Sei sulla pagina 1di 13

.Diritto .

Informatica

11. I COSTI DEI CRIMINI INFORMATICI

Da quanto rilevato, le conseguenze negative per l’azienda possono es- prendere coscienza di un fenomeno destinato ad estendersi sempre più in pro-
sere identificate essenzialmente in termini di: danno all’immagine ed fondità nella società, che entra nella vita di tutti non bussando delicatamente
alla reputazione, costo di ripristino della situazione fisiologica del alla porta e chiedendo il permesso di entrare ma sfondando ogni bar-
servizio, perdita di clienti acquisiti e da acquisire ed ancora in termini di spese nec- riera fisica posta davanti al suo cammino, coinvolgendo tutti e tutto.
essarie per avvisare clienti, fornitori e pubblico in generale, perdita di produttività
del personale e spese legali. Tra i costi correlati al crimine informatico bisogna citare
anche quelli necessari per scoprire quanto è in realtà accaduto all’interno dell’azienda.
Leo Stilo
In numerosi casi, infatti, ciò che viene immediatamente rilevato è il danno men- Docente di Informatica 1 all’Università LUM (Libera Università del Medi-
tre la causa è più difficile da determinare. Per questo motivo, le aziende vittime di terraneo- Jean Monnet), presso il “Campus degli Studi e delle Univer-
un crimine informatico devono investire delle risorse, a volte ingenti, per svolgere sità di Pomezia”. Direttore della rivista Il Nuovo Diritto, autore di pub-
delle indagini interne al fine di determinare l’entità del danno e la sua causa. blicazioni in materia di diritto penale e diritto delle nuove tecnologie
E’ interessante mettere in risalto la rilevanza di un altro dato: la diminuzione informatiche. Collabora, ponendosi come partner per la sicurezza in-
della figura del singolo criminale e il sempre maggiore consolidamento di or- formatica e come consulente in diritto dell’internet, con aziende e liberi
ganizzazioni criminali dotate di competenze e strutture agili e moderne. ¬¬ professionisti . E’ docente in corsi di formazione in materia di tutela
Per dare una dimensione più concreta del fenomeno italiano dei crimini infor-
dei dati personali ed informatica per aziende private ed enti pubblici.
matici è opportuno estrapolare dai dati complessivi della citata indagine esclusi-
vamente quelli rilevati all’interno delle aziende italiane coinvolte nell’inchiesta :
a) il 23% delle aziende italiane ritiene il crimine informatico più perico-
loso rispetto al crimine tradizionale (a livello globale il valore è il 40%);
b) il 40% delle aziende italiane ritengono che le due tipol-
gie di crimine – informatico e tradizionale - rappresentino una
mnaccia di uguale gravità (a livello globale il valore è il 30%);
c) il 46% delle aziende italiane ritiene il crimine informatico più cos-
toso di quello tradizionale (a livello globale il valore è il 58%);
d) il 51% delle aziende italiane ritiene che le minacce alla sicurezza aziendale proven- EDITORIALE
gano dall’interno delle rispettive organizzazioni (a livello globale il valore è il 66%).
La riflessione conclusiva coinvolge tutte le nuove tecnologie informatiche che ba- Tutti coloro che affrontano un viaggio hanno bisogno di un vademecum, di un notes,
sano la loro stessa esistenza sulla gestione di informazioni e dati: le tracce che tutti della bisaccia delle esperienze e delle conoscenze che raccolgono durante l’intero per-
noi lasciamo muovendoci ed operando fisicamente (percorrendo l’autostrada, uti- corso. Le parole denotative, le espressioni connotative, i concetti, i simboli e i significati
lizzando la carta di credito, il bancomat e il telefono cellulare...) o “virtualmente” diventano appunti, pensieri che si ammassano in ordine sparso dentro un conteni-
nella rete (dando e ricevendo informazioni in modo volontario o involontario; tore di fortuna. Quando si incontra un altro viandante, senza forma e senza arti-
richiedendo e concedendo l’utilizzo di una serie di dati personali oppure semplice- colazione logica, quelle parole non riescono ad essere trasmesse, ad essere scambiate.
mente consultando determinate notizie piuttosto che altre...) potrebbero rappre- Non crescono, idee e concetti giacciono pigri, soffocati nel disordine di una sacca. È
sentare un terreno difficile da controllare per le organizzazioni giuridiche statali il dramma della informazione che non riesce a diventare comunicazione, che non
ed internazionali. Per questo occorre formare e diffondere una nuova coscienza ed passa, che non sa essere scambiata e staziona in un archivio in attesa di una sua
una diversa concezione delle responsabilità legate alla gestione delle “informazi- utilizzazione.
oni”. Tali realtà non dovranno essere limitate ai rigidi confini nazionali, troppo “La mia professione – diceva Ballard – è attraversare frontiere”. Anche la nostra; seb-
stretti ed angusti per strumeti completamente slacciati dalla dimensione territoriale, bene non nascondiamo una preferenza per il concetto gadameriano di orizzonte che
ma proiettate verso una visione globale della società umana. lo sguardo non trattiene, che si sposta dal passante al passo, dal viandante al cam-
Il legislatore, in quest’epoca di grandi sconvolgimenti tecnologici, deve pre- mino, vincolo ed opportunità della strada, l’irraggiungibile oltre, un limite senza es-
pararsi ad un complesso ed affascinante lavoro di ricerca e di sperimentazi- sere limitato, la mèta che attrae il passo, il confine che non ha fine, il luogo dei mille
one. La necessità di adattare vecchie norme alle nuove esigenze e di pro- passaggi in una parte di mondo.
gettare sistemi innovativi di regolamentazione, controllo e repressione “L’intelligenza – scriveva Jean Piaget – organizza il mondo organizzando se stessa”.
rappresentano le principali preoccupazioni dei legislatori di tutto il mondo. Fare una rivista, anche semplicemente comporla, costruirla nella coerenza e nella
Con Internet, in particolare, si riassapora la modernità di un vecchio inseg- integrazione delle sue parti, è un modo per organizzare la nostra capacità di intus
namento contenuto, come in una macchina del tempo che lo custodisce e lo legere, di leggere dentro le esperienze del mondo. Fare una rivista scientifica, intera-
preserva sempre attuale, nella celebre frase « ubi societas, ibi ius». mente costruita sul confronto critico tra analisti, protagonisti e problemi, poi, significa
Non comprendere, fino in fondo, la natura e le modalità operative dei rapporti che nas- produrre significati, dare linfa vitale al corpo della realtà, sangue alle membra dei
cono in questo nuovo tessuto sociale vuol dire, in realtà, abbandonare la società globale, fatti ammassati dalla storia. La vita è una produzione di significati. La nostra rivista
virtualmente già nata e operante in rete alla terribile e primordiale legge “di natura” dove è il luogo in cui questi significati crescono e maturano, è uno spazio di comunicazione
il più forte detta le regole che gli altri, più deboli, sono costretti ad osservare e subire. qualificata sui temi e problemi della complessità sociale che l’accademia universitaria
Nel vuoto di tutela e di controllo, ad esempio, le organizzazioni criminali sem- analizza, interpreta, discuta. La nostra rivista è il luogo in cui l’attività di comunica-
pre più attrezzate con supporti tecnici e conoscenze informatiche potrebbero in- zione e confronto scientifico, che si mostra nei seminari e nei convegni, si dimostra,
serirsi al fine di operare fuori da ogni possibile controllo, ricostituendo così vir- prende forma, appare nella sua veste di coerenza epistemologica. L’ambizione è di re-
tualmente quello che l’ordinamento giuridico statale gli ha sottratto fisicamente: alizzare una rivista che, nei settori di nostra competenza, sia un riferimento per l’alta
un territorio feudale dove poter liberamente ideare, progettare e realizzare i pro- affidabilità dei suoi contenuti. Per noi è anche una inderogabile esigenza di mettere
pri interessi. Il ruolo del territorio, un tempo scenario fisico necessario per qua- ordine in una materia che, in Italia, ha sparso e talvolta disperso contributi significa-
lunque tipo di dinamica sociale ed economica, diviene sempre più marginale. tivi nei reticoli della varia editoria. Il suo valore consiste nella opportunità che offre
Come evidenziano i dati citati all’inizio del paragrafo appare ormai consolida- nel trasformare le esperienze in conoscenze e le conoscenze in proposte, nella capacità
ta, sia a livello globale e sia a livello nazionale, la consapevolezza che il costo del che saprà dimostrare nel tentativo infinito di organizzare il mondo organizzando la
crimine informatico ha assunto delle dimensioni di rilevanza allarmante e che, sua intelligenza.
per usare le parole di Corrado Giustozzi, «nell’era della “azienda connessa” ... Alessandro Ceci
Internet e gli hacker sono un capro espiatorio, quando non uno specchio per le allodole,
mentre i veri problemi sono quasi sempre altrove: dentro le nostre aziende ed organiz-
zazioni, non fuori da esse» Alla luce dello scenario che questo breve scritto ha tentato di
illustrare, purtroppo necessariamente solo per punti, occorre, anche se a piccoli passi,.

Febbraio 2011- 01 I quaderni del Campus 12


.Diritto .Informatica

IL CRIMINE INFORMATICO NELLA SOCIETA’ DELL’ INFORMAZIONE


Sommario: 1. La nuova era digitale tra vecchie e nuove storie; 2. Un vortice di dati persona-
li tra internet e nuove tendenze del mercato; 3. Il commercio nella società dell’informazione: una questione di fiducia e sicurezza;
4. L’insostenibile insicurezza della società dell’informazione: alla ricerca del bene giuridico da difendere; 5. Crimi-
ni informatici: dalle “liste nere” al codice penale italiano .6. Alla ricerca delle fonti del danno informatico in azienda;
7. Malware in azienda; 7.1. Virus; 7.2 worm; 7.3 trojan horse; 7.4 Spyware: un “parassita digitale” dai mille “untori”; 8. Attacchi informatici; 8.1 denial of
service; 8.2 sniffing; 8.3 hijacking; 8.4 spoofing; 8.5 blended threats; 9. Le truffe del www; 9.1 social engineering; 9.2 scam; 9.3 phishing; 9.4 dialer; 10. Le altre
fonti di danno nel web; 10.1 zombie: 10.2 cybersquatting; 10.3 hoax; 10.4 deeplinking e framing; 10.5 spamming; 11. Il costo dei crimini informatici in azienda

1. LA NUOVA ERA DIGITALE TRA VECCHIE E NUOVE STORIE.

C ollocare storicamente il fenomeno evolutivo delle tecnologie informatiche in un 2) dal computer, anch’esso figlio della seconda guerra mondiale madre di tutte le tec-
quadro storico ben determinato è un tassello importante nel processo di compren- nologie (4) ; 3) da Internet, la cui ideazione e realizzazione è frutto di una sinergica
sione dello stretto legame esistente tra tali innovazioni e la storia del secolo passato. commistione tra la classica strategia militare e l’innovazione imprenditoriale di una
L’incubatrice culturale che ha determinato un’impennata evolutiva delle tecnolo- nuova generazione di studiosi e ricercatori universitari (5). In questa necessariamente
gie elettroniche, supporto fisico necessario per il successivo sviluppo dell’era dig- breve e superficiale descrizione, utile ad incorniciare la situazione-madre dell’era del
itale, trova origine in una dimensione spaziale e temporale ben determinata (1). Bit, particolare attenzione deve essere dedicata alla nascita del fenomeno Internet.
Lo scenario è quello del secondo dopoguerra: alla fine delle ostilità belli- Le origini della Rete delle reti si possono rinvenire all’interno delle ricerche condotte
che, i nuovi dominatori della scena mondiale, grazie al prestigio politico, dall’ARPA (Advanced Research Projects Agency) del Dipartimento degli Stati Uniti.
militare ed economico conquistato sul campo di battaglia contro il nazifas- In un momento storico di particolare frizione tra i due blocchi ideologici ed economici
cismo, iniziarono una lunga ed estenuante guerra “fredda” per l’egemonia che si dividevano il mondo, il lancio del primo Sputnik, l’America avvertì l’esigenza di
del Mondo che poneva a confronto, l’una contro l’altra, due ideologie e, con aumentare i fondi della ricerca per prevenire eventuali attacchi provenienti dallo spazio.
esse, due complessi modelli di società. Il mondo appariva così diviso in due Tra le idee seguite e sviluppate dall’ARPA, di particolare interesse fu quella con-
blocchi contrapposti, separati simbolicamente, e in alcuni casi fisicamente, cepita da Paul Baran alla Rand Corporation nel 1960-64, che aveva ad og-
da un muro di reciproca diffidenza e sospetto. Le sorti dell’umanità quo- getto «la progettazione di un sistema di comunicazioni invulnerabile agli attac-
tidianamente venivano messe in gioco sul tavolo del mantenimento di un chi nucleari. Basato sulla tecnologia di comunicazione della commutazione a
terrificante equilibrio di armamenti tecnologici e sulla consapevolezza che un loro pacchetto, il sistema rese la rete indipendente da centri di comando e controllo,
impiego avrebbe determinato un serio rischio per la fine della vita sulla Terra. La affinché le unità di messaggio trovassero le proprie strade lungo la rete, venen-
corsa verso nuove tecnologie belliche, offensive e difensive, determinò durante gli do ricomposte nel messaggio originale in qualsiasi punto del sistema» (6) .
anni del dopoguerra un incremento vertiginoso delle sovvenzioni pubbliche desti- Accanto ai computer ed internet vi è un altro elemento da analiz-
nate alla ricerca scientifica. I momenti più significativi della storia dell’elettronica, zare per avere un quadro dello scenario entro cui ricostruire il fenom-
informatica e telematica di questi ultimi 60/70 anni, infatti, affondano le radici eno dei crimini informatici in azienda e della conseguente esigen-
nel clima di sospetto glaciale in cui la politica mondiale si trovava impantanata za di una maggiore tutela dei dati e delle informazioni: il software.
senza un’apparente possibilità d’uscita e che oggi, cambiati gli attori protago- Il software, quale bene in sé, acquista autonomia giuridica, distaccandosi dal cor-
nisti della scena, sembra rivivere con il suo pesante carico d’angosce ed incubi. done primordiale che lo legava indissolubilmente ad un ruolo di semplice ap-
I diversi binari di sviluppo seguiti dalla scienza moderna non devono essere analiz- pendice dell’hardware, in un tempo successivo alla diffusione e commercializ-
zati e valutati, quindi, come realtà a “compartimenti stagni”, ma come entità figlie zazione degli elaboratori elettronici. Il tardivo riconoscimento di un’autonoma
di scoperte ed invenzioni comuni che trovano nella sinergia della valenza del programma è legato alla storia della diffusione delle nuove tecnolo
ricerca il loro punto di forza e il loro massimo stimolo. I diversi campi della ricerca, così gie informatiche; per tale motivo, una breve analisi storica è utile al fine di individuare le
intesi, hanno consentito nel corso degli ultimi decenni di oltrepassare sistematica- ragioni che hanno spinto i legislatori dei Paesi più industrializzati a dettare una puntu-
mente con scadenze temporali sempre più ravvicinate i limiti umani che oggi appaiono, ale disciplina tesa a tutelare il software nella sua intrinseca valenza sociale e giuridica.
terrificante equilibrio di armamenti tecnologici e sulla consapevolezza che un loro Accanto ai computer ed internet vi è un altro elemento da ana-
impiego avrebbe determinato un serio rischio per la fine della vita sulla Terra. La lizzare per avere un quadro dello scenario entro cui ricostruire il
corsa verso nuove tecnologie belliche, offensive e difensive, determinò durante gli fenomeno dei crimini informatici in azienda e della conseguente esi-
anni del dopoguerra un incremento vertiginoso delle sovvenzioni pubbliche desti- genza di una maggiore tutela dei dati e delle informazioni: il software.
nate alla ricerca scientifica. I momenti più significativi della storia dell’elettronica, Il software, quale bene in sé, acquista autonomia giuridica, distaccandosi dal cor-
informatica e telematica di questi ultimi 60/70 anni, infatti, affondano le radici done primordiale che lo legava indissolubilmente ad un ruolo di semplice appen-
nel clima di sospetto glaciale in cui la politica mondiale si trovava impantanata dice dell’hardware, in un tempo successivo alla diffusione e commercializzazione
senza un’apparente possibilità d’uscita e che oggi, cambiati gli attori protago- degli elaboratori elettronici. Il tardivo riconoscimento di un’autonoma valenza del
nisti della scena, sembra rivivere con il suo pesante carico d’angosce ed incubi. programma è legato alla storia della diffusione delle nuove tecnologie informatiche;
I diversi binari di sviluppo seguiti dalla scienza moderna non devono essere analiz- per tale motivo, una breve analisi storica è utile al fine di individuare le ragioni
zati e valutati, quindi, come realtà a “compartimenti stagni”, ma come entità figlie che hanno spinto i legislatori dei Paesi più industrializzati a dettare una puntuale
di scoperte ed invenzioni comuni che trovano nella sinergia della ricerca il loro disciplina tesa a tutelare il software nella sua intrinseca valenza sociale e giuridica.
punto di forza e il loro massimo stimolo. I diversi campi della ricerca, così in- Con l’avvento del microprocessore i rapporti uomo/lavoro, uomo/tempo libero si
tesi, hanno consentito nel corso degli ultimi decenni di oltrepassare sistemat- avviarono verso un drastico mutamento di prospettiva in cui il computer divenne
icamente con scadenze temporali sempre più ravvicinate i limiti umani che oggi sempre più “personal” e presente in tutte le quotidiane dinamiche di relazione sociale.
appaiono,consapevolmente o inconsapevolmente, sempre più di natura contingente. Nel 1975 ED ROBERTS, fondatore della MITS, una piccola soci-
I momenti più significativi di questo sviluppo tecnologico, che non appare ancora età produttrice di calcolatori nel New Mexico diede alla luce “Altair”.
aver raggiunto la fase discendente della sua parabola evolutiva, sono rappresentati: La novità che caratterizzava questa nuova macchina, dif-
ferenziandola da tutte le altre precedentemente realizzate,
trovava fondamento nella concezione di base con cui la stessa era stata ideata e suc-
1) dalla microelettronica la cui nascita è collocabile, simbolicamente, nel 1947 cessivamente costruita: Altair era un computer creato attorno ad un microprocessore.
nei Bell Laboratories di Murray Hill nel New Jersey dove venne inventato il Le dimensioni e i costi degli elaboratori, col pas-
transistor (2) e con esso la possibilità di trasformare gli impulsi elettrici in sare del tempo, divennero più contenuti e il loro impiego
un codice binario (semiconduttori) utilizzabile, in estrema sintesi, per co- si dimostrò appetibile per una tipologia di utenti le cui dimen-
municare con le macchine in modo rapido e sempre più complesso (3) ; sioni aumentarono esponenzialmente in rapporto alla maggiore

01 I quaderni del Campus 01 - Febbraio 2011


.Diritto .Informatica

11. I COSTI DEI CRIMINI INFORMATICI

Da quanto rilevato, le conseguenze negative per l’azienda possono es- prendere coscienza di un fenomeno destinato ad estendersi sempre più in pro-
sere identificate essenzialmente in termini di: danno all’immagine ed fondità nella società, che entra nella vita di tutti non bussando delicatamente
alla reputazione, costo di ripristino della situazione fisiologica del alla porta e chiedendo il permesso di entrare ma sfondando ogni bar-
servizio, perdita di clienti acquisiti e da acquisire ed ancora in termini di spese nec- riera fisica posta davanti al suo cammino, coinvolgendo tutti e tutto.
essarie per avvisare clienti, fornitori e pubblico in generale, perdita di produttività
del personale e spese legali. Tra i costi correlati al crimine informatico bisogna citare
anche quelli necessari per scoprire quanto è in realtà accaduto all’interno dell’azienda.
Leo Stilo
In numerosi casi, infatti, ciò che viene immediatamente rilevato è il danno men- Docente di Informatica 1 all’Università LUM (Libera Università del Medi-
tre la causa è più difficile da determinare. Per questo motivo, le aziende vittime di terraneo- Jean Monnet), presso il “Campus degli Studi e delle Univer-
un crimine informatico devono investire delle risorse, a volte ingenti, per svolgere sità di Pomezia”. Direttore della rivista Il Nuovo Diritto, autore di pub-
delle indagini interne al fine di determinare l’entità del danno e la sua causa. blicazioni in materia di diritto penale e diritto delle nuove tecnologie
E’ interessante mettere in risalto la rilevanza di un altro dato: la diminuzione informatiche. Collabora, ponendosi come partner per la sicurezza in-
della figura del singolo criminale e il sempre maggiore consolidamento di or- formatica e come consulente in diritto dell’internet, con aziende e liberi
ganizzazioni criminali dotate di competenze e strutture agili e moderne. ¬¬ professionisti . E’ docente in corsi di formazione in materia di tutela
Per dare una dimensione più concreta del fenomeno italiano dei crimini infor-
dei dati personali ed informatica per aziende private ed enti pubblici.
matici è opportuno estrapolare dai dati complessivi della citata indagine esclusi-
vamente quelli rilevati all’interno delle aziende italiane coinvolte nell’inchiesta :
a) il 23% delle aziende italiane ritiene il crimine informatico più perico-
loso rispetto al crimine tradizionale (a livello globale il valore è il 40%);
b) il 40% delle aziende italiane ritengono che le due tipol-
gie di crimine – informatico e tradizionale - rappresentino una
mnaccia di uguale gravità (a livello globale il valore è il 30%);
c) il 46% delle aziende italiane ritiene il crimine informatico più cos-
toso di quello tradizionale (a livello globale il valore è il 58%);
d) il 51% delle aziende italiane ritiene che le minacce alla sicurezza aziendale proven- EDITORIALE
gano dall’interno delle rispettive organizzazioni (a livello globale il valore è il 66%).
La riflessione conclusiva coinvolge tutte le nuove tecnologie informatiche che ba- Tutti coloro che affrontano un viaggio hanno bisogno di un vademecum, di un notes,
sano la loro stessa esistenza sulla gestione di informazioni e dati: le tracce che tutti della bisaccia delle esperienze e delle conoscenze che raccolgono durante l’intero per-
noi lasciamo muovendoci ed operando fisicamente (percorrendo l’autostrada, uti- corso. Le parole denotative, le espressioni connotative, i concetti, i simboli e i significati
lizzando la carta di credito, il bancomat e il telefono cellulare...) o “virtualmente” diventano appunti, pensieri che si ammassano in ordine sparso dentro un conteni-
nella rete (dando e ricevendo informazioni in modo volontario o involontario; tore di fortuna. Quando si incontra un altro viandante, senza forma e senza arti-
richiedendo e concedendo l’utilizzo di una serie di dati personali oppure semplice- colazione logica, quelle parole non riescono ad essere trasmesse, ad essere scambiate.
mente consultando determinate notizie piuttosto che altre...) potrebbero rappre- Non crescono, idee e concetti giacciono pigri, soffocati nel disordine di una sacca. È
sentare un terreno difficile da controllare per le organizzazioni giuridiche statali il dramma della informazione che non riesce a diventare comunicazione, che non
ed internazionali. Per questo occorre formare e diffondere una nuova coscienza ed passa, che non sa essere scambiata e staziona in un archivio in attesa di una sua
una diversa concezione delle responsabilità legate alla gestione delle “informazi- utilizzazione.
oni”. Tali realtà non dovranno essere limitate ai rigidi confini nazionali, troppo “La mia professione – diceva Ballard – è attraversare frontiere”. Anche la nostra; seb-
stretti ed angusti per strumeti completamente slacciati dalla dimensione territoriale, bene non nascondiamo una preferenza per il concetto gadameriano di orizzonte che
ma proiettate verso una visione globale della società umana. lo sguardo non trattiene, che si sposta dal passante al passo, dal viandante al cam-
Il legislatore, in quest’epoca di grandi sconvolgimenti tecnologici, deve pre- mino, vincolo ed opportunità della strada, l’irraggiungibile oltre, un limite senza es-
pararsi ad un complesso ed affascinante lavoro di ricerca e di sperimentazi- sere limitato, la mèta che attrae il passo, il confine che non ha fine, il luogo dei mille
one. La necessità di adattare vecchie norme alle nuove esigenze e di pro- passaggi in una parte di mondo.
gettare sistemi innovativi di regolamentazione, controllo e repressione “L’intelligenza – scriveva Jean Piaget – organizza il mondo organizzando se stessa”.
rappresentano le principali preoccupazioni dei legislatori di tutto il mondo. Fare una rivista, anche semplicemente comporla, costruirla nella coerenza e nella
Con Internet, in particolare, si riassapora la modernità di un vecchio inseg- integrazione delle sue parti, è un modo per organizzare la nostra capacità di intus
namento contenuto, come in una macchina del tempo che lo custodisce e lo legere, di leggere dentro le esperienze del mondo. Fare una rivista scientifica, intera-
preserva sempre attuale, nella celebre frase « ubi societas, ibi ius». mente costruita sul confronto critico tra analisti, protagonisti e problemi, poi, significa
Non comprendere, fino in fondo, la natura e le modalità operative dei rapporti che nas- produrre significati, dare linfa vitale al corpo della realtà, sangue alle membra dei
cono in questo nuovo tessuto sociale vuol dire, in realtà, abbandonare la società globale, fatti ammassati dalla storia. La vita è una produzione di significati. La nostra rivista
virtualmente già nata e operante in rete alla terribile e primordiale legge “di natura” dove è il luogo in cui questi significati crescono e maturano, è uno spazio di comunicazione
il più forte detta le regole che gli altri, più deboli, sono costretti ad osservare e subire. qualificata sui temi e problemi della complessità sociale che l’accademia universitaria
Nel vuoto di tutela e di controllo, ad esempio, le organizzazioni criminali sem- analizza, interpreta, discuta. La nostra rivista è il luogo in cui l’attività di comunica-
pre più attrezzate con supporti tecnici e conoscenze informatiche potrebbero in- zione e confronto scientifico, che si mostra nei seminari e nei convegni, si dimostra,
serirsi al fine di operare fuori da ogni possibile controllo, ricostituendo così vir- prende forma, appare nella sua veste di coerenza epistemologica. L’ambizione è di re-
tualmente quello che l’ordinamento giuridico statale gli ha sottratto fisicamente: alizzare una rivista che, nei settori di nostra competenza, sia un riferimento per l’alta
un territorio feudale dove poter liberamente ideare, progettare e realizzare i pro- affidabilità dei suoi contenuti. Per noi è anche una inderogabile esigenza di mettere
pri interessi. Il ruolo del territorio, un tempo scenario fisico necessario per qua- ordine in una materia che, in Italia, ha sparso e talvolta disperso contributi significa-
lunque tipo di dinamica sociale ed economica, diviene sempre più marginale. tivi nei reticoli della varia editoria. Il suo valore consiste nella opportunità che offre
Come evidenziano i dati citati all’inizio del paragrafo appare ormai consolida- nel trasformare le esperienze in conoscenze e le conoscenze in proposte, nella capacità
ta, sia a livello globale e sia a livello nazionale, la consapevolezza che il costo del che saprà dimostrare nel tentativo infinito di organizzare il mondo organizzando la
crimine informatico ha assunto delle dimensioni di rilevanza allarmante e che, sua intelligenza.
per usare le parole di Corrado Giustozzi, «nell’era della “azienda connessa” ... Alessandro Ceci
Internet e gli hacker sono un capro espiatorio, quando non uno specchio per le allodole,
mentre i veri problemi sono quasi sempre altrove: dentro le nostre aziende ed organiz-
zazioni, non fuori da esse» Alla luce dello scenario che questo breve scritto ha tentato di
illustrare, purtroppo necessariamente solo per punti, occorre, anche se a piccoli passi,.

Febbraio 2011- 01 I quaderni del Campus 12


.Diritto .Informatica

popolarità/curiosità nata attorno al nuovo strumento elettronico. il software oggi riveste nell’ambito di un mercato sempre più globale,
Tale innovativa concezione della struttura del computer divenne, in breve tempo, il dove flussi ingenti di risorse economiche sono legati, in modo di-
modello e la fonte d’ispirazione per la realizzazione del progetto che prese il nome retto ed indiretto, alle vicende di questo nuovo e particolare bene.
di Apple (I e II): il primo computer che riuscì a riscuotere un successo commer- Quello descritto, con rapidi tratti, è solo un quadro generale di ciò che
ciale degno di nota. L’Apple venne progettato da STEVE WOZNIAK e STEVE JOBS, ha determinato, assieme ad altre numerose concause, gli assetti econ-
nel garage dei genitori a Menlo Park (Silicon Valley). Queste due giovani menti, omici e culturali di quella che viene comunemente definita l’era del BIT.
fondatori della famosa “APPLE COMPUTERS”, in una storia che ormai si è tin- Oggi, in un periodo in cui il Mondo torna ad essere sconvolto da conflit-
ta di leggenda, costituiscono il “brodo primordiale” da cui prenderà forma, dopo ti politici, ideologici e religiosi, assistiamo ad una nuova corsa agli arma-
un rapido processo evolutivo di tipo selettivo, la futura “Età dell’Informazione”. menti che probabilmente porterà nei prossimi anni a nuovi impulsi tec-
Alla proposta della “APPLE COMPUTERS”, reagì la possente industria IBM im- nologici capaci di modificare profondamente la nostra vita quotidiana.
mettendo nel mercato un proprio modello di microcomputer. Per testare la for- Alle persone di buon senso, ancora una volta, l’obbligo morale di fare ac-
tuna commerciale di tale prodotto è sufficiente evocare il nome che l’IBM scelse compagnare la corretta diffusione di tali innovazioni, tentando, gra-
di donargli: Personal Computer (PC). Chiaramente, il nome di questo prodotto in- zie all’aiuto indispensabile di studiosi di discipline informatiche e giu-
formatico ha oltrepassato le barriere del tempo per divenire il simbolo stesso di ridiche, di circondare le stesse con quell’anima di giustizia che spesso
un periodo storico di forte fermento culturale e di feconde ricerche scientifiche. manca a scoperte ed invenzioni che, nate ai piedi di un conflitto, rischiano di man-
Il traguardo raggiunto, dall’APPLE e dall’IBM, fu quello di ridimensionare la struttu- tenere nel proprio DNA qualche carattere ereditario non proprio secundum ius.
ra fisica del computer. Non più enormi apparati elettronici costituiti da migliaia di (1) Per questa scoperta ai tre fisici che lo invitarono, Bardeen, Brattain, Shockley, venne attribuito il premio Nobel.
valvole e transistor che richiedevano spazi enormi per l’installazione ed il loro uti- (2) CASTELLS, La nascita della società in rete, op.cit., 45.(3) CUNEGATTI – SCORZA, Multimedialità e diritto d’autore,
Napoli, 2001, 85:« Sul finire degli anni ’50 le industrie del settore informatico, che sino a quel momento avevano investito
lizzo, ma un computer da scrivania, di dimensioni e costi umanamente contenibili ingenti capitali e risorse nello sviluppo dell’hardware, compresero l’importanza e l’utilità del software e, di conseguenza,
Il salto tecnico e culturale fu enorme e i semi di tale innovazi- cominciarono a sviluppare programmi applicativi preconfezionati capaci di risolvere i più diversi problemi degli uten-
ti. Sino al 1969, però, il software rimase, di fatto, un bene accessorio all’hardware ed era, per lo più venduto con questo
one non tardarono a dare frutti in ogni campo dell’attività umana. in un unico pacchetto…(omissis)…dagli anni ’60 ad oggi il software ha radicalmente mutato la sua posizione nel mer-
Bisogna rilevare che in questa prima fase il rapporto hardware/software è di tipo sim- cato informatico trasformandosi da semplice bene accessorio all’hardware ad indiscusso, e incontestato, protagonista.».
(4)CUNEGATTI– SCORZA, , op. cit. , 86.(5)Per un quadro maggiormente esplicativo della recente e complessa sto-
biotico con la netta prevalenza del primo sul secondo. Era inconcepibile, infatti, non ria di Internet si rinvia a: Università degli Studi Roma Tre, Dipartimento di Informatica e Automazione, http://www.dia.
fornire assieme al computer un programma che consentisse allo stesso di funzionare. uniroma3.it/~necci/storia_internet.htm, Wikipedia, http://it.wikipedia.org/wiki/Storia_di_Internet .(6)M. CASTELLS,
La nascita della società in rete, Milano, 2002, 48. Per maggiori notizie sulla storia della Apple si rinvia a: Apple History,
Dopo qualche anno di ricerche APPLE riuscì a raggiungere un nuovo traguardo; http://www.apple-history.com/; Apple Museum, http://www.macitynet.it/applemuseum/ (7)CASTELLS, La nascita della
questa volta l’ingegno degli scienziati andò a colpire, modificandolo profonda- società in rete, op.cit., 45.(8)CUNEGATTI – SCORZA, Multimedialità e diritto d’autore, Napoli, 2001, 85:« Sul finire de-
gli anni ’50 le industrie del settore informatico, che sino a quel momento avevano investito ingenti capitali e risorse nello
mente, il difficile rapporto computer/utente. Tale rapporto venne identificato sviluppo dell’hardware, compresero l’importanza e l’utilità del software e, di conseguenza, cominciarono a sviluppare pro-
come la chiave di volta per garantire il superamento del maggiore ostacolo alla grammi applicativi preconfezionati capaci di risolvere i più diversi problemi degli utenti. Sino al 1969, però, il software
rimase, di fatto, un bene accessorio all’hardware ed era, per lo più venduto con questo in un unico pacchetto…(omis-
diffusione, capillare e trasversale all’interno della società, dell’uso del computer. sis)…dagli anni ’60 ad oggi il software ha radicalmente mutato la sua posizione nel mercato informatico trasformandosi
Le nascita del Macintosh della APPLE (1984) «rappresentò il pri- da semplice bene accessorio all’hardware ad indiscusso, e incontestato, protagonista.».(9)CUNEGATTI – SCORZA, , op.
cit. , 86. (10) Maurizio Di Masi, Riflessioni del Prof. Renato Borruso sull’uomo, il computer e il diritto. L’INFORMATICA
mo passo verso il computer user-friendly, con l’introduzione di una tec- PER IL GIURISTA: DAL BIT A INTERNET, tratta dalla lectio magistralis24 giugno 2010 Scuola di Specializzazione per le
nologia d’interfaccia utente, basata su icone…(omissis)(7)…» .
E’ in questi anni che si solidifica, nella stessa coscienza dei produttori di com- 2. UN VORTICE DI DATI PERSONALI TRA INTERNET E
puter e degli utenti finali, l’importanza e il valore individuale del software (8). NUOVE TENDENZE DEL MERCATO.
L’idea di un valore intrinseco del programma/linguaggio necessario per far co- La diffusione di Internet pone ai giuristi alcuni difficili quesiti che diventano en-
municare l’utente con il computer, al fine di far svolgere a quest’ultimo operazio- igmatici nel momento in cui si considera questa nuova espressione della tecnolo-
ni di vario tipo, era ben presente, sin dagli anni ‘70, nella mente di due giovani gia della gestione delle informazioni in rapporto alla tutela dei dati personali (11) .
studiosi: BILL GATES e PAUL ALLEN. I due giovani imprenditori/studiosi nel Internet nasce come una struttura libera e si sviluppa con estrema capil-
giro di pochi anni, grazie all’idea vincente “Basic”contribuirono in modo de- larità, trovando sempre maggiori consensi, proprio grazie a questo suo
cisivo alla creazione del mercato del software, imponendosi (sotto l’egida del carattere di luogo dove poter condividere, gratuitamente, informazio-
marchio MICROSOFT) nel ramo dei sistemi operativi (Dos – Windows) e de- ni di varia natura (… dalla ricerca scientifica a mere notizie e curiosità..).
gli applicativi (si pensi alla diffusione capillare e mondiale del pacchetto Office). Il problema nasce nel momento in cui questa estrema libertà si pone in rapporto
«E’ accaduto così che la “Cenerentola” software sia oggi divenuto il “mo- con il diritto a vedere tutelati i propri dati personali presenti in rete che, per vari
tore” di un settore industriale che apporta contributi sempre più signifi- motivi, potrebbero essere utilizzati e sfruttati per scopi ignorati dall’interessato.
cativi all’economia mondiale generando occupazione e gettiti fiscali e aumen- La diffusione di questa realtà rende evidente la difficoltà di segnare i confini tra
tando la produttività, la capacità e la competitività dei più diversi settori.(9)» la libertà di inviare/ricevere e cercare/trovare informazioni, da un lato, e la tu-
La macchina, intesa come un insieme di componenti elettronici, senza un tela della riservatezza della persona e dei dati ad essa appartenenti, dall’altro. La
opportuno programma idoneo a fornire le istruzioni per svolgere le di- vasta zona d’ombra è provocata dal conflitto, difficilmente risolvibile con gli at-
verse operazioni e risolvere i più disparati problemi non rappresentereb- tuali strumenti giuridici, tra due contrapposte esigenze, entrambe meritevoli di
be un bene utilizzabile dall’utente. L’utente, infatti, acquista il computer per interesse e protezione da parte dell’ordinamento giuridico: a) l’estremo vantag-
svolgere determinate attività (ad esempio: videoscrittura, gestione della con- gio economico, sociale e culturale che la libera circolazione delle informazioni
tabilità, progettazione e per infiniti altri scopi) e non per la macchina in sé. riesce a produrre; b) l’estremo rischio della riduzione del singolo individuo ad
E’ il software che infonde, in un certo senso, la vita alla macchina; la quale, senza di esso, un ritratto virtuale ottenuto dal rinvenimento e dal trattamento di dati persona-
non potrebbe apparire in alcun modo appetibile. Le diverse industrie del settore infor- li sparsi per la rete o ottenuti, in vario modo, dal soggetto che effettua la ricerca.
matico ben presto percepirono l’importanza di tale inscindibile legame e dedicarono Il rischio di non poter controllare l’utilizzo dei dati persona-
una parte sempre maggiore delle proprie risorse allo sviluppo di pacchetti, insieme di li inseriti nella rete è congenito alla stessa natura dello strumento Internet.
programmi, idonei a risolvere le più svariate esigenze dei futuri e probabili acquirenti. Uno sguardo all’anatomia della “Rete delle reti” può aiu-
Per usare le parole di Borruso “… il computer non è solo una mac- tare a comprendere la sua intrinseca insicurezza (12).
china, poiché come l’uomo, anch’esso è composto di un corpo e di un’ La caratteristica principale di Internet è quella di essere una rete aperta alla quale tut-
“anima”:l’hardware (ossia “la macchina”, il computer nella sua fisicità) e il soft- ti possono connettersi, per i fini più vari, introducendo e/o estraendo informazioni.
ware (complesso di istruzioni attraverso cui l’uomo, mediante la parola scritta I dati personali inseriti per scopi determinati e conosciuti dall’utente, in tem-
o parlata, trasferisce nel computer il proprio pensiero e la propria volontà)… pi e situazioni diverse, possono essere facilmente rintracciati grazie all’utilizzo
Nel computer dobbiamo vedere l’imago mentis dell’uomo: il computer, invero, fa di numerosi e sempre più specializzati motori di ricerca. I dati, una volta in-
quello, e solo quello, che l’uomo gli dice di fare, che l’uomo lo istruisce a fare. In al- seriti nella rete, si distaccano dal fine per il quale sono stati inoltrati e ac-
tre parole “l’intelligenza” del computer non è insita nell’hardware, ma è una proiezi- quistano una vita propria, potendo essere richiamati ed ordinati in base
one del pensiero umano che anima la macchina attraverso uno scritto: il software. all’interrogazione che il procacciatore di informazioni propone, tramite i motori pre-
In tale prospettiva, allora, secondo Borruso risulta corretta la scelta del nostro detti, alla rete. Inoltre, i legami ipertestuali, con cui è possibile passare da un sito web
legislatore di tutelare il software con il diritto d’autore e non con il brevetto: il soft- all’altro, portano con sé un vassoio di dati ed informazioni sui nostri gusti ed interessi utili
ware, infatti, come un’opera letteraria, è una forma che assume la parola umana”(10) ai gestori di servizi in rete ed utilizzabili per scopi ignorati dall’utente che li ha generati.
Da quanto affermato si riesce a percepire l’importanza strategica che. La “profilazione dell’utente”, ossia la messa in evidenza delle linee costituenti

02 I quaderni del Campus 01 - Febbraio 2011


.Diritto .Informatica

10. LE ALTRE FONTI DI DANNO NEL WEB

Accanto alle suddette fonti di pericolo, in internet sono pre- valore aggiunto che caratterizza in modo univoco la rete delle reti rispetto agli al-
senti un’infinita serie di altre minacce. Tra le diverse nei suc- tri mezzi di comunicazione e diffusione della conoscenza. La possibilità di poter
cessi punti si prenderanno in considerazione quelle più diffuse. passare, quasi dialogando con il testo, da un argomento all’altro cercando appro-
fondimenti e creando nuovi collegamenti logici ed intuitivi rende di particolare in-
10.1 ZOMBIE teresse questa realtà. In qualche modo, è lo stesso approccio al “Sapere” che muta
«Se un PC non protetto si connette ad internet, esiste il 50% di proba- favorendo un’acquisizione di tipo “dinamico”, grazie alla quale i diversi livelli e le
bilità che diventi uno zombi in 12 minuti (72)» . Si definisce “zombie” diverse fonti aumentano all’aumentare dei link aperti. La rete internet, nel tempo,
un computer colpito da un virus che viene controllato da remoto da un da inesauribile pozzo di informazioni si è trasformata nel motore propulsore di
utente malintenzionato e non autorizzato all’insaputa del legittimo titolare della mac- una nuova economia che in essa trova la sua simbologia e la sua stessa ragione
china. Un computer zombie è uno strumento nelle mani dei soggetti che abusivamente d’esistere. Bisogna ricercare, quindi, nel suddetto passaggio storico la data di nascita
vi accedono e lo controllano. Normalmente l’obiettivo perseguito con tale tecnica è della dimensione economica del link e della conseguente esigenza di tutela giuridica
quello di utilizzare tutti i computer divenuti zombie per inviare spam, malware, email delle realtà in esame. Se da un lato non creano particolari problemi (economici e
con contenuto fraudolento o materiale pornografico all’insaputa dei proprietari delle giuridici) i collegamenti che rinviano semplicemente alla home-page di un al-
macchine infette. Secondo alcune stime di Sophos (www.sophos.it) più del 60% dello tro sito, essendo interesse dello stesso titolare aumentarne il più possibile la
spamming deriva da computer zombie. Si tratta di cifre impressionanti in considerazi- visibilità, da un altro punto di vista sollevano seri dubbi alcune tecniche di col-
one dei danni che normalmente tali meccanismi arrecano ad un’azienda: interruzione legamento tra siti. Tra le tecniche più utilizzate, due appaiono di singolare in-
di attività, danni alla rete, perdita di dati e informazioni, danni all’immagine (73) . teresse: deep-linking (collegamento con la pagina interna di un altro sito
senza passare per l’home-page); framing (collegamento al contenuto di un al-
(72)White paper Sophos, Siete forse degli spammer ? Per- tro sito visualizzato generalmente all’interno della cornice del sito linkante).
ché è essenziale bloccare i computer zombi, 2005, in www.sophos.it . Per capire le problematiche legate alle predette tecniche di collegamento si deve
(73)White paper Sophos, Siete forse degli spammer ? Per- considerare la fonte primaria del valore/potere economico di un sito: il nu-
ché è essenziale bloccare i computer zombi,2005, in www.sophos.it
mero dei visitatori. In Italia le tesi circa la liceità o meno delle modalità di col-
legamento citate sono numerose e generalmente tese a ricondurre tali fenom-
10.2 CYBERSQUATTING eni, nelle espressioni più esasperate, all’interno delle categorie giuridiche
Viene definita “Cybersquatting” la tecnica di accaparramento di nomi di do-
classiche, ad esempio si è parlato di fenomeni di concorren-
minio al fine di rivendere gli stessi ai legittimi titolari o a soggetti, in partico-
za sleale, di attività confusoria diretta a colpire il valore dei segni dis-
lare imprese di grosse dimensioni e di chiara fama, che possano avere un in-
tintivi dell’azienda e in alcuni casi di violazione del diritto d’autore.
teresse a quel particolare indirizzo nel www che potrebbe rappresentare una
Tuttavia, queste ultime tesi non mettono in evidenza il bene che costituisce la base
fonte di dirottamento dei possibili clienti. Con tale comportamento si vuole ten-
dell’integrità del sito e delle attività che esso veicola: il traffico di “visite” generate e la
tare di instaurare con le aziende bersaglio una trattativa tesa a rivendere alle
sua visibilità nel web. Naturalmente, la tecnica di collegamento denominata “deep-
stesse ad un prezzo notevolmente maggiorato gli spazzi oggetto di interesse.
linking” non deve essere aprioristicamente condannata come mette in evidenza
parte della dottrina (C. ERCOLANO). Tuttavia, se oltre al semplice collegamento si
10.3 HOAX mettono in piedi meccanismi atti a modificare il contenuto del sito linkato o idonei
Con la denominazione hoax(74) si indicano quelle che volgarmente vengono defi- a creare confusione sull’origine del materiale i presupposti per definire “lecito” tale
nite “bufale” ossia dei messaggi contenenti notizie false ed ingannevoli. Alcuni di condotta mutano radicalmente. Considerazioni in parte diverse devono essere fatte
essi sfruttano tecniche di ingegneria sociale per essere rispedite dai destinatari ad per il framing, visto che la probabilità di commettere un illecito per coloro che utiliz-
altre persone implementando la diffusione del messaggio. Tra gli esempi ricorrenti zano tale tecnica è molto più alta. Un approccio “soft” a tali strumenti è il più idoneo
si ricordano tutti quei messaggi che fanno leva sul tasto della compassione e della ad analizzare e comprendere la realtà quotidiana del web, in cui sono gli stessi motori
solidarietà umana chiedendo aiuto per risolvere casi umanitari (totalmente inventa- di ricerca a produrre una straordinaria quantità di “traffico” diretto alle pagine in-
ti o ispirati da fatti di cronaca) attraverso il coinvolgimento di quante più persone terne dei siti. In ogni caso, sia che si tratti di deep-linking che di framing è opportuno
possibili. In questi casi vengono normalmente costruite le storie utilizzando come esaminare la situazione in concreto (caso per caso) per verificare se e in quale misura
ingredienti abituali: bambini ammalati, gravi malattie, necessità d’aiuto. Si tratta di queste attività arrechino un danno giuridicamente rilevante al sito linkato. Ancora
argomenti che coinvolgono immediatamente ed in modo diretto l’immaginario e una volta è il buon senso a dover indirizzare il professionista del web in mancanza
l’emotività umana in modo da indurre il ricevente ad inviare ad altri conoscenti di regole certe ed attualizzate ad un contesto dinamico e in continua evoluzione.
il contenuto del messaggio. A questo tipo di email si affiancano quelli relativi
alla diffusione di pericolosi malware che potrebbero danneggiare in modo grave
i computer chiedendo di diffondere a tutti i conoscenti tali allarmi sulla sicurezza in
quanto provenienti da importanti enti di ricerca o da aziende leader del settore. Il
meccanismo utilizzato dai creatori di hoax è quello di far leva sui sentimenti delle
persone creando un enorme traffico di messaggi fasulli capace di occupare impor-
tanti spazi di memoria sui server di posta elettronica. In molti casi si tratta, quindi,
della versione informatica delle c.d. “catene di Sant’Antonio” dove regnano vec-
chie leggende metropolitane restaurate e vestite di nuovo per il www, un esempio:
«l’origine di questa lettera è sconosciuta, ma porta fortuna a chi la riceve. Chi rompe 10.5 SPAMMING
la catena sarà sfortunato. Non tenere questa lettera. Fai dieci copie e mandale ai tuoi Si definisce spamming (75) uno dei fenomeni più gravi ed allarmanti legati
amici, vedrai che ti accadrà qualcosa di piacevole entro quattro giorni se non rompe- all’utilizzo di Internet, in particolare si tratta dell’invio non sollecitato e richiesto
rai la catena». Anche in questo caso cambia il mezzo, dalla lettera all’ email, ma le di messaggi pubblicitari reiterato nel tempo. Le radici dello spamming devono
tecniche utilizzate sono quelle già utilizzate ben prima della diffusione di internet. rintracciarsi in tecniche commerciali particolarmente invasive utilizzate per pub-
blicizzare un prodotto e/o servizio. Si ritiene che una porzione estremamente
(74)Wikipedia encyclopedia (www.wikipedia.it) : voce “hoax”
consistente del traffico di informazioni veicolato dalla rete attraverso la posta
elettronica sia rappresentato dallo spamming. Questa tecnica pubblicitaria oltre a
10.4 DEEPLINKING E FRAMING. rappresentare un comportamento illecito in sè, rappresenta un danno consistente
E’ sufficiente collegarsi ad internet per rendersi conto di cosa sia per i sistemi informatici aziendali che si devono preoccupare di gestire ed elimin-
un link e della sua rilevanza strutturale, strategica ed economica. are un numero elevatissimo di email spazzatura con dispendio di ingenti risorse.
Il link oggi può essere considerato, a buon titolo, l’insostituibile mattone di internet (75)Wikipedia encyclopedia (www.wikipedia.it) : voce “hoax”
poiché è il collegamento ipertestuale a permettere l’acquisizione di quel particolare

Febbraio 2011- 01 I quaderni del Campus 11


.Diritto .Informatica

gli interessi di ogni singolo utilizzatore della rete, induce a compiere alcune ri- pensi all’acquisto di un bene, coinvolge un numero di soggetti generalmente su-
flessioni. «Tuttavia, è soprattutto nell’ambito delle indagini di mercato che la periore alla norma; infatti, si possono aggiungere al venditore e ai normali vet-
tecnica dei profili conosce una delle più significative e proficue applicazio- tori: la società di marketing, il fornitore dell’accesso e quello del servizio Internet
ni. L’elaborazione delle strategie di marketing registra anzi uno dei suoi mo- e molti altri. Si ricordi, infine, che ogni singolo soggetto coinvolto in questa sem-
menti cruciali proprio nella definizione di profili di consumatori-tipo.» (13) . plice, ed allo stesso tempo complessa, transazione commerciale può raccogliere,
In estrema sintesi, la profilazione consente un duplice vantaggio: archiviare ed eventualmente elaborare e cedere dati relativi agli utenti coinvolti.
1. tramite l’elaborazione di alcuni dati (ad esempio: età, sesso, titolo di studio, Appare chiaro a questo punto che la rete può generare dei dati anche all’insaputa
professione, gusti personali) il produttore riesce ad orientare la produzione sulla dell’utente attraverso lo studio dei suoi spostamenti. Oltre a ciò, accanto a queste fonti
base del risultato scaturente da tali indagini, ottenendo una migliore allocazi- di raccolta più o meno visibili ve ne sono altre totalmente invisibili alle persone meno
one delle proprie risorse conoscendo in anticipo i gusti, gli interessi e le proba- esperte (15), legate in particolare all’esistenza dei c.d. cookies, briciole di informazione
bili reazioni al prodotto dei consumatori “bersaglio” a cui quest’ultimo è diretto che inviate al nostro mezzo di navigazione consentono ad un certo sito web di ricon-
tolo di studio, professione, gusti personali) il produttore riesce ad orientare la pro- oscere l’utente e i suoi movimenti registrandone costantemente gusti ed abitudini.
duzione sulla base del risultato scaturente da tali indagini, ottenendo una migliore I cookies svolgono una funzione importante, ed in alcuni casi insostituibile, nel
allocazione delle proprie risorse conoscendo in anticipo i gusti, gli interessi e le prob- rapporto che si instaura tra utente e un determinato sito; si pensi, ad esempio, ad
abili reazioni al prodotto dei consumatori “bersaglio” a cui quest’ultimo è diretto; un collegamento-dialogo che si trovi già ad un punto avanzato e che venga in-
2. ottenere un incremento delle vendite tramite una pubblicità mira- terrotto per un calo di tensione elettrica o semplice caduta della linea. Grazie a
ta e quanto più “personale” possibile, ritagliando i messaggi promozion- questi strumenti il sito, nei casi in cui tenga memoria delle operazioni predette,
ali dei prodotti sul profilo del destinatario, futuro e probabile acquirente. riconosce l’utente e le operazioni possono riprendere dal punto interrotto.
La profilazione dell’utente telematico «sembra rispondere all’attuale trasformazione Per concludere questo breve ed incompleto discorso introduttivo
del sistema di produzione e distribuzione delle merci, da sistema prevalentemente si vuole tentare di delineare, solo per punti, la fenomenologia dei
di produzione di massa a sistema di personalizzazione di massa (14)» . Le nuove dati personali potenzialmente presenti e generati in Internet (16)
dinamiche del mercato sono sempre più dirette alla ricerca di beni corrispondenti I primi dati personali che sono consegnati, in alcuni casi “ceduti” come prezzo per
alle esigenze dei singoli e sempre meno segnate dall’analisi dei gusti di una massa il servizio, da un “navigatore della rete” sono quelli relativi agli abbonamenti ai
informe e non definita. L’incisività di questi nuovi approcci commerciali è diret- diversi servizi di accesso ad Internet che vengono dai gestori ordinati in banche
tamente collegato al grado di pianificazione utilizzato nell’elaborazione del piano dati. L’elenco degli abbonati contiene, normalmente, i dati anagrafici e username,
pubblicitario di attacco vs i possibili/probabili clienti. L’ elemento necessario e dis- un codice di identificazione assegnato al singolo utente in cui non vi sono par-
criminante in tali pianificazioni è rappresentato dal numero e dalla qualità delle op- ticolari restrizioni, almeno per le notizie di carattere generale, al suo accesso.
erazioni di archiviazione, elaborazione e catalogazione di dati utili. Internet, assieme Questo secondo archivio o livello di informazioni non è accessibile al pubblico, perché
ad altre espressioni delle nuove tecnologie, ha notevolmente contribuito a rendere è proprio grazie alla combinazione dell’inserimento contestuale di username e pass-
meno onerose le operazioni di raccolta e gestione delle informazioni necessarie alla word che il gestore del sistema consente all’utente di accedere ad Internet o ai servizi
creazione di un profilo del consumatore “tipo” del prodotto da commercializzare. di cui è fornitore. Agli archivi, o livelli di informazioni, predetti se ne aggiunge un
Una seconda caratteristica dela rete è data dalla sua congen- altro: quello dei log, registrazione automatiche dei principali dati relativi ai collega-
ita indole interattiva. Internet necessita, a differenza della radio o della menti ed alle attività svolte durante la connessione/navigazione. I log generati posso-
televisione, di una partecipazione dell’utente che ne solleciti l’attivazione no essere anche molto minuziosi e per questo è necessario un attento controllo ed una
e ne provochi la produzione di notizie. E’ l’utilizzatore del servizio forte limitazione dell’utilizzo degli archivi in cui tali informazioni vengono custodite.
a scegliere l’indirizzo dei propri interessi e della propria curi- «Viene comunemente chiamato data log il registro elettronico tenuto dagli In-
osità interagendo con la rete e con le informazioni in essa contenute. ternet provider e dal quale è possibile risalire…all’identità dei soggetti che uti-
Questo rapporto biunivoco navigatore / Internet e Internet / navigatore pro- lizzano la rete soprattutto nel caso, in cui, attraverso la rete, siano consumati
duce esso stesso delle nuove informazioni che vengono archiviate ed elaborate.. fatti illeciti (sia sotto il profilo civilistico sia sotto quello penalistico), onde trasmet-
Un soggetto che visita quotidianamente, ad una determinata ora del giorno, un par- tere tali informazioni all’autorità giudiziaria o, comunque, per es-
ticolare sito richiedendo la visualizzazione di un certo tipo di informazioni è una imersi da responsabilità civile nei confronti dei terzi» (17).
fonte preziosa di dati. Queste comuni e frequenti situazioni possono rappresentare, Una seconda serie di dati è quella relativa alle informazioni personali conte-
per un fornitore di servizi, una proficua serie di informazioni utili al fine di model- nute all’interno della posta elettronica. «La posta elettronica consiste nella tr-
lare ed integrare la propria attività sul cliente bersaglio ed eventualmente rendere la asmissione di messaggi asincroni ad personam. Ogni soggetto dotato di una
pagina web, estrinsecazione virtuale della sua attività, una vetrina appeti- casella elettronica ha un indirizzo al quale i vari computer servitori delle reti
bile ad altre e diverse attività commerciali che si rivelano, dall’elaborazione dei (server), dopo aver fatto rimbalzare il messaggio da un punto all’altro della rete,
dati così ottenuti, interessanti per quel tipo, determinato, d’utente. In questa fanno arrivare, in modo automatico, i messaggi indirizzati a tale utente (18)» .
breve panoramica introduttiva al difficile rapporto tra la tutela dei dati per- Altri dati personali sono contenuti all’interno del world wide
sonali ed Internet si deve ricordare il carattere internazionale della rete. web, newsgroup, blog, facebook ed altri social network...
Non solo non ci sono frontiere, ma la stessa distanza fisica da un luogo all’ altro del
mondo non rappresenta più un problema perché è virtualmente superata dalle nuove
tecnologie. Per questo motivo, nella rete, spesso la scelta della via idonea a congiungere
due punti non è quella fisicamente più breve; è probabile, infatti, che un messaggio inol-
trato da Roma e diretto a Firenze transiti per un vettore che si trovi a Parigi o a Londra..
L’ultima caratteristica che viene sottolineata come rilevante da uno studioso (11) Per comprendere la dimensione del problema della gestione sicura dei dati persona-
li all’interno delle strutture aziendali si rinvia a: LUCA SANDRI, La tutela del dato personale in azien-
del fenomeno, POULLET, è la molteplicità di operatori che operano nella rete. da, in AA.VV., Sicurezza e privacy: dalla carta ai bit (a cura di G. COSTABILE), Forlì, 2005, 25 e ss.
Un esempio concreto, ancora una volta, può essere utile per far percepire lo sce- Per approfondimenti sul punto si suggerisce la lettura di: POULLET, Riservatez-
za e sicurezza delle reti, in supplemento n.1 al bollettino n.5 della Presid. del Consiglio dei ministri.
nario: su Internet una attività relativamente semplice, si pensi all’acquisto di (13) MACCABONI, La profilazione dell’utente telematico fra tecniche pubblici-
un bene, coinvolge un numero di soggetti generalmente superiore alla nor- tarie ondine e tutela della privacy, in Il diritto dell’informazione e dell’informatica, 2001, 425.
(14) MACCABONI, La profilazione dell’utente telematico fra tecniche pubblicitarie ondine e tu-
ma; infatti, si possono aggiungere al venditore e ai normali vettori: la società tela della privacy, op.cit., 426; SAMARAJIVA, Interactivity as though privacy matterei, in AGRE
di marketing, il fornitore dell’accesso e quello del servizio Internet e molti al- – ROTEMBERG, Technology and Privacy: The new Landescape, Massachusetts, 1997, 277.
(15) ROSSI, Lo spyware e la privacy, in Diritto delle nuove tecnologie informatiche e dell’internet (a cura di GIUSEPPE
tri. Si ricordi, infine, che ogni singolo soggetto coinvolto in questa semplice, CASSANO), IPSOA, 2002, 184: « Ad oltre trent’anni di distanza dalla nascita di Internet, con il consolidarsi di pratiche.
ed allo stesso tempo complessa, transazione commerciale può raccogliere, ar- universalmente adottate dal popolo dei “navigatori” su cui gli ordinamenti statali di tutto il mondo sono intervenuti nel tentativo
di tutelare la riservatezza…(omissis)… si verifica una serie indefinita di situazioni e di occasioni in cui la privacy viene non solo
chiviare ed eventualmente elaborare e cedere dati relativi agli utenti coinvolti. violata, ma in alcuni casi anche messa al servizio di imprese che, nella migliore delle ipotesi, sono pubblicitarie e di marketing. ».
Appare chiaro a questo punto che la rete può generare dei dati anche all’insaputa universalmente adottate dal popolo dei “navigatori” su cui gli ordinamenti statali di tutto il mondo sono intervenuti nel tentativo
di tutelare la riservatezza…(omissis)… si verifica una serie indefinita di situazioni e di occasioni in cui la privacy viene non solo
dell’utente attraverso lo studio dei suoi spostamenti. Oltre a ciò, accanto a violata, ma in alcuni casi anche messa al servizio di imprese che, nella migliore delle ipotesi, sono pubblicitarie e di marketing. ».
queste fonti di raccolta più o meno visibili ve ne sono altre totalmente in- (16)SCALISI, Il diritto alla riservatezza, Milano, 2002, 307: « possiamo distinguere, essenzialmente, quattro categorie di in-
formazioni: a) dati personali relativi agli abbonati normalmente ordinati in banche dati…b)dati e informazioni personali
visibili alle persone meno esperte , legate in particolare all’esistenza dei c.d. relativi alla posta elettronica…c) le notizie sul world wide e newsgroup…d) dati relativi agli spostamenti sul world wide web».
cookies, briciole di informazione che inviate al nostro mezzo di navigazione (17)MONDUCCI, Il trattamento dei dati personali nei contratti on line, in Diritto delle nuove tec-
nologie informatiche e dell’internet ( a cura di GIUSEPPE CASSANO), IPSOA, 2002, 593.
consentono ad un certo sito web di riconoscere l’utente e i suoi (16) GRIPPO, Intenert e dati personali, in Privacy,op.cit., 296.

03 I quaderni del Campus 01 - Febbraio 2011


.Diritto .Informatica

trojan horse assieme alle vulnerabilità dei server e di internet. La carat- 9.3 PHISHING
teristica di tale tecnica risiede nella combinazione di più minacce per Il termine phishing (67) deriva dal verbo inglese to fish (lett. pescare) ed infatti la
la realizzazione di un fine illecito. In particolare, numerosi malware tecnica utilizzata in questo particolare tipo di truffa si basa principalmente sul lan-
aprono nel computer infetto porte di comunicazione con l’esterno. Un malinten- cio di un’esca attraverso il contenuto di una email nel mare della rete ed attendere
zionato, ad esempio, può sfruttare tali vulnerabilità per sferrare un attacco o sem- che ignari internauti abbocchino ad essa (68) . L ’obiettivo del phisher è quello di
plicemente per visualizzare, copiare, modificare il contenuto del sistema colpito. ricavare informazioni e soldi dalla propria attività truffaldina sfruttando, con in-
gegnosi stratagemmi, la fiducia e l’ingenuità degli utilizzatori meno esperti della
(62) Wikipedia encyclopedia (www.wikipedia.it) : voce “spoofing ” rete. In Italia si segnalano, in questi ultimi tempi, numerosi tentativi di phishing
(63) Kris Jamsa, Hacker Proof, Sicurezza in Rete, Milano, 2002, 311 posti ai danni dei clienti di istituti bancari. La tecnica utilizzata consiste nell’invio
di un elevato numero di email a destinatari casuali con cui venivano informati i
clienti che la banca “civetta” per ragioni tecniche (trasferimento del database dei
9. LE TRUFFE DEL WWW clienti o del sito, verifiche periodiche o problemi tecnici) richiedeva loro di col-
legarsi al sito per compilare un questionario o semplicemente per confermare le
proprie credenziali di autenticazione. L’inganno risiede nel fatto che il sito cui si
fa riferimento nel messaggio non è il vero sito dell’istituto di credito ma un sito
Uno dei maggiori pericoli provenienti da Internet è quello relativo alle truffe che
“clone” sotto il diretto controllo dei truffatori. La pagina web su cui è dirottata la
nascono e si diffondono sfruttando l’anello più debole di un qualunque circuito di
vittime riproduce la stessa grafica del sito ufficiale della banca per trarre in ingan-
sicurezza aziendale: l’uomo. Molte delle tecniche utilizzate per ricavare dati ed in-
no il malcapitato cliente che ha abboccato all’iniziativa. Se in un primo momen-
formazioni utili al raggiungimento di un obiettivo criminoso sono attinte sfruttando
to i tentativi di phishing erano realizzati con email scritte con grossolani errori di
alcune delle più semplici debolezze come l’ingenuità, il fattore sorpresa, la trascu-
ortografia e sintassi, oggi i nuovi tentativi di truffa vengono realizzati utilizzando
ratezza nel custodire le informazioni riservate, la voglia di parlare del proprio lavoro
un perfetto italiano con la conseguenza di moltiplicare esponenzialmente il nu-
e dei traguardi raggiunti ed altre umane fragilità. In altre parole, il punto su cui i ma-
mero delle possibili vittime. Per comprendere l’efficacia di questo particolare tipo
lintenzionati fanno leva per scardinare il sistema di sicurezza informatico è spesso
di truffe è utile riportare alcune conclusioni contenute nel white paper Sophos sul
la fiducia dei dipendenti della stessa azienda. Di seguito si esamineranno alcune
phishing: «Gli autori di questi attacchi di phishing sono consapevoli che la grande
delle più diffuse tecniche che risultano vincenti solo se si riesce a coinvolgere in
maggioranza dei destinatari non ha rapporti con l’organizzazione nominata nel
modo efficace il soggetto bersaglio e le persone che ruotano attorno all’azienda tras-
messaggio email, ma questo ha poca importanza. Infatti, i phisher sanno bene che
formando la futura vittima in un inconsapevole ed insostituibile “complice” (64) .
è sufficiente che una piccola percentuale dei destinatari sia titolare di un conto
(64) Per un quadro delle più pericolose ed allarmanti condotte criminali realizzate con la presso l’organizzazione presa di mira per far sì che l’ operazione sia valsa la pena.
complicità delle tecnologie informatiche si rinvia al sito della polizia postale e delle comuni- Anche se solo una minima parte dei destinatari cade nella rete dei phisher, ques-
cazioni http://www.poliziadistato.it/pds/informatica/index.htm ti ultimi possono ricavarne un enorme guadagno mentre il sito è attivo (69)» .
L’ evoluzione della tecnica ha condotto molti phisher ad utilizzare assieme al phishing
9.1 SOCIAL ENGINEERING anche dei particolari malware di tipo trojan horse che consentono un accesso abusivo
La figura dell’ingegnere sociale è strettamente legata all’analisi dei com- al sistema infetto. La nuova tecniche prende il nome di trojan phisher (sleeper bugs). Tali
portamenti del personale aziendale e/o del singolo professionista/per- malware risedendo in memoria riescono a memorizzare, monitorando tutte le attiv-
sona bersaglio al fine di carpire informazioni rilevanti per portare a ter- ità, le informazioni degli utenti relative all’accesso ad un servizio di internet banking.
mine il piano criminoso (sferrare un attacco o compiere una truffa). Si abbandona così il sito “clone” per agire in modo più silenzioso e senza la nec-
Con l’espressione social engineering (65) si indica una tecnica che consente di super- essaria partecipazione diretta della vittima. Un’altra forma di phishing particolar-
are le barriere tecnologiche poste a tutela dei sistemi informatici aziendali sfruttan- mente pericolosa, ed in notevole aumento, è quella denominata spear-phishing
do la fiducia della vittima. Lo scopo di un social engineer può essere così sintetiz- con cui si inviano email che appaiono provenire da dipartimenti o settori della
zato: «L’obiettivo è quello di ottenere informazioni che permettano libero accesso stessa azienda dell’utente bersaglio. Le vittime, assicurate dal fatto che la co-
all’interno del sistema e ad informazioni di valore che risiedono in quel sistema. (66)» . municazione appare provenire dalla propria azienda, rivelano così informazi-
Un social engineer utilizza le armi della finzione, dell’inganno e del- oni che possono essere utilizzate per sferrare un attacco o realizzare una truffa.
la persuasione in quanto deve riuscire, nascondendo la propria iden-
tità, a ricavare informazioni (o porzioni di esse) senza che la stessa vitti-
(66) MARIA LICIA FRIGO, Ingegneria sociale e psicologia: il fattore umano nel proces-
ma sospetti di fornire dati idonei a rendere vulnerabile il sistema informatico. so della sicurezza, in AA.VV., Sicurezza e privacy: dalla carta ai bit (a cura di G. COSTA-
La raccolta delle informazioni dalla vittima può richiedere anche diversi giorni BILE), Forlì, 2005, 25:(67) Kris Jamsa, Hacker Proof, Sicurezza in Rete, Milano, 2002, 311
e deriva in particolare da fonti quali email, telefono, fax, notizie reperibili in rete (67) Wikipedia encyclopedia (www.wikipedia.it) : voce “phishing”
(si pensi facebook), analisi delle informazioni pubblicate nel sito o nel materiale (68) Per maggiori informazioni sul phishing si rinvia al sito www.anti-phishig.
informativo/pubblicitario, elenchi di informazioni pubbliche (albi professiona- it in cui sono presenti molti esempi di truffe realizzate attraverso tale tecnica.
li, camere di commercio, anagrafe comunale ...). La fase successiva è quella della (69)White paper Sophos, Il phishing e la minac-
verifica e dello studio delle informazioni raccolte. L’ingegnere sociale, infatti, deve cia alla sicurezza delle reti aziendali, 2005, in www.sophos.it
impersonare una parte fisicamente e/o virtualmente per trarre in inganno la vit-
tima. Tra le tecniche utilizzate vi sono, ad esempio, quelle di: cercare nella spaz-
zatura alla ricerca di codici, numeri di telefono e altre informazioni utili; fin-
gersi un cliente con poche conoscenze informatiche e chiedere informazioni
dettagliate sul servizio erogato dall’azienda; fingersi un dipendente della società
che ha venduto il software all’azienda e chiedere di poter accedere (fisicamente o
in remoto) alle macchine per installare nuove versioni o aggiornamenti e molte al-
tre dettate dalla fantasia e dalle capacità tecniche e culturali dell’ingegnere sociale. 9.4 DIALER
Con il termine dialer(70) sono denominati quei software programmati per
(65) Wikipedia encyclopedia (www.wikipedia.it) : voce “social engineering”
far comporre al modem un numero di telefono dal computer in sono instal-
lati in modo automatico e senza l’intervento dell’utente. Tali software pos-
9.2 SPAM sono essere utilizzati illecitamente per arrecare un danno con un ingius-
L’ insidia in esame consiste nell’ inoltro di email contenenti promesse di enor- to profitto a favore di chi lo ha programmato e illecitamente diffuso. Tali
mi guadagni in cambio di un piccolo anticipo di denaro. Si tratta di un ten- malware, infatti, compongono un numero telefonico a tariffazione maggiorata
tativo di truffa normalmente correlato ad attività di spam. Lo scam spesso si con il conseguente ed inevitabile aggravio dei costi della bolletta telefonica (71) .
presenta sotto forma di grossi trasferimenti di somme di denaro da Paesi es-
teri (famoso è il Nigerian Scam) dietro il versamento di una cauzione op- (70) Wikipedia encyclopedia (www.wikipedia.it) : voce “dialer”
pure di ingenti vincite alla lotteria che saranno versate al malcapitato diet- (71) Con la diffusione delle connessioni ADSL il rischio “dialer” si è ridotto nel tempo.
ro pagamento di una famigerata tassa di entità irrisoria rispetto alla vincita.
Febbraio 2011- 01 I quaderni del Campus 10
.Diritto .Informatica

3. IL COMMERCIO NELLA SOCIETA’ DELL’INFORMAZIONE: 4. L’INSOSTENIBILE INSICUREZZA DELLA SOCIETÀ


UNA QUESTIONE DI FIDUCIA E SICUREZZA. DELL’INFORMAZIONE: ALLA RICERCA DEL BENE GIURID-
ICO DA DIFENDERE.
Nella vita di una moderna azienda la sicurezza dovrebbe occupare un ruolo di pri- La sicurezza informatica (23), definibile come la scienza che si occu-
maria importanza. Parlare di sicurezza, tuttavia, non vuol dire realizzarla concre- pa di studiare soluzioni idonee a fornire lo standard più alto di sicurez-
tamente nelle quotidiane dinamiche commerciali. La dimensione della sicurezza za tecnicamente raggiungibile dei sistemi informatici, si deve far cari-
informatica è consapevolmente trascurata e se realizzata viene semplicemente iden- co di rappresentare in una società come quella odierna ad alto grado di
tificata dagli organi apicali e dirigenziali come un “costo”. Probabilmente, questo informatizzazione il punto di frizione e tenuta tra la società in ampio senso intesa e
approccio superficiale è determinato dalle scarse informazioni sull’entità dei rischi i crimini perpetuati attraverso o sulle nuove tecnologie informatiche e telematiche.
che gravano sull’azienda, in generale, e sul patrimonio informativo della stessa, «In altre parole “sicurezza” è tutto ciò che permette ad un’azienda di restare tale.
in particolare. E’ opportuno ricordare, infatti, che nella società dell’informazione (Omissis) Oggigiorno qualsiasi azienda, dalla media impresa alla grande multina-
i beni da proteggere sono sempre più immateriali e che i rischi legati all’integrità zionale, affida gran parte dei propri processi di business ai sistemi informativi e
dei suddetti beni non sono facilmente trasferibili con sistemi di tipo assicu- quindi alle informazioni (dalla fatturazione ai processi produttivi vitali). Quando
rativo poiché si tratta di beni dotati di un intrinseco e non fungibile valore. un evento dannoso, sia esso di origine naturale o doloso, colpisce i sistemi che
Uno dei pregi del codice in materia di protezione dei dati personali (D.Lgs. 196/03) gestiscono le informazioni di cui l’azienda ha bisogno, quasi sempre si traduce
è quello di aver posto all’attenzione degli amministratori delle piccole e grandi in una brusca interruzione dei processi aziendali e quindi del fatturato (24)» .
aziende il problema della sicurezza dei dati personali e della intrinseca fragilità (19) . Per tale motivo appare sempre più necessario diffondere una cultura della
La sicurezza informatica e la conseguente difesa dai crimini informatici rappresenta- sicurezza in azienda già presente, per altri aspetti, nella vita quotidiana in cui,
no, per le aziende che hanno deciso di fare commercio elettronico o semplicemente ad esempio, nessuno: a) si avventurerebbe da solo, senza difesa, di notte in un
di utilizzare Internet come strumento di lavoro per migliorare l’efficienza produttiva, vicolo malfamato di una sperduta e sconosciuta città; b) darebbe le proprie in-
il primo e reale moltiplicatore di fiducia. La difficoltà di ricercare ed offrire una defi- formazioni personali, più o meno sensibili, ad un soggetto sconosciuto che le
nizione idonea ad esplicitare cosa oggi rientri nell’espressione “commercio elettroni- chiedesse per strada; c) concederebbe, in genere, la propria fiducia se non dopo
co” risiede nel fatto che tale realtà è soggetta al continuo e frenetico evolversi della tec- aver attestato la solidità del rapporto con l’istituzione o la persona che la richiede.
nologia informatica e delle conseguenti nuove ed imprevedibili possibilità che, con Il primo problema da risolvere è quello di individuare, anche se in modo gen-
cadenza sempre più ravvicinata, sono offerte all’attenzione degli operatori commer- erale ed astratto, il bene oggetto della politica di sicurezza. Bisogna, in al-
ciali e degli stessi consumatori (20) . Il commercio elettronico non è, quindi, solo un tre parole, andare al cuore del problema potando ed eliminando dalla ricer-
fenomeno squisitamente “economico” che trova in Internet una formidabile “rotta ca tutto quello che si manifesta solo come riflesso e conseguenza di un bene
commerciale” capace di creare relazioni tra mercati fisicamente lontani, ma diviene, di fondamentale importanza per l’esistenza stessa della realtà aziendale.
anche e soprattutto, un fenomeno sociale ed in ampio senso culturale. L’instaurazione Il problema della c.d. privacy (25) e quello della sicurezza dei dati personali non sono
di rapporti commerciali per via “informatica” veniva effettuata con successo già pri- altro che esternazioni e specificazioni tematiche di quello che in realtà è l’oggetto della
ma della diffusione capillare della rete Internet. Tuttavia, tali procedure negoziali sicurezza: il “dato informatico”. Per esso, ai fini di questo scritto, convenzionalmente
potevano essere condotte solo tramite l’invio di dati attraverso un sistema chiuso al si deve intendere quell’insieme di bit che avendo la possibilità di essere conservato,
quale gli operatori avevano preventivamente deciso di aderire, accettando le regole manipolato o semplicemente veicolato tramite un sistema informatico o telematico
e i protocolli per mezzo dei quali condurre e concludere le diverse operazioni (21). necessita di un circuito di sicurezza che ne garantisca una complessa serie di parametri.
L’evoluzione della tecnica informatica e dello stesso costume sociale ha determi- Innanzitutto, deve essere garantita la disponibilità e l’integrità dei dati a chi ne ha diritto
nato, nel tempo, l’affermarsi di una nuova visione di Internet e delle sue potenzial- attraverso una serie di politiche atte a facilitare l’accesso e il reperimento dei dati affian-
ità “imprenditoriali”. Nel diffondersi di una fitta rete di relazioni commerciali che cate da accorgimenti tesi a ridurre il rischio di modifiche accidentali o non autorizzate.
trovano “on-line” un formidabile momento di incontro tra domanda e offerta di La disponibilità deve essere intesa parte essenziale del processo di sicurezza costitu-
prodotti e servizi, si può individuare il momento di passaggio da un commercio endone il limite oltre il quale le ristrettezze e i confini imposti per garantire l’integrità
elettronico di tipo chiuso, in cui gli operatori dovevano preventivamente “entrare del dato non devono o possono andare: a che serve tutelare e difendere, impedendo
a far parte del sistema” accettandone le regole, ad un commercio elettronico “ap- o rendendo difficoltosa la disponibilità da parte degli aventi diritto, un bene che è
erto”, in cui tutti coloro che intendono effettuare transazioni di qualsiasi natura tale solo in virtù del suo utilizzo e della rapidità con cui è concretamente fruibile?
possono, senza preventivamente dover entrare a far parte di una “comunità pre- Il rapporto tra sicurezza e disponibilità del dato informatico è un rap-
costituita” e in un certo modo “garantita”, accedere al mercato globale ed alle porto mezzo/fine: il dato è rilevante perché la sua disponibilità è “sicura”.
sue offerte. L’attuale e il futuro sviluppo di questo particolare commercio rimane Per quanto riguarda l’integrità del dato informatico, il sistema
però legato alla soluzione dell’annoso problema di generare, ancor prima che prof- sicuro deve garantire che esso possa essere sempre disponibile in modo integro.
itto (in termini economici), fiducia nei consumatori verso l’utilizzo dei mezzi di Per garantire tale parametro il sistema deve munirsi non solo di meccanismi tesi
pagamento “elettronici”. La sicurezza dei dati informatici e delle reti che li veicol- a proteggere il dato dall’esterno e dai soggetti non autorizzati a disporne ma anche
ano è oggi il maggiore problema da risolvere per garantire un corretto sviluppo e, principalmente, da un nemico più sfuggente e di cui è difficile prevedere in an-
delle nuove tecnologie in e per l’azienda. Un moderno staff manageriale deve con- ticipo le mosse e i bersagli: lo stesso utente legittimato (robustezza del sistema).
tinuamente confrontarsi, infatti, con uno scenario mutevole di rischi provenienti La tutela contro le cancellazioni o le modifiche che per casualità o inesperienza
dall’interno e dall’esterno della struttura aziendale (22). Ancora una volta, così possono essere causate da un utente non accorto o inesperto spesso producono,
come nel passato per altri tipi di mercati, è la misura dell’affidamento nella sicurez- anche nel quotidiano rapporto con le nuove tecnologie, danni gravi e costosi.
za del mezzo che consente alla transazione di giocare un ruolo determinante Tra i parametri rientranti e costituenti la sicurezza informatica, sem-
nell’affermazione di un commercio che trova la sua linfa vitale in un flusso di dati ed pre più sintesi di caratteristiche e proprietà eterogenee piuttosto che en-
informazioni veicolati attraverso una rete informatica. Se la sicurezza dei mezzi di tità monotematica, rientrano, inoltre, l’autenticazione e la riservatezza.
pagamento fruibili attraverso Internet è alla base del futuro del commercio elettron- Autentico è ciò che: «risponde a verità… la cui conformità è attestata da un notaio o da
ico, l’affermarsi di quest’ultimo rappresenta, a sua volta, la premessa logica dello altro pubblico ufficiale a ciò autorizzato e che fa fede come l’originale; vero, genuino, schi-
sviluppo della stessa società dell’informazione. Non comprendere fino in fondo il etto…; attribuito in modo irrefutabile a un autore, non imitato né falsificato (26)…» .
legame che unisce in modo indissolubile queste due realtà, vorrebbe dire trascurare Nell’ ambito della sicurezza informatica, autentico è generalmente utilizzato
una rilevante chiave di lettura per comprendere le vicende storiche legate alla pro- nell’accezione attribuente la paternità di un dato ad un soggetto ben determi-
duzione normativa, nazionale ed internazionale, di questi ultimi anni in tema di uti- nato. Solo attraverso la certezza che la richiesta, o la risposta, provenga dal sog-
lizzo delle nuove tecnologie informatiche, in generale, e di Internet, in particolare. getto avente diritto si possono ipotizzare rapporti qualificabili come sicuri.
Specificando ulteriormente, per quanto riguarda l’accesso è necessario che il sis-
(20)In tema di commercio elettronico si rinvia per ulteriori approfondimenti a:AA.VV., Analisi economica del diritto privato,
Milano, 1998; G. ALPA- V. LEVI, I diritti dei consumatori e degli utenti, Milano, 2001; A. ANTONUCCI, E-Commerce, La tema possa identificare e riconoscere l’utente al fine di poter mettere il soggetto au-
direttiva 2000/31/CE e il quadro normativo della rete, Milano, 2001; T. Ballarino, Internet nel mondo della legge, Padova, torizzato nelle condizioni di esercitare il proprio diritto alla disponibilità del dato.
1998; COMMANDE’ G. SICA S., Il commercio elettronico.Profili giuridici, Torino, 2001; DELFINI F., Contratto telema-
tico e commercio elettronico, Milano, 2002; C. SARZANA DI S. IPPOLITO- F., Profili giuridici del commercio via Inter- Tra i mezzi più diffusi si possono rinvenire quelli che si basano sulle pass-
net, Milano, 2000; FULVIO SARZANA DI S. IPPOLITO, I contratti di Internet e del commercio elettronico, Milano, 2001 word, sui sistemi biometrici e su smart card supporto di diverse tecnologie
(21)PARODI-CALICE, Responsabilità penali e Internet, Milano, 2001,169
(22)AA.VV., Inside Attack, Tecnich di intervento e strategie di prevenzione, Roma, 2005, 17. Altra sfaccettaturadainserire all’interno del più ampioconcetto“sicurezza informatica”

04 I quaderni del Campus 01 - Febbraio 2011


.Diritto .Informatica

(50)SISTO, Le diverse modalità di distribuzione del software: freeware, shareware e trial ver-
sion, op.cit., 1063: « …omissis…il freeware, software con riserva di copyright, il quale non è ab-
8. ATTACCHI INFORMATICI
binato ad una definizione precisa, ma in generale viene inteso come software gratuito, del quale
però, elemento importantissimo, non viene reso il codice sorgente. Infatti l’autore di questo tipo
di software concede il diritto di riprodurlo e distribuirlo solo in ipotesi molto rare, accordando La guerra quotidiana tra chi attacca un sistema e chi lo difende è combattuta sul
raramente il diritto di modificarne una parte, realizzando così una sorta di ibri- campo di battaglia di una rete di computer tanto a livello aziendale quanto a liv-
do tra software libero e proprietario. Con il suffisso “free” si tende ad indicare poi ello globale. Gli obiettivi di un attacco al sistema informatico di un’azienda pos-
solo la gratuità del prodotto, non invece la totale libertà di modificazione e diffu-
sono essere diversi: 1. vandalici o dimostrativi; 2. estorsivi; 3. di ritorsione e/o
sione concessa all’utente/utilizzatore come avviene nel caso del software libero».
(51)SISTO, Le diverse modalità di distribuzione del software: freeware, shareware e trial ver- rappresaglia (provenienti, ad esempio, da concorrenti o ex-dipendenti); 4.
sion, op.cit., 1064: « Nell’ampia categoria di software “non libero” rientra sicuramente la tipo- di captazione di segreti industriali o di informazioni riservate; 5. di alterazi-
logia dello shareware, particolare forma di programma per elaboratore, attraverso la quale one documenti e dati; 6. di paralisi, più o meno estesa, delle attività aziendali.
il “titolare” concede all’utente la possibilità di ridistribuzione e di utilizzare per un tempo Le informazioni possono essere custodite all’interno di comput-
determinato il prodotto. Attraverso l’utilizzo del try & buy sarà possibile pertanto prendere er aziendali (in una condizione di “stasi”) oppure essere veicolate at-
visione del prodotto nella sua integrità e nel caso in cui si fosse soddisfatti delle caratteristiche traverso la rete locale o internet (in condizione di “transito (58) ”).
proposte, comprarlo, versando il danaro richiesto direttamente nelle tasche del produttore.». In base allo stato in cui si trovano, le informazioni sono sottoposte a modal-
(52)ROSSI, Lo spyware e la privacy, op. cit., 188: «negli ultimi temi si sta diffondendo tra le case
ità di attacco diverse in ragione delle diverse vulnerabilità a cui sono soggette.
produttrici di software una modalità di distribuzione particolare, e cioè il cosiddetto adware.
Viene quindi permesso l’utilizzo gratuito e a tempo indeterminato di un programma a patto che Le principali modalità di attacco possono essere ricon-
l’utente si sottoponga ad una serie di comunicazioni a carattere promozionale, in genere sotto dotte a: denial of service, sniffing, hijacking, spoofing.
forma di banner pubblicitari che compaiono nel proprio browser o direttamente nel program-
ma in questione. I banner pubblicitari vengono prelevati da un server web dedicato, stabilendo 8.1 DENIAL OF SERVICE
un collegamento tra il computer e il server web. Per ogni banner visualizzato nel programma, L’ attacco DoS (59) (lett. Interruzione del Servizio) è un particolare tipo
il suo autore percepisce un compenso che, seppure modesto, concorre ad un business mil- di attacco il cui obiettivo è quello di mettere fuori servizio, ossia ren-
iardario se moltiplicato per le decine di migliaia di persone che utilizzano quel programma».
dere inutilizzabile, la risorsa oggetto dell’attacco. Numerose sono le con-
(53) CIAMBERLANO, Spyware Story, www.dirittoesicurezza.it..
(54)Per la definizione di “domini di sicurezza” appare opportuno riprendere quanto scritto dotte che possono assicurare il raggiungimento del suddetto obiettivo.
in merito da CIAMBERLANO, Spyware story, op.cit.: «I programmi eseguibili in un sistema «In generale un attacco denial of service mira a consumare le risorse del sistema, im-
operativo sono solitamente confinati in quelli che vengono chiamati in gergo informatico pedendo agli altri utenti di utilizzarle (60)» . Una delle tecniche più utilizzare è quella
“domini di protezione”; ciascun dominio (che astrattamente è utile visualizzare come una di saturare o comunque sovraccaricare il server fornitore dei servizi aziendali attra-
zona geografica dai limiti invalicabili al cui interno vengono confinate le applicazioni) ha il verso la generazione di un enorme traffico di richieste. Un’ altra modalità DoS, molto
compito di regolamentare le azioni che ciascun software può compiere, seguendo specifiche più invasiva e sintomatica della carenza di un adeguato sistema di sicurezza è quella
politiche di sicurezza. Semplificando molto la reale situazione, esempi di domini possono ottenibile penetrando il sistema informatico aziendale e cancellando o modificando
essere: 1) Insieme dei programmi installati dall’utente sul calcolatore; questi possono com-
i file di gestione dei servizi sul server. Il superamento dei circuiti di sicurezza si può re-
piere la maggior parte delle azioni, supponendo (ottimisticamente) che l’utilizzatore non
installi software dannoso sul proprio computer. 2) Insieme dei programmi allegati a pagine alizzare sfruttando le vulnerabilità presenti nel software utilizzato dal sistema bersa-
web (quest’ultime possono infatti contenere applet java, activeX, animazioni flash ed altro, glio come dei bug di programmazione o di configurazione delle politiche di sicurezza.
ovvero piccoli software che svolgono compiti più o meno utili; ad esempio molte chat on-
line utilizzano applet java per gestire il flusso di messaggi); queste applicazioni sono sot- (59) Wikipedia encyclopedia (www.wikipedia.it) : voce “denial of service”
toposte a forti restrizioni: non possono leggere o scrivere sul disco rigido del computer os- (60) Kris Jamsa, Hacker Proof, Sicurezza in Rete, Milano, 2002, 296;
pite (per evitare la lettura o la cancellazione di documenti riservati), né su questo possono
installare o eseguire programmi (per evitare che questi ultimi, i quali godono di maggiori 8.2 SNIFFING
privilegi, vengano utilizzati per compiere azioni dannose). Per un esempio reale di ap- Sniffing (61) (lett. intercettazione) è un tipo di attacco particolar-
plicazione del concetto di dominio si può sbirciare nelle impostazioni di sicurezza di in-
mente insidioso teso ad intercettare i dati in transito sulla rete. Tale tec-
ternet explorer, avendo cura di non modificare le impostazioni predefinite a meno di non
essere sicuri sugli effetti del cambiamento: dal menù strumenti di explorer selezionare “op- nica è normalmente realizzata attraverso l’utilizzo di particolari soft-
zioni internet” quindi il tab “protezione”».(55)DEVOTO- OLI, voce Verificabilità, op. cit.. ware oppure attraverso la deviazione forzata del flusso dei pacchetti di
(55)GRISENTI , Spyware e domicilio informatico, www.interlex.it/attualit/C. informazione in modo da dirottarli su computer controllati dal soggetto attaccante.
(56)Si pensi alla diffusa pratica pubblicitaria dello spamming, invio martellante e diffuso di mes- L’attività criminosa in questo caso è normalmente tesa ad intercettare e non
saggi pubblicitari diretti a un numero elevato di indirizzi email, rastrellati on-line utilizzando varie modificare il contenuto delle informazioni. L’ obiettivo del malintenzionato è
modalità operative. Sul punto si rinvia a quanto scritto da ERCOLANO, Spamming: una nuova for- quello di mettersi in ascolto in attesa di informazioni interessanti come pass-
ma di pubblicità dannosa per i consumatori?, pubblicato in questo numero del supplemento, 44 ss. word, documenti riservati ed altre comunicazioni degne di attenzione o co-
(57)GRISENTI, Spyware: quanti reati con i programmi “indiscreti”, in www.interlex.it/attualit/
munque sfruttabili per sferrare un attacco più intenso e gravido di conseguenze.
grisenti.htm : «In tempi di grande attenzione per la privacy, la libertà personale e la tutela del la-
voratore, la Rete si fa veicolo di pericolosi strumenti che permettono anche al più sprovveduto di
eludere proprio tali forme di tutela. Navigando attraverso alcuni dei più comuni siti dedicati al (61) Wikipedia encyclopedia (www.wikipedia.it) : voce “sniffing”
download di file (Volftp, Tucows, e molti altri), si possono reperire programmi specificamente
dedicati a carpire, in maniera invisibile e drammaticamente efficiente, dati personali, password 8.3 HIJACKING
e ID dell’utente oppure a controllare ogni attività, ivi inclusa la corrispondenza e i dati person- L’attacco di tipo hijacking ha come obiettivo la modifica delle informazioni trasmesse
ali, del dipendente. Sembra impossibile, eppure l’impreparazione alle problematiche giuridi- ed intercettate senza che il mittente e il destinatario se ne possano accorgere. Si trat-
che che la Rete, con la sua ultraterritorialità, comporta, può avere anche queste conseguenze».
ta di una tecnica piuttosto complessa che viene utilizza per compromettere la stessa
integrità delle informazioni inviate. Quando un tale tipo di attacco è posto in essere i
pacchetti di informazioni inviate dal client saranno intercettati, modificati e di nuo-
vo instradati dall’attaccante. Le informazioni così modificate raggiungeranno il des-
tinatario senza che quest’ultimo e il mittente possano accorgersi di quanto accaduto.

8.3 SPOOFING
Con il termine spoofing (62) è indicato un tipo di attacco utilizzato per falsificare
l’identità del mittente del messaggio o dei file allegati. Si può così tentare di sfruttare
l’identità falsa per muoversi nell’anonimato oppure per ottenere vantaggi o arrecare
danni all’insaputa della vittima. «Lo sniffing è un attacco passivo dove l’hacker si
limita a monitorare i pacchetti che attraversano la rete. Al contrario lo spoofing è
un processo attivo in cui l’hacker tenta di convincere un altro sistema che i mes-
saggi da lui inviati provengono da un sistema legittimo. In altre parole, utilizzan-
do lo spoofing, l’hacker simula di essere un altro utente o un altro sistema (63) ».
Si tratta di attacchi informatici che sfruttano le caratteristiche di virus, worm,

Febbraio 2011- 01 I quaderni del Campus 09


.Diritto .Informatica

è quella relativa alla riservatezza del dato: un sistema non può definirsi sicuro se con-
sente a chi non ha diritto di accedere ai dati in esso custoditi, in modo assoluto o in
misura più ampia e diversa da quella autorizzata. Se appare facile identificare i meccan-
ismi e i limiti da imporre per distinguere coloro che possono da coloro che non pos-
sono accedere ad un determinato dato, diviene difficile identificare e porre dei limiti a
chi può accedere allo stesso in misura variabile temporalmente e quantitativamente.
Inoltre, si può accennare ad un’altra caratteristica che acquista sempre mag-
giore rilevanza nel contesto della società nata online: la verificabilità. L’attributo
della verificabilità nasce dal fatto che il dato informatico possa, e debba, es-
sere suscettibile di verifica, ossia di un’<<operazione di controllo per mezzo
della quale si procede all’accertamento di determinati fatti o risultati nel loro
valore e nelle loro modalità(27)>> Il problema della sicurezza è relativo non
solo al momento della paternità dell’atto, ma anche alla non modificabilità o al-
terabilità silente del dato in un tempo successivo alla creazione dello stesso.
A differenza di un oggetto materiale, ad esempio un documento scritto, in cui
è visibile una correzione o alterazione successiva all’ultimazione dello stesso,
nell’oggetto digitale ciò che appare a prima vista è la sua estrinsecazione informat- hardware e software di tipo spyware, raccoglie dati personali all’insaputa dell’internauta.
ica in cui le modifiche ed alterazioni precedenti non sono facilmente rintracciabili Il tema della c.d. “cifra nera” dei reati informatici realmente perpetrati si presenta
da un soggetto non esperto e senza le opportune dotazioni software e hardware. come un fenomeno di interesse globale ed esponenzialmente in crescita che, purtrop-
Un sistema può essere definito sicuro quando, mantenendone traccia, riesca a po, le autorità statali (governative, legislative e giudiziarie) non riescono ad arginare.
fornire un quadro verificabile delle operazioni compiute sui dati da esso custoditi La diffusione di particolari software facilmente reperibili oline per-
e/o veicolati. Livelli maggiori di sicurezza corrispondono, ad esempio, al fatto di mette a “pseudo-hacker”, senza alcun bagaglio tecnico di grado eleva-
facilitare attraverso tracce registrate l’evidenziazione del legame causale fatto/autore. to, di poter attuare impunemente comportamenti offensivi contro la pri-
Un ulteriore e necessario requisito è rintraccia- vacy e la sicurezza dei sistemi informatici e telematici di istituzioni
bile da WILLIAM STALLINGS nella c.d. non-repudiation . pubbliche, aziende private o semplicemente di un personal computer bersaglio.
Tale requisito, in termini generali, non dovrebbe permettere il rifiuto e/o la ripudia- Bisogna prendere coscienza, quindi, che le violazioni informatiche, in particolare
bilità di un dato trasmesso sia al mittente e sia al destinatario. Da ciò deriva: quando quelle relative alla violazione del diritto alla protezione dei dati personali e del
il dato è stato trasmesso, il ricevente può provare che lo stesso sia stato inviato dal c.d. domicilio informatico, sono poste in essere ad un ritmo e con una cadenza
mittente autorizzato ad inviarlo e, in modo speculare, quando il dato è ricevuto, del tutto simile a quelle relative alle più comuni violazioni del codice della strada.Il vero
il mittente può provare che lo stesso sia stato ricevuto dal ricevente autorizzato. dramma risiede nel silenzio con cui la vittima del crimine informatico decide di reagire.
In conclusione, nella progettazione e nella valutazione di un sistema informatico Molte aziende preferiscono, ad esempio, incassare il colpo e rivolgersi, per porre
aziendale, per i motivi illustrati, deve essere tenuto in forte considerazione il proble- rimedio all’insicurezza del loro sistema, a consulenti tecnici privati capaci di miglio-
ma della sicurezza in tutte le sue diverse sfaccettature. Vi è l’obbligo, infatti, di creare, rare la protezione dei loro dati e delle strutture più riservate piuttosto che rivolgersi
aggiornare e valutare, alla luce delle inesorabili e continue innovazioni tecnolog- alle forze dell’ordine. La paura che si cela dietro alla pubblicità della notizia del
iche, i diversi meccanismi idonei a proteggere i dati senza impedirne o limitarne crimine subito è quella di determinare un ulteriore grave danno, in alcuni casi su-
la fruibilità da parte di chi ha un diritto, più o meno ampio, d’accesso agli stessi. periore a quello già subito, all’immagine e al profitto della stessa società-vittima.
«In effetti, la società che ha subito un accesso abusivo – affrontando dei costi – ten-
5. CRIMINI INFORMATICI: DALLE “LISTE NERE” AL CO- terà di rendere maggiormente sicuro il proprio sistema, anche se verosimilmente
DICE PENALE ITALIANO (29). l’autore di tale forma di reato, andato a buon fine senza conseguenze giudiziarie,
potrà avere un forte stimolo psicologico a riprovare l’esperienza, così vanificando di
La rapida diffusione degli strumenti informatici ha indotto nella prima metà degli fatto l’aggiornamento dei sistemi di sicurezza»(34) . L’aumento vertiginoso della c.d.
anni Ottanta i governi degli Stati, dove maggiormente si era realizzato nei tessuti cifra nera dei reati informatici è determinato, inoltre, dalla mancanza di una dif-
sociali un processo di “neovascolarizzazione tecnologica”, a porre particolare atten- fusa consapevolezza dell’estrema vulnerabilità di un sistema informatico rispetto ad
zione al fenomeno dei crimini informatici (30) . A tal fine nel 1985 fu costituito, in attacchi portati a termine da soggetti esperti. Gli autori di un crimine informatico
seno al Consiglio d’Europa, un Comitato ristretto di esperti con lo scopo di affian- normalmente, dopo aver compiuto il reato tendono a dedicare particolare cura alla
care al preesistente Comitato per i problemi criminali un organo con conoscenze cancellazione delle tracce lasciate nel sistema-bersaglio. Questo modo di procedere
atte ad affrontare le nuove sfide che la criminalità sempre più organizzata e sempre determina, in modo paradossale, il fatto che gli attacchi o gli accessi abusivi più ecla-
più transnazionale lanciava alle istituzioni nazionali ed internazionali. Sulla base tanti e pubblicizzati, spesso dagli stessi autori, siano meno gravi e pericolosi di quelli
di un attento esame della realtà criminale informatica e telematica attuale e delle attuati in modo silente, perché perpetrati da soggetti che non hanno intenzione di vi-
proiezioni future, non certo confortanti, vennero stilate due “liste nere”. All’interno olare il sistema per fini ludici o ideologici (35) , ma semplicemente per scopi criminali.
di ciascuna furono inseriti tutti quei comportamenti avvertiti come offese per-
petrate con e sulle nuove tecnologie. L’elemento comune ai suddetti illeciti era (21) Per una sintesi dei più rilevanti adempimenti in materia di priva-
cy all’interno delle imprese si rinvia a: G.DI RAGO, La privacy e le imprese, Matelica, 2005
rappresentato dal fatto che tutti, necessariamente, richiedevano una stretta col- (22) DEVOTO- OLI, voce Verificabilità, op. cit.. (23)L’intero paragrafo trae spunto dalla lettu-
laborazione tra gli Stati membri al fine di fornire un’efficace risposta preven- ra di: PERRI, Un’introduzione all’information security, in Ciberspazio e Diritto, 2001, vol. 2, n. 3-4, 337.
(24)AA.VV., Inside Attack, Tecnich di intervento e strategie di prevenzi-
tiva e repressiva. La cooperazione tra gli Stati non appariva come una semplice one, Roma, 2005, 13. La frase è estrapolata dall’introduzione a cura di Corrado Giustozzi.
scelta “politica”, ma s’imponeva come l’unica modalità operativa realmente ef- (25)Per una sintesi dei più rilevanti adempimenti in materia di priva-
cy all’interno delle imprese si rinvia a: G.DI RAGO, La privacy e le imprese, Matelica, 2005.
ficace per evitare che ogni singolo intervento nazionale si risolvesse in un sem- (26)DEVOTO-OLI, Il dizionario della lingua italiana, UTET. (27)DEVOTO- OLI, voce Verificabilità, op. cit..
plice placebo utile solo per rassicurare gli animi e le paure dell’opinione pubblica. (28)WILLIAM STALLINGS, Cryptography and network security, 1999, 5.
(29)Per un approfondimento della disciplina italiana relativa ai crimini informatici si rinvia a: G. FAGGIOLI, Computer
Le due liste di “proscrizione” furono così distinte (31) : “Lista mini- crimes, Napoli, 1998: P. GALDIERI, Teoria e pratica nell’interpretazione del reato informatico, Milano, 1997; E. GIANNAN-
ma”: elenco di comportamenti e fatti offensivi ritenuti talmente gra- TONIO, Manuale di diritto dell’informatica, Padova, 1997; C. Sarzana, Informatica e diritto penale, Milano, 1994; Ceccac-
ci, Gianfranco, Computer crimes : la nuova disciplina sui reati informatici, Milano 1994; Lorenzo Picotti, Il diritto penale
vi da richiedere un immediato e non prorogabile intervento del di- dell’informatica nell’epoca di internet, Padova 2004; Lorenzo Picotti, Studi di diritto penale dell’informatica, Verona, 1992
ritto penale, extrema ratio di ogni ordinamento giuridico statale (32) ; (30)Per un approfondimento del tema si rinvia ai siti: www.crimine.info; www.dirittoesicurez-
za.it; www.criminologia.org; www.ictlaw.net; www.interlex.it; www.pomante.it; www.penale.it.
“Lista facoltativa”: elenco di comportamenti e fatti ritenuti non eccessivamente of- (31)FAGGIOLI, Computer Crimes, Napoli, 1998, 67 ss.; PERRONE, Computer Crimes, in AA.VV., Di-
fensivi, ma che tuttavia richiedevano un intervento del legislatore nazionale (33). ritto & Formazione, Studi di Diritto Penale (a cura di CARINGELLA e GAROFOLI), 1603.
(32)Esempi di comportamento offensivo contemplato nella “Lista minima”: frode informati-
Il fatto che, nei vari Stati membri, non vi sia un numero elevato di procedimenti penali ca, falso informatico, accesso non autorizzato a sistemi informatici, c.d. sabotaggio informa-
tesi all’accertamento ed alla repressione dei c.d. crimini informatici che riesca ad andare tico, danneggiamento dei dati e dei programmi informatici, l’intercettazione non autorizzata…
(33)Esempi di comportamenti offensivi appartenenti alla “Lista facoltativa”: utilizzazione non autorizzata di
a “buon fine”, non vuol dire che tali violazioni non siano perpetrate in modo diffuso un elaboratore elettronico, utilizzazione non autorizzata di un programma protetto, spionaggio informatico…
E’ vero, presumibilmente, il contrario; infatti, in numero elevato, ad esempio, sono (34)PARODI – CALICE, Responsabilità penali e Internet, Milano, 2001, 55. Sul punto si consiglia la consultazi-
one dei seguenti testi: POMANTE, Internet e criminalità, Torino, 1999; MONTI, Spaghetti Hacker, Milano, 1997.
violate le norme indicate all’art. 615 ter e quelle relative alla tutela penale della pri- (35)Si pensi all’eterna sfida uomo-macchina o a quella più consistente ed ideologica degli hacker; questi ultimi si rive-
lano, in alcuni casi, utili alle aziende per testare, in modo gratuito, i loro sistemi al fine di migliorarne la sicurezza e
vacy da parte di chi, inserendo all’interno di programmi generalmente freeware ed. prevenire attacchi e accessi ben più gravi di soggetti che con gli hacker hanno in comune solo l’utilizzo delle nuove tecnologie.

05 I quaderni del Campus 01 - Febbraio 2011


.Diritto .Informatica

Nel momento in cui la semplificazione dei meccanismi di comunicazione e inghe, le promesse e le fantasiose iniziative delle numerose aziende addette alla
la tendenza all’utilizzo commerciale delle informazioni personali si trovano raccolta dei dati rilevanti ai fini della profilazione degli utenti, i propri dati per-
ad interagire con queste nuove forme di distribuzione commerciale dei pro- sonali provocando l’irrigidimento di un meccanismo che si era dimostrato alta-
grammi nasce e si diffonde il software “spyware”. Dal “brodo primordiale” della mente lucrativo. I dati raccolti, archiviati ed elaborati divennero in modo sempre
distribuzione del software in Rete nasce così una particolare moneta di scambio: i più chiaro una fonte di ricchezza e in alcuni casi un reale “bene” di scambio. Ora
dati personali. Sin dai primi anni della diffusione di Internet l’utente medio aveva a che il rapporto dati personali/denaro era stato non solo ipotizzato a livello astratto
disposizione strutture di comunicazione sufficientemente potenti, ma quello che an- e concettuale, ma concretamente realizzato nella pratica commerciale, occorreva
cora non era abbastanza sviluppato era il settore delle infrastrutture idonee ad uti- trovare nuove e più potenti forme di reperimento e rastrellamento di queste parti-
lizzare al meglio le potenzialità già presenti nella quotidianità tecnologica della vita colari “monete”. Questi nuovi mezzi dovevano rivelarsi idonei a creare delle “auto-
privata e professionale (48). Numerosi servizi, da sempre presenti sul Web come la strade privilegiate” all’interno della Rete percorribili da flussi sempre più ingenti di
posta elettronica, non erano facilmente utilizzabili a causa della carenza strutturale dati e diretti, nel breve periodo, a soppiantare la semplice e palese richiesta rivolta
di programmi, c.d. applicativi, capaci di semplificare e valorizzare tali potenti stru- all’internauta tramite gli ormai vetusti questionari di varia natura e genere. Tra le
menti. «Molti programmatori/navigatori spinti dall’insufficienza degli applicativi e preziose informazioni, custodite nel personal computer degli utenti, e le aziende ad-
dalla speranza non tanto di ricavare vantaggi finanziari, quanto di riuscire ad otte- dette alla loro raccolta, purtroppo per le seconde, il maggior ostacolo al loro in-
nere il plauso e il rispetto del “popolo della rete” per l’eleganza e la potenza con cui il contro era rappresentato dai c.d. “domini di protezione” (54) , per superare i quali
loro programma risolveva un particolare problema, si cimentarono nella creazione è necessario, in via generale, disporre di una base logistica all’interno del primo.
di nuove applicazioni che semplificassero le azioni più comuni: sfruttando la sor- Come inserire, all’insaputa dell’internauta, un agente segre-
prendente capacità di comunicazione del web, tali creazioni potevano essere condi- to e silenzioso pronto ad inviare periodicamente ad ogni collega-
vise e diffuse agli altri naviganti. I programmi utilizzabili senza limiti sono chiamati mento le notizie generate e presenti all’interno del computer ospite?
“freeware”(49)» . Quello appena descritto può essere considerato la premessa logica Il punto di partenza è rappresentato dal software di tipo adware: le aziende utiliz-
e causale dei successivi passi che condurranno ad un uso, sempre meno “free”, di zatrici di questa particolare modalità di distribuzione e d’uso del software in pas-
Internet finalizzato alla distribuzione del software (50) . Il passo successivo è rap- sato avevano già instaurato con l’utente un binario di comunicazione che dai pro-
presentato da tutta quella serie di programmatori e case produttrici di software che pri server web era diretto ad aggiornare periodicamente i messaggi pubblicitari
iniziarono a richiedere del denaro a chi avesse avuto l’intenzione di utilizzare, senza sui banner del personal computer in cui era installato il programma adware. Era
limiti temporali e quantitativi, il software da loro ideato, realizzato e distribuito at- sufficiente che all’interno di questi programmi “vettori” fosse inserito accanto al
traverso la rete (51). Parallelamente a questi fenomeni di distribuzione all’interno ricevitore un “parassita” rastrellatore e trasmettitore di dati presenti e generati nel
dell’ingegnoso popolo di internauti, tesi per inclinazione genetica alla ricerca di un computer “ospite”. In questo modo si potevano superare facilmente tutte le possibili
modo gratuito per utilizzare i diversi e costosissimi programmi “applicativi”, si as- politiche restrittive dei domini di sicurezza, perché il programma installato dallo
siste alla diffusione di un particolare hobby: la ricerca dei crack-files, piccoli pro- stesso utente sarebbe stato libero di operare, senza o quasi, misure restrit-
grammi che consentono di superare le barriere erette dai produttori riuscendo a far tive. Il passo è breve ma fecondo di gravi conseguenze che meritano un’attenta
utilizzare i programmi oltre i limiti quantitativi o temporali imposti dai program- riflessione: nel momento in cui il flusso delle informazioni diviene biuni-
matori, in origine eliminabili solo da questi ultimi dietro pagamento di un congruo voco, cioè non solo dal server web delle aziende pubblicitarie al personal com-
corrispettivo. Come risposta, numerose case produttrici di software indirizzarono puter, ma anche in senso inverso, il flusso di quello che dal personal com-
la produzione verso la creazione di versioni dimostrative e con evidenti fisiologiche puter esce deve poter essere controllato e gestito dal proprietario dello stesso.
menomazioni rispetto a quelle commerciali. Queste versioni “limitate” sono dirette, L’utente medio non è a conoscenza della possibilità concreta che as-
palesemente, solo a far nascere il desiderio di acquistare la versione completa, senza sieme a questi programmi applicativi, semplici “vettori infettivi”, potran-
il rischio che qualcuno possa, con qualche minuto di ricerca online, sbloccare i cod- no essere installati dei programmi che non si limitano a ricevere gli
ici di sicurezza riuscendo ad utilizzare il programma in modo integrale e gratuito. aggiornamenti dei banners pubblicitari, ma che hanno il com
La necessità di trovare nuove modalità di distribuzione ha condotto, così, le case pito di raccogliere ed inviare, collegandosi senza autorizzazione
produttrici di software a percorrere strade diverse per ottenere il più alto profitto a server sconosciuti informazioni concernenti i gusti e le abitudini di chi utilizza il
con il minore costo e rischio possibile. Per tale motivo numerosi produttori inizi- computer “ospite”. Il software “spyware”, quindi, non è altro che un programma di
arono a perseguire una particolare forma di distribuzione del proprio software (c.d. dimensioni ridotte che viene installato nei meandri di un numero sempre più am-
adware), consistente nel concedere gratuitamente il programma a patto che l’utente pio di file presente nei sistemi di ogni computer, mimetizzandosi. Quando l’utente
decida di subire una serie di messaggi pubblicitari (c.d. banner) durante l’utilizzo si connette ad Internet, il programma “entra in azione in modalità stealth, senza
degli stessi (52) . La differenza principale rispetto al freeware consiste proprio che l’ignaro navigatore possa accorgersene utilizzando la comune “diligenza infor-
nell’obbligare l’utente finale a visualizzare, durante l’utilizzo del programma adware, i matica”. Tale software, infatti, utilizzando l’accesso alla rete impiegato per le normali
messaggi promozionali dei prodotti commerciali delle aziende attività lavorative o ludiche si mette in contatto, secondo un programma prestabilito,
che hanno stipulato dei contratti pubblicitari con le case produttrici del software. In con un particolare server inviando e ricevendo dati. I problemi interpretativi dal
questo modo non è più l’utente, direttamente, a pagare per l’utilizzo del programma punto di vista giuridico risiedono proprio nell’instaurazione di una silente e non
ma le varie aziende commerciali che sfruttando la diffusione del programma dis- autorizzata comunicazione tra il computer “ospite” ed il server web “untore” che ha
tribuito gratuitamente riescono ad aprire e mantenere una finestra privilegiata negli ad oggetto dati e contenuti prodotti dal primo (55). Lo scopo delle imprese che
schermi di numerosi utenti/consumatori. Sebbene tale modalità di distribuzione ri- si occupano di raccogliere ingenti quantità di informazioni provenienti dagli in-
sultò positiva e proficua sia per i programmatori che per le aziende pubblicizzate, la numerevoli elaboratori elettronici, in cui i loro poderosi parassiti giacciono in uno
crescente difficoltà di trovare nuove e creative forme di pubblicità online comportò stato di quiescenza in attesa di inviare preziosi dati, è quello di rivendere il frutto
un impegno sempre maggiore, con notevole impiego e distrazione di risorse, che di questi ingenti bottini ad agenzie di marketing o semplicemente ad altre aziende
le aziende produttrici di software riuscirono a stento a sostenere. «Per affrancare (56) . Il problema giuridico da affrontare una volta decifrato il DNA di questi
gli sviluppatori da tali oneri, sono nate alcune società specializzate proprio nella particolari “parassiti” è quello di verificare la compatibilità di un prodotto com-
gestione e nella promozione pubblicitaria dei software: un programmatore ha la merciale così particolare con l’ordinamento giuridico italiano e con il suo comp-
possibilità di stipulare un contratto con una di esse, ottenendo successivamente un lesso tessuto di norme poste a garanzia della persona e dei suoi diritti primari (57).
compenso proporzionato all’attenzione ricevuta dal banner inserito nella sua appli- Per concludere sul fenomeno spyware un’ultima riflessione: accanto alla cap-
cazione (normalmente vengono contati i click dei visitatori sul banner stesso) (53)» illare diffusione delle nuove tecnologie informatiche e telematiche è nec-
Questo tipo di pubblicità, in un primo tempo, era diretto su una massa informe di essario diffondere la consapevolezza dei costi e dei rischi ad essa connes-
possibili e poco probabili consumatori, determinati solo per macrocategorie. La pub- si. Mentre i rischi sono accettati come possibili, i costi da sopportare sono
blicità di un prodotto, infatti, veniva sparata nel mucchio indefinito di potenziali ac- certi e non sono solo quantificabili in termini monetari, ma anche e principal-
quirenti senza possibilità alcuna di calibrare il messaggio sui gusti personali dei sin- mente in quantità di informazioni personali da voler spendere e conservare.
goli consumatori. Si sparge a macchia d’olio, così, l’esigenza di raccogliere un numero,
il più elevato possibile, di informazioni relative ai gusti e alle abitudini del popolo di
Internet allo scopo di divulgare sempre più efficacemente, mirando su precisi bersa- (48)CIAMBERLANO, Spyware Story, www.dirittoesicurezza.it .
(49)CIAMBERLANO, Spyware Story, www.dirittoesicurezza.it.
gli e in modo sempre più incisivo, i messaggi promozionali di natura commerciale.
Gli utilizzatori di Internet si dimostrarono restii a fornire, nonostante tutte le lus

Febbraio 2011- 01 I quaderni del Campus 08


.Diritto .Informatica

Il legislatore penale italiano, dietro impulso dell’Europa, ha deciso di affrontare e 7. MALWARE IN AZIENDA
risolvere, almeno in parte, i problemi legati all’uso delle nuove tecnologie informat-
iche e telematiche varando la legge n. 547 del 1993 recante «modificazioni e inte-
grazioni delle norme del codice penale e del codice di procedura penale in materia
“Malware”(38) deriva dalla contrazione di due parole inglesi mali-
di criminalità informatica». Con tale legge si è effettuata una duplice operazione: da
cious e software e si riferisce a tutti quei programmi definibili in ampio
una parte un innesto di nuove fattispecie nel vecchio tronco dell’impianto codicis-
senso “maligni”. All’interno della predetta categoria si possono trovare dei
tico; dall’altro si è proceduto alla modifica di preesistenti fattispecie penali. Questa
software ideati e strutturati in modo da perseguire, attraverso un nu-
operazione di “chirurgia legislativa” è stata attuata con il chiaro intento di stigmatiz-
mero sempre crescente di modalità operative, obiettivi tra loro diversi.
zare i nuovi e dilaganti fenomeni di criminalità informatica. La repressione dei c.d.
E’ necessario premettere che il suddetto software nella sua intima essenza non
reati informatici non venne perseguita solo con l’approvazione del contenuto della
è altro che un programma eseguibile su un computer nato dall’ingegno di
predetta legge, ma anche con altri puntuali provvedimenti normativi. «Gli anni
un programmatore che ne ha predeterminato dettagliatamente il ciclo vitale.
Novanta saranno senza dubbio ricordati per la massiccia opera legislativa nel campo
dei c.d. computer crimes, soprattutto se si considera tale ambito in senso lato. (36)»
7.1. VIRUS
Per terminare questa breve introduzione sul tema dei crimini informatici, una rifles-
Virus (39) è un termine latino e il suo significato è quello di veleno. Tale espres-
sione da sussurrare al legislatore italiano ed europeo: correre verso la penalizzazione
sione venne utilizzata alla fine del XIX secolo in campo medico per definire al-
dei comportamenti illeciti perpetrati con e sulle nuove tecnologie al fine di arginare
cuni microrganismi patogeni più piccoli dei batteri. Il virus biologico può essere
fenomeni dilaganti e, in qualche modo, inarrestabili nella loro diffusione trasversale
definito come un parassita che entrando in contatto con le cellule viventi ne sfrutta
nel tessuto sociale è la via giusta da seguire? Dilatare l’area del penalmente rilevante in
le risorse per auto-riprodursi generando effetti negativi sull’organismo ospite. Nel
un terreno così poco conosciuto e determinabile che muta ad un ritmo che le classiche
campo informatico, il termine virus è utilizzato per indicare un software capace
fonti di produzione del diritto penale non riescono a sostenere, presenta una qual-
di infettare dei file al fine di riprodursi utilizzando le risorse del sistema infetto.
che utilità nel lungo periodo o ha un valore meramente simbolico?Il diritto penale è
Normalmente, i virus informatici operano in modalità invisibile all’utente in
uno strumento che ha un’altissima precisione nel colpire mali particolarmente gravi,
modo da poter compiere le azioni programmate per un tempo abbastanza lungo
percepiti dalla società come maligni e d’eccezionale virulenza, però, allo stesso tem-
prima di essere rilevati. I suddetti malware producono gli effetti negativi diret-
po, si presenta poco efficace per sconfiggere ed arginare situazioni non ben definite
tamente sul software infetto e indirettamente sull’hardware (ad es. portando
e generalizzate. Non si può pretendere di prosciugare un oceano, il fenomeno delle
a saturazione le risorse di RAM e CPU, occupando spazio lo spazio disponi-
c.d. copie “pirata” o contraffatte, con una cannuccia di pochi millimetri di diametro.
bile sui supporti di memoria, determinando il surriscaldamento della CPU...).
Con lo stesso strumento, però, quando è utilizzato da mani esperte, si può asportare
Come si può notare da un primo esame, è possibile scorgere altre si-
un tumore particolarmente grave avvertito come tale dalla generalità dei consociati.
militudini tra virus biologici ed informatici. Questi ultimi, come i pri-
Il fatto di reato è, quindi, la descrizione di un singolo e puntuale fatto offen-
mi, riescono infatti a diffondersi velocemente da un ospite all’altro alla
sivo che rappresenta normativamente una modalità d’aggressione ad un bene
ricerca di un terreno di coltura adatto. La vita di questi software malevoli è inti-
giuridico fondamentale per la coesistenza pacifica della società e l’ipertrofia
mamente legata allo sviluppo tecnologico degli elaboratori elettronici, per questo
che si è sviluppata all’interno del diritto delle nuove tecnologie, purtroppo
motivo l’evoluzione dei malware nel tempo è apparsa tumultuosa e complessa.
ancora una volta, tende a svilire tale strumento che dovreb-
Le origini dei moderni virus possono essere rintracciate nella preistoria
be essere utilizzato con parsimonia e solo in casi di extrema ratio.
dell’informatica in cui i computer erano costituiti da enormi ammassi di circui-
ti e transistor, e nella volontà di alcuni studiosi della materia che furono sedotti
(36) MINOTTI, Cultura informatica e operatori del dirit- dall’idea di creare dei software capaci di autoreplicarsi e vivere di vita propria.
to penale, in AA.VV., Informatica giuridica, ed. Simone, 2001, 338. La questione venne affrontata alla fine degli anni Quaranta da John von Neumann
che riuscì a dimostrare, da un punto di vista teorico, la possibilità di creare un
software che riuscisse ad autoreplicarsi. Successivamente è merito di alcuni tecni-
6. ALLA RICERCA DELLE FONTI DEL DANNO INFORMATICO ci dei Bell Laboratories la realizzazione, probabilmente per fini ludici e di studio,
IN AZIENDA di software capaci di riprodursi autonomamente. Sebbene le conoscenze tecniche
per la creazione dei virus risalgano agli anni Cinquanta, si è assistito ad una lun-
In questo contesto argomentativi si prenderanno in esamine alcune tipologie di ga incubazione motivata dal fatto che i computer fino all’inizio degli anni Ottanta
possibili fonti di danno informatico. E’ necessario puntualizzare che il taglio del erano utilizzati principalmente nelle aziende e negli enti pubblici. L’accesso a tali
presente lavoro non consente di approfondire i singoli argomenti che meritereb- tecnologie era, quindi, un privilegio riservato ad un numero ridotto di indivi-
bero una maggiore attenzione (37) . Il fine, infatti, di questo scritto è semplicemente dui. Solo con l’avvento del Personal Computer (PC) e l’uso sempre più avanzato
quello di tratteggiare i contorni dei principali pericoli “informatici” dell’attività dei circuiti integrati si giunse ad una riduzione delle dimensione e dei costi degli
aziendale, professionale e della vita privata. La fonte primaria di danno è rappre- elaboratori consentendone una maggiore commercializzazione e diffusione nella
sentata da tutti quei programmi, comunemente denominati virus, capaci di ral- società. Ogni proprietario di un PC divenne così in potenza un possibile program-
lentare o bloccare i sistemi informatici aziendali. Una seconda fonte di danno è matore di software anche grazie alla sempre maggiore interconnessione garantita
rappresentata dai c.d. attacchi informatici, ossia da tutte quelle azioni realizzate dalla rete ed al conseguente e frequente scambio di know how tra gli internauti.
mediante la violazione dei sistemi informatici e dirette ad interrompere, carpire e/o In risposta all’allarmante diffusione di virus vennero ideati e creati nuovi e potenti
danneggiare l’attività lavorativa. Infine, una terza fonte è costituita dalle c.d. frodi software capaci di intercettare malware e di eliminare lo stesso dal sistema. Tuttavia,
informatiche, ovvero da alcune delle più diffuse e pericolose truffe che vengono la tecnica di base utilizzata dagli antivirus era legata alla scansione dei file sull’hard
realizzate con l’impiego delle nuove tecnologie e l’inconsapevole complicità della disk e sugli altri supporti di memoria al fine di rilevare durante la fase di “filtraggio” le
vittima. Alle fonti suddette si deve aggiungere un insieme di pericoli eterogenei sequenze di byte (firme) associate al malware. Per tali principi funzionali, un costante
che utilizzano le tecnologie informatiche e tecniche di ingegneria sociale al fine aggiornamento è un’operazione fisiologica per un antivirus al fine di “scaricare” le
di danneggiare il soggetto bersaglio e/o di trarne un ingiusto profitto/vantaggio. “sequenze” dei neonati malware. Senza un costante aggiornamento, infatti, l’antivirus
è cieco e non potrà riconoscere le nuove minacce. Naturalmente, i moderni antivi-
rus si basano non solo sul semplice riconoscimento delle sequenze, ma anche, ad
esempio, su tecniche euristiche, di inoculazione (attraverso la memorizzazione della
dimensione e di altre caratteristiche dei file particolarmente rilevanti per il sistema)
e di riconoscimento attraverso l’osservazione delle azioni compiute dai program-
mi sulla stessa macchina. Con l’utilizzo diffuso del sistema operativo della Micro-
soft, da un lato, si rese omogeneo il terreno di coltura presso un numero sempre
più elevato di utenti e con l’utilizzo sempre più avanzato di Internet, e della posta
(37)Si rinvia per un approfondimento del tema dei rischi per l’azienda e delle contromisure per ar- elettronica in particolare, si resero facilmente raggiungibili le possibili vittime del
ginarli a: GERARDO COSTABILE – LUCA GIACOPUZZI, Informatica e riservatezza: dalla carta contagio. Il nuovo “untore” ha rappresentato per i programmatori di virus ben
al bit, in AA.VV., Sicurezza e privacy: dalla carta ai bit (a cura di G. COSTABILE), Forlì, 2005, 75 e ss. più che un mezzo attraverso cui diffondere le proprie creature. Internet, infatti, ha

06 I quaderni del Campus 01 - Febbraio 2011


.Diritto .Informatica

modificato lo stesso modo di concepire e strutturare le tipologie di malware e le 7.4 SPYWARE: UN “PARASSITA DIGITALE” DAI MILLE “UNTORI”.
loro strategie di attacco e diffusione. E’ l’alba di un nuovo virus chiamato WORM. Come una micidiale arma stealth il software spyware (44) si muove all’interno del
“computer bersaglio” pronto a colpire, inviando dati ed informazioni a sconosciuti
7.2 WORM ricevitori in perenne ascolto nella rete, all’insaputa dell’ignaro internauta. La sua
Worm (40) (lett. verme) rappresenta una particolare forma di mal- azione è velata dalla normalità e dalla genericità delle quotidiane operazioni com-
ware capace di autoreplicarsi e diffondersi attraverso la rete. piute utilizzando l’elaboratore elettronico. Questa quotidianità rappresenta l’unico
«Si definisce worm una entità programmatica autono- schermo conoscibile e visibile da un “operatore – tipo”, dotato di una cultura infor-
ma in grado di autoreplicarsi attraverso la rete, non richieden- matica, generalmente, limitata ed indirizzata ai programmi applicativi più comuni;
do di norma l’intervernto umano per la sua propagazione (41) ». vale a dire all’utente medio le cui conoscenze informatiche sono strettamente legate
Un programma worm tendenzialmente modifica alcuni file del alla propria attività lavorativa e ad uno o più determinati interessi personali.
computer che infetta al fine di venire eseguito ad ogni nuo- Il buio che circonda questi piccoli e silenziosi programmi elettronici impone di
va accensione. Uno dei mezzi di diffusione utilizzati da questo svolgere alcune riflessioni: 1. sulle modalità tecniche ed informatiche attraverso cui
tipo di malware è la posta elettronica e sistemi p2p; tale software dopo aver ras- i predetti strumenti concretamente operano (45) ;
trellato nella memoria del computer ospite gli indirizzi email presenti nella rubri- 2. sulle implicazioni sociali e giuridiche che ruotano attorno al rapporto software
ca o in altri file invia una copia di se stesso come file allegato agli indirizzi trovati house / utilizzatore finale del programma elettronico ospite del “parassita” spyware.
Le tecniche utilizzate per diffondere i worm sono: 1. ingegneria sociale ido- L’ economia di mercato rappresenta il “terreno di coltura” di questo particolare
nee ad indurre il destinatario ad aprire l’allegato infetto (camuffandone esten- parassita digitale. La semplificazione delle modalità relazionali uomo/computer,
sione e/o semplicemente indicando un nome accattivante e potenzialmente infatti, è stata dettata principalmente dalla necessità di aumentare il bacino di pos-
interessante); 2. sfruttamento dei bug (difetti di programmazione presenti nel sibili utilizzatori delle predette apparecchiature elettroniche non semplici da utiliz-
software) dei programmi di posta elettronica, di software applicativi e dei sis- zare al loro primo apparire. Questa spinta del mercato ha dato il via a tutta una
temi operativi capaci di consentire l’esecuzione automatica del file infetto; 3. fal- serie di ricerche tese all’ideazione e alla realizzazione di supporti software che of-
sificazione dell’indirizzo del mittente; 4. utilizzazione dei circuiti di file-sharing. frissero all’utente un’interfaccia sempre più semplice da utilizzare. Per realizzare
I danni causati da un worm possono essere diversi a seconda del tipo di malware esami- ciò i rapporti tra l’uomo e la macchina da diretti, o quasi, divennero sempre più
nato. Se il programma malevolo ha il solo scopo di replicarsi e diffondersi, i danni per il mediati da sovrastrutture che si moltiplicarono proporzionalmente alla semplicità
computer vittima sono esigui al di là dell’utilizzo delle risorse del sistema ed alle even- ed intuitività della suddetta comunicazione. La fortuna di alcuni software è lega-
tuali problematiche legate a disfunzioni con sistemi antivirus e firewall presenti sulla ta, infatti, all’intuitività dell’interfaccia utilizzata per comunicare con l’utente più
macchina. Tuttavia, è sempre più frequente l’utilizzo del worm, e delle sue capacità di che all’affidabilità, alla sicurezza ed alla stabilità dello stesso programma. Inoltre,
diffondersi nella rete, come veicolo di infezione di altri malware molto più pericolosi. la necessità di risparmiare un’ingente quantità di tempo, semplificando operazioni
L’attività necessaria per replicarsi e diffondersi genera un traffico enorme di messaggi complesse, ripetitive e poco creative riducendole ad un semplice “click” o facen-
di posta elettronica con aumento esponenziale del volume di posta indesiderata che dole eseguire in modalità automatica, ha portato con sé la necessità/possibilità di
arriva nelle caselle di posta elettronica generando uno spreco di risorse sempre mag- far compiere all’elaboratore elettronico tutta una serie di compiti in modalità in-
giore. Inoltre, la diffusione dei worm che sfruttano i bug del sistema operativo per visibile all’utente. La comunicazione con l’elaboratore/macchina è sempre più me-
diffondersi generano spesso interruzioni dello stesso sistema ed improvvisi riavvii. diata da una serie di programmi che si occupano di semplificare la vita all’utente
finale, permettendo di utilizzare apparecchiature sempre più complesse con modal-
ità immediate, richiedenti brevi periodi di “rodaggio”. Nello stesso periodo in cui i
(38)Wikipedia encyclopedia (www.wikipedia.it) : voce “malware”. processi di semplificazione della comunicazione andavano evolvendosi, il mercato
(39)Wikipedia encyclopedia (www.wikipedia.it) : voce “virus” dei prodotti commerciali scoprì l’efficacia di una pubblicità “digitalmente” mirata;
(40)Wikipedia encyclopedia (www.wikipedia.it) : voce “worm” quest’ultima, abbandonando il sistema “sparare nel mucchio”, si affidò a sistemi
(41)AA.VV., Sicurezza e privacy: dalla carta ai bit (a cura di G. COSTABILE), Forlì, 2005, 128. pubblicitari nati ai piedi delle nuove tecnologie caratterizzate dal fatto di basare la
loro peculiare incisività su un complesso lavoro di reperimento, archiviazione ed
elaborazione di informazioni relative ai gusti e alle abitudini personali del bersaglio
7.3 TROJAN HORSE a cui dovranno offrire, su un piatto preconfezionato, i vari prodotti commerciali.
Tra i diversi tipi di malware vengono definiti trojan horse (42)e (lett. cavallo di La produzione “personalizzata di massa” è ormai una realtà che ten-
Troia) quei file che si mascherano da programmi innocui al fine di superare le bar- de sempre più a soppiantare una “produzione di massa” che inizia a pre-
riere di sicurezza poste a tutela del computer. Vengono così definiti perché il loro sentare un conto troppo salato in rapporto alle nuove procedure pub-
reale obiettivo è celato da un inganno rappresentato dalle mentite spoglie sotto cui blicitarie basate sulla profilazione elettronica del consumatore/tipo(46) .
si presentano all’utente. Normalmente i trojan non si diffondono automaticamente, Infine, un terzo elemento deve essere considerato rilevante ai fini del-
come virus e worm, ma hanno bisogno di un qualche intervento per far giungere la comprensione del fenomeno spyware: la nascita di particolari e re-
alla macchina bersaglio il software infetto. Spesso sono gli stessi utenti che scaricano centi modalità di distribuzione dei programmi elettronici adottate
inconsapevolmente dei trojan all’interno dei propri computer. I programmatori o dalle software house: freeware, shareware, adware, trial version…(47)
coloro che utilizzano semplicemente tali tecnologie per fini illeciti inseriscono tali
malware all’interno di programmi conosciuti e diffusi illegalmente attraverso la rete.
Le azioni che un trojan può compiere sono molteplici: 1. aprire una via di comuni-
cazione con l’esterno (c.d. backdoor) al fine di permettere ad un malintenzionato di
accedere abusivamente al sistema informatico infetto facendogli visionare e/o prel-
evare file; 2. scaricare automaticamente un virus; 3. intercettare, registrare e trasmet-
tere via internet le operazioni compiute dall’utente (ad esempio: utilizzando tec-
niche di registrazione dei tasti battuti sulla tastiera - keylogging). Si tratta quindi di
un malware particolarmente pericoloso ed in rapida diffusione. Le condotte illecite
che si possono perfezionare con l’utilizzo di trojan horse sono molteplici e vanno dal
furto di informazioni aziendali riservate (dati personali, password, numeri di carte (44)ROSSI, Lo spyware e la privacy, in Diritto delle nuove tecnolo-
di credito...) alla creazione gie informatiche e dell’Internet ( a cura di CASSANO), IPSOA, 2002, 184 ss.
di «...una macchina zombie, pronta ad obbedire ai comandi dell’attaccante e quindi (45)Per un approfondimento dell’argomento “spyware” si rinvia al sito www.dirittoesicurez-
za.it. (46)MACCABONI, La profilazione dell’utente telematico fra tecniche pubblicitarie
sferzare ulteriori attività delittuose ai danni di terzi, che leggeranno l’azione come
online e tutela della privacy, in Il diritto dell’informazione e dell’informatica, 2001, 426.
proveniente dalla vittima del trojan e non dal reale attaccante (43) ». (47)SISTO, Le diverse modalità di distribuzione del software: freeware, shareware e trial version, in
Diritto delle nuove tecnologie informatiche e dell’Internet, op.cit., 1058:«…rientra nell’esercizio
del diritto di prima pubblicazione la concessione della facoltà di utilizzare i programmi in di-
(42)Wikipedia encyclopedia (www.wikipedia.it) : voce “trojan horse” verse forme racchiuse in tre grandi categorie: il software libero, non-libero e commerciale…».
(43)AA.VV., Sicurezza e privacy: dalla carta ai bit (a cura di G. COSTABILE), Forlì, 2005, 130.

Febbraio 2011- 01 I quaderni del Campus 07