È un tic nervoso di molti legislatori: quando in una certa materia non sanno più che pesci pigliare nel dubbio inaspriscono le pene. Lo raccontava già Alessandro Manzoni ne I Promessi Sposi, stigmatizzando quelle “grida” che promettevano punizioni tanto più severe quanto più era improbabile la loro applicazione, ma sembra che a Bruxelles non ci siano molti estimatori della sua opera.
La nuova direttiva europea di contrasto al cybercrimine è fortemente incentrata sulla repressione, tramite l’innalzamento delle pene per i reati informatici. Nata dall’esigenza di porre rimedio ad una situazione di illegalità che causa – in base alle stime dell’Unione – almeno 12 miliardi di euro di danni all’anno, la direttiva approderà a luglio nel plenum del parlamento europeo per il voto finale, dopo essere stata approvata dalle commissioni competenti.
In base al suo contenuto gli Stati saranno obbligati a prevedere sanzioni penali per una serie di comportamenti illeciti: almeno due anni di reclusione per l’accesso, l’intrusione e l’intercettazione dei sistemi d’informazione e dei loro dati, quando la persona che vi accede non ne ha il diritto e ha un’intenzione criminale. Nel caso vengano utilizzati “botnet” (una rete di computer “zombie” che sono stati attaccati da un virus e che possono essere attivati a distanza per organizzare dei cyber attacchi su larga scala) la pena sale a 3 anni. Se poi a compiere gli attacchi è un’organizzazione criminale, oppure se l’obiettivo dell’attacco sono “infrastrutture critiche” – quali ad esempio impianti nucleari, reti di trasporto o strutture governative – la pena sale ad un minimo di 5 anni. Viene inoltre prevista la criminalizzazione dell’uso, della produzione e vendita degli “strumenti” (compreso un programma per computer) disegnati principalmente per commettere uno dei reati indicati. E lo stesso vale anche per un’informazione, ad esempio una password, che consenta l’accesso ad un sistema.
Lo scorso 6 giugno, la commissione libertà civili e giustizia del Parlamento europeo ha approvato il progetto di direttiva ad ampia maggioranza (36 favorevoli e 8 contrari), lasciando prevedere una facile approvazione anche da parte dell’assemblea plenaria. Le proteste della minoranza contraria – in particolare dei Verdi, tramite l’eurodeputato Jan Philipp Albrecht – stanno però accendendo un dibattito, influenzato anche dalle notizie proveniente dall’America sullo scandalo PRISM. L’opinione pubblica sembra infatti meno propensa a tirare la coperta, proverbialmente corta, dal lato della sicurezza a discapito della libertà e della privacy.
La direttiva, pensata – secondo le parole dell’europarlamentare del Ppe Monika Hohlmeier, relatrice del provvedimento – perché «tutti capiscano che la commissione o l’organizzazione di un crimine informatico su larga scala è grave quanto quella di un qualsiasi altro crimine», viene ora criticata per la scarsa efficacia nel contrastare i comportamenti più pericolosi e per alcuni effetti indiretti controproducenti.
«Europol e gli esperti di sicurezza telematica – spiega Albrecht – hanno evidenziato che queste sanzioni non sono in grado di ridurre i cyber attacchi “maligni”. Gli hacker più bravi sono sicuramente in grado di nascondere le proprie tracce e in generale la legislazione che si vuole creare sarebbe inutile nel contrastare sia gli attacchi di individui provenienti da paesi extra-Ue sia gli attacchi “state-sponsored” (dietro cui si cela uno Stato, ndr). In compenso creerebbe numerosi problemi ai “white hat hackers” (o hackers “etici”), fondamentali nell’individuare e segnalare le debolezze nei sistemi di difesa di Internet perché possano essere riparati».
Le pene imposte dalla nuova direttiva rischierebbero insomma di rappresentare un deterrente solo per chi non ha reali intenzioni criminali. Gli hacker criminali “di professione” non prendono in considerazione l’ipotesi di essere individuati (statisticamente non senza qualche ragione). Il danno economico che la nuova disciplina vorrebbe eliminare, o almeno ridurre, è riconducibile alla loro opera. Gli hacker riescono infatti a sottrarre progetti, informazioni e brevetti dal valore milionario introducendosi – spesso grazie allo “spear phishing”, la classica truffa via mail ma molto raffinata e calibrata su una singola azienda – nel sistema senza danneggiarlo o alterarlo, così che spesso i soggetti derubati non sanno nemmeno di aver subito un cyberattacco.
«La miglior difesa contro questo fenomeno – dichiara Stefano Mele, avvocato specializzato in diritto delle tecnologie, privacy e sicurezza – è prevedere norme più equilibrate e far seguire ad esse una campagna di sensibilizzazione sull’importanza della prevenzione e sui benefici che essa comporta prima di tutto per l’azienda e indirettamente per lo Stato». Alcuni passi sono stati fatti a livello nazionale e i comportamenti “virtuosi” di molte aziende sono riconducibili anche all’ottimo lavoro di sensibilizzazione e comunicazione svolto dal nostro Garante per la protezione dei dati personali «oltre che – spiega l’avvocato Mele – all’attività repressiva dei comportamenti in violazione del nostro codice della privacy».
Ma le percentuali di attacchi che non vengono scoperti dalle aziende restano preoccupanti e serve diffondere una maggiore consapevolezza del problema. Secondo quanto emerso nel corso dell’ultima Conferenza annuale sulla cyber warfare, in Italia più della metà delle aziende che subiscono un cyber-attacco non lo sanno e, altro dato preoccupante, il 40% di quelle che sono a conoscenza del rischio decidono comunque di non investire in difese e contromisure. «Se è vero che la deterrenza passa attraverso la previsione di pene particolarmente severe e soprattutto con la loro successiva reale applicazione – conclude l’avvocato Mele – trattare questo problema esclusivamente con il “pugno duro” nel medio-lungo periodo quasi sempre non paga».
Twitter: @TommasoCanetta