di MICHELA D’ALONZO **
Durante l’emergenza sanitaria causata dal Covid-19 ricorrere al digitale è diventato indispensabile. Utilizzare le nuove tecnologie per svolgere da remoto il maggior numero di attività riduce il rischio di contagio ed evita la paralisi totale dell’economia e delle relazioni sociali. Nascono e si sviluppano la didattica a distanza, l’eHealth, lo smart working. Ma a minare importanti occasioni di crescita vi sono i criminali informatici che, forti di una grande capacità di adattamento, hanno reso la criminalità informatica la più florida tra le attività criminali.
La criminalità informatica rientra nei reati di competenza di Europol, l’agenzia dell’Unione europea nata nel 1995 con “il compito di sostenere e potenziare l’azione delle autorità di polizia e degli altri servizi incaricati dell’applicazione della legge degli Stati membri e la reciproca collaborazione nella prevenzione e lotta contro […] le forme di criminalità che ledono un interesse comune oggetto di una politica dell’Unione.” (art. 88 TFUE).
Le analisi condotte da Europol si traducono, tra le altre cose, in valutazioni e relazioni periodiche che orientano gli Stati nella comprensione dei crimini. Per quanto riguarda la criminalità cibernetica, Europol ne registra un aumento esponenziale di casi con una serie di rapporti basati sui dati forniti dagli Stati membri dell’UE.
Delle già note minacce informatiche riconducibili al phishing, ai malware e agli attacchi DDoS vengono create nuove varianti capaci di paralizzare in pochi secondi qualsivoglia sistema informatico. È di settembre 2020 la notizia dell’attacco informatico che ha colpito l’ospedale universitario di Düsseldorf, in Germania. L’ospedale, vittima di un ransomware che ha criptato i dati e bloccato i sistemi, è stato costretto a trasferire in altre cliniche pazienti gravi e a posticipare gli interventi chirurgici urgenti. Una donna ancora in vita al momento dell’arrivo in ospedale è morta durante il tragitto. E ancora, si possono ricordare l’attacco hacker all’ospedale universitario di Brno, il secondo più grande della Repubblica Ceca, e quello tentato all’ospedale Spallanzani di Roma. Ma le strutture sanitarie sono solo l’esempio più eclatante degli enti pubblici presi di mira.
A queste vanno aggiunte le aziende private, che hanno fatto ricorso al remote working per limitare i danni economici insorti a seguito delle misure di contenimento della pandemia. L’urgenza stava nel poter disporre nel più breve tempo possibile di sistemi informatici funzionanti, e ciò si è tradotto in un incontrollabile ricorso a VPN e ad applicazioni cloud. Il numero insufficiente di esperti di sicurezza informatica e la difficoltà economica per le aziende (soprattutto per piccole e microimprese) di sostenere i costi di aggiornamento dei sistemi di sicurezza hanno reso questi stessi sistemi estremamente vulnerabili. Configurazioni delle VPN non corrette e cloud non controllati espongono la protezione informatica delle aziende ad alti rischi. Una vulnerabilità acuita dall’uso di reti internet casalinghe e di strumenti privati dei dipendenti che, non avendo gli stessi sistemi di sicurezza aziendali, sono diventati fucina di attacchi informatici.
Sul fronte privato la situazione non è migliore. Il rapporto Europol registra infatti un significativo aumento anche di pedopornografia, ludopatie compulsive, attività di disinformazione, truffe e frodi negli acquisti online. Ma il Covid-19 non ha solo favorito l’incremento dei cybercrime, ne è spesse volte oggetto: fearware, fake news, commercio illecito di medicine, prodotti per l’igiene e kit per effettuare i test del virus nascono e proliferano per sfruttare debolezze e fragilità dei più, generare confusione e minare la fiducia nelle istituzioni politiche. Alla base della maggior parte dei reati informatici infatti vi è l’opportunità di guadagno, a cui seguono motivazioni politiche e di spionaggio.
La domanda allora nasce spontanea: quali sono gli strumenti per contrastare la criminalità informatica? In primis la prevenzione, che va declinata in due sensi: educare i fruitori del digitale a riconoscere gli attacchi informatici, per evitare di rimanerne vittima; responsabilizzare l’industria, affinché elevi sicurezza informatica e privacy a principi fondamentali della propria progettazione. Premessa da tradurre nell’adozione di software di sicurezza aggiornati alle versioni più recenti e in una definita strategia di cyber security (per esempio, ricorrendo a soluzioni di disaster recoverye business continuity). Inoltre, ogni attacco hacker deve essere denunciato. Trasparenza e condivisione delle informazioni assumono in quest’ambito un ruolo chiave: le forze dell’ordine hanno bisogno di quanti più dati possibili per investigare e per raccogliere prove contro chi in molti casi ricorre alle criptovalute, le quali garantiscono un livello molto alto di anonimato. Ed è per questo che nel 2013 è stato istituito lo European Cybercrime Centre (EC3), un centro specializzato che consente alle forze di polizia di tutta l’UE di collaborare e comunicare efficacemente.
Il diritto deve intervenire predisponendo una chiara regolamentazione giuridica multilivello dei crimini informatici, che a oggi manca. Il duplice rischio che sorge dall’adeguamento del quadro giuridico è di risultare o scarsamente efficaci o eccessivamente repressivi delle libertà fondamentali. Raggiungere un punto di equilibrio è possibile e auspicabile grazie all’intelligenza artificiale: l’uso di specifici algoritmi per rintracciare contenuti potenzialmente illeciti consentirebbe infatti di effettuare controlli (solo) successivi, (solo) a seguito dei quali le autorità competenti potrebbero ordinare la rimozione o l’oscuramento del contenuto giudicato illecito. Ne nascerebbe un monitoraggio della rete rafforzato e rispettoso dei diritti costituzionalmente garantiti.
Bibliografia e sitografia
- Europol, https://www.europol.europa.eu/it/about-europol
- Flor R., Lotta alla “criminalità informatica” e tutela di “tradizionali” e “nuovi” diritti fondamentali nell’era di Internet, https://www.penalecontemporaneo.it/upload/1348049846flor%20corretto.pdf
- Mayer M., Covid-19 e sicurezza delle reti: tutti i nodi dei rapporti Ue-Italia-Cina,https://www.agendadigitale.eu/sicurezza/covid-19-e-sicurezza-delle-reti-tutti-i-nodi-dei-rapporti-ue-italia-cina/ (ultima consultazione in data 27/01/2021)
- Pereira M., Le nuove minacce informatiche nell’era della pandemia,https://www.securityopenlab.it/speciali/2020/sicurezza-informatica-all-epoca-del-coronavirus/dettaglio.php?q=505_0_le-nuove-minacce-informatiche-nell-era-della-pandemia.html (ultima consultazione in data 27/01/2021)
- Redazione SecurityOpenLab, Europol: cybercrime sempre più evoluto e organizzato, https://www.securityopenlab.it/speciali/2020/sicurezza-informatica-all-epoca-del-coronavirus/dettaglio.php?q=862_0_europol-cyber-crime-sempre-piu-evoluto-e-organizzato.html (ultima consultazione in data 27/01/2021)
- Redazione SecurityOpenLab, Smart working e cybersecurity: il problema è che non eravamo pronti, https://www.securityopenlab.it/speciali/2020/sicurezza-informatica-all-epoca-del-coronavirus/dettaglio.php?q=429_0_smart-working-e-cyber-security-il-problema-e-che-non-eravamo-pronti.html (ultima consultazione in data 27/01/2021)
- Riunioni interparlamentari, 7a riunione del Gruppo di controllo parlamentare congiunto delle attività di Europol, 28-29 settembre 2020, https://www.senato.it/service/PDF/PDFServer/BGT/01176839.pdf
- Rocchi W., Cyber security nel settore sanitario, a rischio apparecchiature mediche e dati riservati: lo scenario,https://www.cybersecurity360.it/nuove-minacce/cyber-security-nel-settore-sanitario-a-rischio-apparecchiature-mediche-e-dati-riservati-lo-scenario/ (ultima consultazione in data 27/01/2021)
- Sabella P. M., Il fenomeno del cybercrime nello spazio giuridico contemporaneo. Prevenzione e repressione degli illeciti penali connessi all’utilizzo di Internet per fini di terrorismo, tra esigenze di sicurezza e rispetto dei diritti fondamentali, in Informatica e diritto, 26/2017, n. 1-2, 139-176
- Trattato sul funzionamento dell’Unione europea, https://eur-lex.europa.eu/LexUriServ/LexUriServ.do?uri=CELEX:12012E/TXT:IT:PDF
- Valentini A., Sicurezza informatica: malware e tendenze di attacco, le strategie di difesa per il 2021, https://www.cybersecurity360.it/nuove-minacce/sicurezza-informatica-malware-e-tendenze-di-attacco-le-strategie-di-difesa-per-il-2021/ (ultima consultazione in data 27/01/2021
**ARTICOLO SELEZIONATO COME VINCITORE DELLA CATEGORIA “DIRITTO PENALE” del progetto di Law Review realizzato in collaborazione tra Associazione Culturale Fatto&Diritto e ELSA Macerata