello organizzativo per prevenire determinati reati.

La convenzione di Budapest provvide poi all'istituzione di un fondo per il perseguimento della pedopornografia su internet che doveva stanziare 2 milioni di euro all'anno a partire dal 2008, che era rimasto inattivo a causa del fatto che mancassero delle donazioni economiche per poterlo fare funzionare.

Abbiamo poi la novellazione dell'articolo 132 per i dati personali, che si occupa di stabilire per quanto tempo i dati possano essere mantenuti (data retention) nel traffico telematico. Tutta l'attività relativa al traffico è inficiata dalla Convenzione di Budapest.

Un altro punto su cui va ad intervenire la Convenzione è la cooperazione di mutua assistenza tra gli stati aderenti alla Convenzione stessa, o ancora la Computer forensics, che si occupa dell'acquisizione della prova e dello svolgimento dell'indagine nel settore informatico.

La convenzione di Budapest

Divisa in capitoli:

  • Definizioni, uso dei termini
  • Provvedimenti da adottare a livello nazionale (sia di carattere sostanziale che procedurale)
  • Cooperazione internazionale

La necessità della convenzione è quella di creare dei concetti univoci. All'Art. 1 vengono definiti i concetti di sistema informatico, dati informatici, i service provider e la trasmissione di dati, concetti che poi dovrebbero essere ripresi nelle diverse fattispecie. Queste definizioni non sono però state recepite dal legislatore italiano, che aveva già definito le varie fattispecie rifacendosi ad un sistema informatico e telematico.

All'Art. 2 si riferisce agli stati membri (e non direttamente all'autore del reato), che devono adottare le misure legislative o di altra natura che dovessero essere necessarie per sanzionare l'accesso all'intero sistema informatico o a parte di esso, senza autorizzazione. Prima di capire quale sia stata la scelta del legislatore italiano, bisogna capire in quale cornice si inserisce l'accesso abusivo al sistema informatico per la legislazione italiana: analizziamo l'art. 614 c.p. relativo alla violazione di domicilio che riguarda la volontà sia espressa che tacita. Ma il problema è qualificare la volontà tacita dell'introduzione in un sistema informatico. Da qui, facciamo riferimento anche all'introduzione clandestina (furtivamente) o con l'inganno. La sanzione prevista è da 6 mesi a 3 anni, ed alla stessa pena è soggetto chi si intrattiene nel domicilio altrui. Nell'art 615bis si prevede l'accesso abusivo ad un sistema informatico o telematico.

Le misure di sicurezza: ci sono quelle logiche (pw), quelle fisiche (pc messo sotto chiave) e quelle di tipo organizzativo. Se ci sono misure di sicurezza si ha un incremento della norma, a maggior ragione se la persona che viola il domicilio in questione sia un p.u. o un i.p.s., ancora se il colpevole commette i reati con violenza su cose o persone.

Misure di sicurezza dell'accesso abusivo ad un sistema informatico o telematico

Esse sono contemplate nella fattispecie incriminatrice, indicate nell'art. 615Ter comma 1. Per la configurazione del reato in questione, il 615ter richiede che tale sistema sia dotato di misure di sicurezza. Ci si deve dunque interrogare su quale rilevanza abbia la misura di sicurezza all'interno della fattispecie: ci sono diversi livelli critici che possono essere mossi. Abbiamo detto in precedenza che esistono diversi tipi di misure di sicurezza, ma queste misure è sufficiente che ci siano o devono avere una determinata efficacia? Queste misure sono dispositivi di protezione del sistema informatico o telematico, facendo riferimento a misure di tipo fisico o logico più che amministrativo. La norma non parla di efficacia, dunque basta che esistano delle misure di sicurezza che proteggano il sistema in questione, pur non avendo necessariamente un effetto deterrente: il senso della misura di sicurezza ed il senso per cui la norma prevede queste è rendere manifesta la volontà di esclusione da un determinato sistema. Ai fini di questo articolo, se qualcuno entra nel mio sistema ed ho una cartella condivisa, non necessariamente ho un accesso abusivo ad un sistema informatico o telematico.

Non c'è un reato che intende punire la violazione delle misure di sicurezza, ma si vuole punire l'accesso abusivo ad un sistema e la misura di sicurezza ha un ruolo strumentale perché serve a capire in maniera oggettiva quando la volontà nei confronti dell'accesso è negata da parte del soggetto che ha lo ius escludendi. Ma non sono necessarie misure di sicurezza logiche o fisiche, ne bastano anche di tipo organizzativo e dunque se anche queste dovessero essere violate ci sarebbe l'imputazione per il 615ter. Ma le chiavi d'accesso non offrono certezza assoluta di inviolabilità.

Attacchi ad un sistema informatico, le tipologie

  • Attacco a forza bruta: normalmente ci sono delle credenziali d'accesso ad un s.i.t., ma si utilizzano del sw per trovare le pw del sistema.
  • Attacco social engineering: si ottengono informazioni attraverso un'attività investigativa.
  • Port scanning: per vedere quali risorse siano aperte ed accessibili senza misure di sicurezza.

Pedofilia

L'associazione degli psichiatri americani elabora il DSM, manuale diagnostico statistico, che oramai è giunto alla quinta edizione. In quest'ultima, la pedofilia viene indicata in maniera diversa rispetto a prima: appartiene alle parafilie, che hanno dei tratti caratteristici comuni rispetto alla sessualità. Ne abbiamo diversi tipi, ma tutti avevano un modo particolare di vivere la sessualità rispetto alla norma. La pedofilia, rispetto alla parafilia, si caratterizza per un'attrazione sessuale di durata almeno sei mesi, vissuta in maniera esclusiva o permanente verso soggetti in età prepubere (generalmente sotto i 13 anni) provata da persone con età non inferiore ai 16 anni, che non abbiano meno di 5 anni di differenza con la persona oggetto di questa condotta (normalmente non si considera pedofilia una relazione stabile tra un soggetto tardo adolescente con un soggetto magari di 13 anni).

Il DSM elabora anche dei criteri diagnostici per verificare se si sia in presenza o meno di questa problematica: bisogna dunque confermare che il soggetto durante un periodo almeno sei mesi presenta fantasie, impulsi ricorrenti e intensamente eccitanti di tipo sessuale che possono comportare attività sessuale con soggetti in età prepubere. La pedofilia non è dunque di per sé un reato, ma sarà tale il singolo comportamento che il pedofilo pone in violazione delle norme penali. Altro criterio diagnostico riguarda il fatto che le suddette fantasie devono causare un disagio clinicamente significativo, dunque si ha nell'ambito della pedofilia una traduzione di questa attrazione sessuale persistente in una compromissione dell'area sociale o lavorativa del soggetto che pone in essere il reato. Inoltre, il desiderio sessuale non solo dev'essere intenso e frequente, ma deve avere una connotazione esclusiva o prevalente.

Qual è il rapporto tra pedofilia ed internet? La rete viene utilizzata dai pedofili secondo classificazioni: innanzitutto c'è una dimensione sociale del pedofilo, che prima dell'avvento di inter

Anteprima
Vedrai una selezione di 9 pagine su 37
Criminalità informatica - Appunti Pag. 1 Criminalità informatica - Appunti Pag. 2
Anteprima di 9 pagg. su 37.
Scarica il documento per vederlo tutto.
Scarica
Criminalità informatica - Appunti Pag. 6
Anteprima di 9 pagg. su 37.
Scarica il documento per vederlo tutto.
Scarica
Criminalità informatica - Appunti Pag. 11
Anteprima di 9 pagg. su 37.
Scarica il documento per vederlo tutto.
Scarica
Criminalità informatica - Appunti Pag. 16
Anteprima di 9 pagg. su 37.
Scarica il documento per vederlo tutto.
Scarica
Criminalità informatica - Appunti Pag. 21
Anteprima di 9 pagg. su 37.
Scarica il documento per vederlo tutto.
Scarica
Criminalità informatica - Appunti Pag. 26
Anteprima di 9 pagg. su 37.
Scarica il documento per vederlo tutto.
Scarica
Criminalità informatica - Appunti Pag. 31
Anteprima di 9 pagg. su 37.
Scarica il documento per vederlo tutto.
Scarica
Criminalità informatica - Appunti Pag. 36
1 su 37
D/illustrazione/soddisfatti o rimborsati
Acquista con carta o PayPal
Scarica i documenti tutte le volte che vuoi
Dettagli
SSD
Scienze politiche e sociali SPS/12 Sociologia giuridica, della devianza e mutamento sociale
I contenuti di questa pagina costituiscono rielaborazioni personali del Publisher martolino.kokky di informazioni apprese con la frequenza delle lezioni di Criminalità informatica e studio autonomo di eventuali libri di riferimento in preparazione dell'esame finale o della tesi. Non devono intendersi come materiale ufficiale dell'università Università degli Studi di Bologna o del prof Bravo Fabio.
Appunti correlati Invia appunti e guadagna

Domande e risposte

Hai bisogno di aiuto?
Chiedi alla community
Vai al forum

I migliori insegnanti di Sicurezza informatica

Matteo

Matteo S.

Supertutor
Verificato

Insegnante di Aiuto tesi, Algebra, Geometria, Matematica

a partire da 20 €/ora
most booked
Davide

Davide I.

Supertutor
Percorsi
Verificato

Insegnante di Aiuto tesi, Elettronica, Elettrotecnica, Fisica 1

a partire da 15 €/ora
most booked
Luca

Luca C.

Insegnante di Informatica, Informatica generale, Ingegneria del software, Programmazione C

a partire da 20 €/ora
most booked
Mostra altri Tutor