I 5 reati informatici, quali sono?

La legge 547 del 1993, unitamente alle relative revisioni del Codice penale e del Codice di procedura penale, è stata la prima normativa ad esprimersi in materia di reati informatici. A questa si sono aggiunte le modifiche apportate dalla Legge 48/2008 di ratifica e attuazione della Convenzione del Consiglio d’Europa sulla criminalità informatica, firmata a Budapest il 23 novembre 2001.

Da allora, nessuna nuova legge è stata introdotta per modificare radicalmente la struttura legislativa che disciplina la criminalità informatica.
Tuttavia, le categorie di reati informatici definiti della legge del 1993 rimangono utili per valutare la stragrande maggioranza dei casi in cui si verifica un attacco informatico ai danni di un’infrastruttura o di una persona. Di seguito esamineremo brevemente le cinque categorie di reati informatici al fine di cogliere i profili di responsabilità connessi a questa classe di crimini.

Definizione di reato informatico

Il reato informatico (o cyber crime) è un tipo di condotta illegale che comporta l’uso improprio di componenti hardware e software del computer.
Gli attori di questi reati, i criminali informatici, sono solitamente identificati come hacker o pirati informatici.

Definiamo i reati informatici come l’alterazione in qualsiasi modalità del funzionamento di un sistema informatico, telematico o l’intervento senza diritto con qualsiasi modalità su dati, informazioni o programmi contenuti in un sistema informatico o telematico o ad esso pertinenti, procura a sé o ad altri un ingiusto profitto con altrui danno.

La necessità di definire la natura del crimine informatico sorge a partire dal 1980 quando la maggior parte delle attività lavorative e sociali ha iniziato ad approcciarsi al mondo delle rete più vasta mai vista, Internet. Oggi, la necessità di avere leggi chiare in materia di reati informatici è cresciuta considerato che attraverso Internet acquistiamo oggetti e servizi, parliamo e condividiamo informazioni, ci informiamo e ci formiamo, ci intratteniamo.

Purtroppo, l’aspetto negativo legata allo sviluppo tecnologico ha dato origine ai computer crime.

Gli attori del crimine informatico

Dunque, il crimine informatico è un tipologia di crimine perpetrato dai criminali informatici (in gergo comune identificati con i termini pirati informatici o hacker).

Per definire con precisione il profilo di un cyber criminale possiamo che in genere si tratta di una persona tendenzialmente non violenta e solitaria, dotata di grande capacità di pianificazione del comportamento che intende sfruttare le proprie conoscenze informatiche per raggiungere i suoi obiettivi. Spesso, si tratta di soggetti incapaci di prendere coscienza dell’illiceità del proprio operato.

Queste persone conducono attacchi informatici sfruttando come mezzo proprio Internet e generalmente sono organizzati in gruppi.
Possiamo pertanto dare una classificazione sommaria delle tipologie di criminal hacker esistenti:

• Casual hacker 

Ovvero, criminali che compiono reati informatici con il semplice obbiettivo di arricchirsi o comunque acquisire dei vantaggi.

• Political hacker

In questo caso invece parliamo di soggetti che perpetrano attacchi informatici a favore di cause politiche, civili.

• Organized crime

Si tratta di criminal hacker organizzati in gruppi strutturati, non mosche bianche ma vere e proprie organizzazioni gerarchiche formate da professionisti del settore hacking che hanno come unico scopo quello di arricchirsi e di colpire obiettivi ben specifici.

1. Squatter

Gli squatter lavorano per ottenere solitamente l’accesso ai database contenenti informazioni riservate, password, materiale video, musicale o immagini per motivi ludici e con scopi di natura privata.

1. Insider e intruder

Per ultimi, ma non meno importanti, sono gli attaccanti dai quali le aziende dovrebbero proteggersi più di tutti.
Sono collaboratori ad un’azienda che conducono un attacco informatico dall’interno del sistema informatico o dall’esterno.

Esistono diversi tipi di crimini informatici, come vedremo di seguito, ed è fondamentale stabilire quali sono i modi per contrastare ognuno di questi  attaccanti. Le misure da adottare per evitare di essere vittima di tali reati sono disciplinate dalle norme comunitarie e dal Codice penale.
Sfortunatamente, con l’aumento del numero di tecnologie in grado di connettere le persone a Internet, la criminalità informatica diventa una sfida sempre più complessa da affrontare, lato legale e lato tecnico.

Quali sono le categorie di reati informatici?

I reati informatici sono suddivisi in cinque categorie ai sensi della legge 547:

• Intercettazione, impedimento o interruzione illecita di comunicazioni informatiche o telematiche
• Detenzione e diffusione abusiva di codici di accesso a sistemi
• Diffusione di hardware e software diretti a danneggiare sistemi
• Accesso abusivo a un sistema informatico
• Frode informatica

Ecco una carrellata delle caratteristiche salienti di ciascun crimine.

Intercettazione, impedimento o interruzione di comunicazioni informatiche o telematiche senza autorizzazione

Tale norma punisce “chiunque in modo fraudolento intercetta, inibisce o interrompe comunicazioni connesse a un sistema informatico o telematico o tra più sistemi”. L’intercettazione dei dati di navigazione attraverso l’utilizzo di una rete Wi-Fi libera è un chiaro esempio di questo tipo di reato informatico a danno dell’utente finale.

Detenzione e diffusione abusiva di codici di accesso al sistema

Chiunque abusivamente ottenga, riproduca, diffonda, comunichi o recapita codici, parole chiave o altri mezzi idonei ad accedere a un sistema informatico o telematico protetto da misure di sicurezza o comunque fornisca idonee indicazioni o istruzioni al fine di cui sopra, commette un reato informatico di questo tipo.

Diffusione di hardware e software diretti a danneggiare sistemi

Chiunque ottenga, produca, riproduca o metta a disposizione apparecchiature, dispositivi o programmi informatici con l’intento di danneggiare illecitamente un sistema informatico, le informazioni, i dati o i programmi in esso contenuti o a esso pertinenti viene punito dalla legge. Inoltre, chiunque ottenga, produca, riproduca o metta a disposizione apparecchiature, dispositivi o programmi informatici per favorire l’interruzione totale o parziale o l’alterazione del funzionamento di un sistema informatico, viene punito dalla legge.

Attacchi malware di diversa natura tra cui: spyware e trojan rientrano tutti in questa categoria.

Accesso abusivo a un sistema informatico

L’accesso abusivo a un sistema informatico o telematico protetto da misure di sicurezza, o il mantenimento in esso contro la volontà espressa o tacita degli aventi diritto, è punito ai sensi dell’articolo 640 ter del Codice penale. La pena è fino a tre anni di reclusione.

Rientra in questa categoria l’accesso non autorizzato ai social network o ai conti e-banking utilizzando le credenziali del titolare del conto, ma a sua insaputa. Vale la pena notare che il reato viene commesso durante l’accesso, indipendentemente da atti successivi, che potrebbero comportare violazioni di altre leggi e, di conseguenza, ulteriori reati informatici. Si segnala che la Corte di Cassazione ha stabilito che l’identificazione dell’indirizzo IP del soggetto che ha effettuato l’accesso abusivo può essere sufficiente a dimostrare la presenza del reato.

Frode informatica

L’art. 640 ter del Codice penale definisce frode informatica la modifica, in qualsiasi modo, dell’esercizio di un sistema informatico o telematico con l’intento di ottenere per sé o per altri “un ingiusto vantaggio a danno di altri”. La pena consiste in una reclusione da sei mesi a tre anni e una multa da 51 a 1.032 euro.

I reati maggiormente perpetrati in questa categoria sono il phishing e la proliferazione dei cosiddetti dialer. La prima è una sorta di sollecitazione in cui il cybercriminale inganna l’utente al fine d’ottenere informazioni importanti, come password bancarie o documenti d’identità, che possono essere utilizzate per compiere una serie di operazioni illecite all’insaputa dell’utente.

I dialer, invece, sono quelle applicazioni che, una volta scaricate su un pc o un telefono, interrompono la connessione con l’operatore designato e si collegano a numeri a tariffazione speciale, solitamente molto più elevata, senza che l’utente ne sia a conoscenza.

Reati informatici in ambito lavorativo

I reati informatici sui luoghi di lavoro sono una realtà che colpisce, più o meno intenzionalmente, tutte le organizzazioni indipendentemente dalle dimensioni. Le statistiche emesse dagli enti di pubblica sicurezza dimostrano un consistente aumento dei reati perpetrati tramite tecnologie informatiche, soprattutto in ambito aziendale, con allarmanti percentuali di crescita annua.

Quando si parla di criminalità informatica sul posto di lavoro, la prima cosa che viene in mente sono gli attacchi informatici perpetrati da estranei contro le imprese, come attacchi ransomware e frodi informatiche utilizzando tattiche d’ingegneria sociale.
Tuttavia, il problema è molto più diffuso e coinvolge una pletora di fatti che potrebbero avere ramificazioni criminali perpetrate all’interno di società, agenzie governative e attività professionali.

Per avere una migliore comprensione della portata di questa situazione, è utile suddividere i reati informatici nei luoghi di lavoro in tre categorie:

• Reati informatici compiuti dai propri dipendenti a danno dell’organizzazione;
• IT crimes compiuti da soggetti esterni a danno dell’organizzazione;
• Crimini informatici compiuti a vantaggio dell’organizzazione dai propri dipendenti.

Reati informatici compiuti dal dipendente contro l’organizzazione

I dipendenti sono spesso il principale fattore di rischio per la sicurezza dei sistemi di un’organizzazione. I dipendenti, in realtà, hanno accesso diretto ai sistemi informatici aziendali e ai dati in essi contenuti, ed è fin troppo semplice per loro sfruttare questa posizione privilegiata ai danni dell’organizzazione.

Lo scenario usuale è quello che è noto come furto di dati aziendali, che si verifica quando un dipendente esegue copie illegali di dati archiviati nei sistemi aziendali per un uso illegale.
Un dipendente, ad esempio, potrebbe prelevare materiale aziendale relativo al know-how dell’azienda e trasferirlo a un concorrente.
Inoltre, un ex dipendente di una società potrebbe conservare i dati a lui forniti per l’esecuzione del suo lavoro e utilizzarli per creare un’impresa in concorrenza con il suo precedente datore di lavoro.

I reati informatici tipicamente commessi ai danni dell’azienda dai suoi collaboratori interni sono i seguenti:

• L’accesso abusivo a un sistema informatico, così come definito dall’articolo 615-ter del Codice penale, si verifica quando un dipendente pubblico o privato accede ai sistemi informatici dell’azienda per scopi diversi da quelli per i quali ne è autorizzato l’uso.
  Se il fatto è commesso da “operatori di sistema” (ossia, personale di sistema e amministratori), il reato è aggravato e la sanzione corrispondente è più grave.
• Diffusione di apparecchiature, dispositivi o programmi informatici con l’intento di danneggiare o interrompere il funzionamento di un sistema informatico o telematico, come definito dall’articolo 615-quinquies del Codice penale. L’articolo punisce chiunque si procuri, produca o distribuisca programmi o apparecchiature atti ad arrecare danno a sistemi informatici o dati in essi contenuti. Ad esempio, un dipendente o amministratore di sistema che installa malware sui sistemi aziendali con l’intento di causare danni;

Reati informatici compiuti da soggetti esterni a danno dell’organizzazione

Oltre alle minacce interne, le aziende devono proteggersi dalla criminalità informatica esterna.
Secondo i rapporti annuali diffusi da società specializzate, le bande di criminali informatici stanno diventando sempre più numerose e attive e il numero di reati informatici commessi ogni anno a svantaggio delle imprese è in aumento e provoca perdite ancora maggiori.

Alcune delle minacce più comuni contro le aziende sono gli attacchi ransomware e gli attacchi phishing. Esistono diverse forme di aggressione che possono servire a una varietà di obiettivi. In primo luogo, questi attacchi potrebbero essere finalizzati a sottrarre beni con valore economico diretto, ad esempio denaro, o dati che possono essere facilmente rivenduti sul dark web, oppure potrebbero voler ostacolare l’operatività dell’organizzazione, come nel caso degli attacchi DDOS.

Reati informatici compiuti a vantaggio dell’azienda dai propri dipendenti

L’azienda, oltre a essere vittima di reati informatici, può anche essere considerata autore di crimini informatici ad opera del proprio personale.
La responsabilità penale degli enti è limitata ai reati specificamente definiti dalla legge. Arte. 24-bis del D.Lgs. 231/2001:

• Accesso non autorizzato a un sistema informatico o di telematico, ad esempio quando un dipendente accede illegalmente ai sistemi di un’azienda concorrente;
• Danneggiamento d’informazioni, dati e programmi informatici impiegati dallo Stato o da qualsiasi ente pubblico, o in qualsiasi contesto di pubblica utilità;
• Diffondere apparecchiature, dispositivi o programmi per computer con l’intento di danneggiare o interrompere un sistema informatico o telematico.

Misure di protezione e prevenzione

Nonostante gli strumenti a disposizione della polizia postale, in molti casi è impossibile determinare l’identità dell’autore del reato e, cosa ancora più importante, la colpa finale potrebbe ricadere sull’utente.

Ad esempio, se una banca offre tutte le misure di sicurezza preventive e istruttive previste dalla legge, ma un cliente è vittima di un attacco di phishing contro gli utenti della piattaforma di e-banking in questione, il denaro rubato potrebbe non essere restituito.

Concludendo, è fondamentale informarsi sulle minacce informatiche e utilizzare tutti gli strumenti di sicurezza disponibili, quali ad esempio:

• Verificare la legittimità delle comunicazioni e dei siti web;
• Non rivelare informazioni sensibili o credenziali di accesso;
• Creare password sicure e mantenerle aggiornate.