Crimine Informatico 1 - Di Leo Stilo

.Diritto .Informatica

Febbraio 2011- 01 I quaderni del Campus 12

prendere coscienza di un fenomeno destinato ad estendersi sempre più in pro-fondità nella società, che entra nella vita di tutti non bussando delicatamentealla porta e chiedendo il permesso di entrare ma sfondando ogni bar-riera fisica posta davanti al suo cammino, coinvolgendo tutti e tutto.

Leo StiloDocente di Informatica 1 all’Università LUM (Libera Università del Medi-terraneo- Jean Monnet), presso il “Campus degli Studi e delle Univer-sità di Pomezia”. Direttore della rivista Il Nuovo Diritto, autore di pub-blicazioni in materia di diritto penale e diritto delle nuove tecnologie informatiche. Collabora, ponendosi come partner per la sicurezza in-formatica e come consulente in diritto dell’internet, con aziende e liberi professionisti . E’ docente in corsi di formazione in materia di tutela dei dati personali ed informatica per aziende private ed enti pubblici.

EDITORIALETutti coloro che affrontano un viaggio hanno bisogno di un vademecum, di un notes, della bisaccia delle esperienze e delle conoscenze che raccolgono durante l’intero per-corso. Le parole denotative, le espressioni connotative, i concetti, i simboli e i significati diventano appunti, pensieri che si ammassano in ordine sparso dentro un conteni-tore di fortuna. Quando si incontra un altro viandante, senza forma e senza arti-colazione logica, quelle parole non riescono ad essere trasmesse, ad essere scambiate. Non crescono, idee e concetti giacciono pigri, soffocati nel disordine di una sacca. È il dramma della informazione che non riesce a diventare comunicazione, che non passa, che non sa essere scambiata e staziona in un archivio in attesa di una sua utilizzazione. “La mia professione – diceva Ballard – è attraversare frontiere”. Anche la nostra; seb-bene non nascondiamo una preferenza per il concetto gadameriano di orizzonte che lo sguardo non trattiene, che si sposta dal passante al passo, dal viandante al cam-mino, vincolo ed opportunità della strada, l’irraggiungibile oltre, un limite senza es-sere limitato, la mèta che attrae il passo, il confine che non ha fine, il luogo dei mille passaggi in una parte di mondo.“L’intelligenza – scriveva Jean Piaget – organizza il mondo organizzando se stessa”. Fare una rivista, anche semplicemente comporla, costruirla nella coerenza e nella integrazione delle sue parti, è un modo per organizzare la nostra capacità di intus legere, di leggere dentro le esperienze del mondo. Fare una rivista scientifica, intera-mente costruita sul confronto critico tra analisti, protagonisti e problemi, poi, significa produrre significati, dare linfa vitale al corpo della realtà, sangue alle membra dei fatti ammassati dalla storia. La vita è una produzione di significati. La nostra rivista è il luogo in cui questi significati crescono e maturano, è uno spazio di comunicazione qualificata sui temi e problemi della complessità sociale che l’accademia universitaria analizza, interpreta, discuta. La nostra rivista è il luogo in cui l’attività di comunica-zione e confronto scientifico, che si mostra nei seminari e nei convegni, si dimostra, prende forma, appare nella sua veste di coerenza epistemologica. L’ambizione è di re-alizzare una rivista che, nei settori di nostra competenza, sia un riferimento per l’alta affidabilità dei suoi contenuti. Per noi è anche una inderogabile esigenza di mettere ordine in una materia che, in Italia, ha sparso e talvolta disperso contributi significa-tivi nei reticoli della varia editoria. Il suo valore consiste nella opportunità che offre nel trasformare le esperienze in conoscenze e le conoscenze in proposte, nella capacità che saprà dimostrare nel tentativo infinito di organizzare il mondo organizzando la sua intelligenza. Alessandro Ceci

Da quanto rilevato, le conseguenze negative per l’azienda possono es-sere identificate essenzialmente in termini di: danno all’immagine ed alla reputazione, costo di ripristino della situazione fisiologica delservizio, perdita di clienti acquisiti e da acquisire ed ancora in termini di spese nec-essarie per avvisare clienti, fornitori e pubblico in generale, perdita di produttività del personale e spese legali. Tra i costi correlati al crimine informatico bisogna citare anche quelli necessari per scoprire quanto è in realtà accaduto all’interno dell’azienda. In numerosi casi, infatti, ciò che viene immediatamente rilevato è il danno men-tre la causa è più difficile da determinare. Per questo motivo, le aziende vittime di un crimine informatico devono investire delle risorse, a volte ingenti, per svolgere delle indagini interne al fine di determinare l’entità del danno e la sua causa. E’ interessante mettere in risalto la rilevanza di un altro dato: la diminuzione della figura del singolo criminale e il sempre maggiore consolidamento di or-ganizzazioni criminali dotate di competenze e strutture agili e moderne. ¬¬Per dare una dimensione più concreta del fenomeno italiano dei crimini infor-matici è opportuno estrapolare dai dati complessivi della citata indagine esclusi-vamente quelli rilevati all’interno delle aziende italiane coinvolte nell’inchiesta : a) il 23% delle aziende italiane ritiene il crimine informatico più perico-loso rispetto al crimine tradizionale (a livello globale il valore è il 40%); b) il 40% delle aziende italiane ritengono che le due tipol-gie di crimine – informatico e tradizionale - rappresentino una mnaccia di uguale gravità (a livello globale il valore è il 30%); c) il 46% delle aziende italiane ritiene il crimine informatico più cos-toso di quello tradizionale (a livello globale il valore è il 58%); d) il 51% delle aziende italiane ritiene che le minacce alla sicurezza aziendale proven-gano dall’interno delle rispettive organizzazioni (a livello globale il valore è il 66%).La riflessione conclusiva coinvolge tutte le nuove tecnologie informatiche che ba-sano la loro stessa esistenza sulla gestione di informazioni e dati: le tracce che tutti noi lasciamo muovendoci ed operando fisicamente (percorrendo l’autostrada, uti-lizzando la carta di credito, il bancomat e il telefono cellulare...) o “virtualmente” nella rete (dando e ricevendo informazioni in modo volontario o involontario; richiedendo e concedendo l’utilizzo di una serie di dati personali oppure semplice-mente consultando determinate notizie piuttosto che altre...) potrebbero rappre-sentare un terreno difficile da controllare per le organizzazioni giuridiche statali ed internazionali. Per questo occorre formare e diffondere una nuova coscienza ed una diversa concezione delle responsabilità legate alla gestione delle “informazi-oni”. Tali realtà non dovranno essere limitate ai rigidi confini nazionali, troppo stretti ed angusti per strumeti completamente slacciati dalla dimensione territoriale,ma proiettate verso una visione globale della società umana.Il legislatore, in quest’epoca di grandi sconvolgimenti tecnologici, deve pre-pararsi ad un complesso ed affascinante lavoro di ricerca e di sperimentazi-one. La necessità di adattare vecchie norme alle nuove esigenze e di pro-gettare sistemi innovativi di regolamentazione, controllo e repressione rappresentano le principali preoccupazioni dei legislatori di tutto il mondo. Con Internet, in particolare, si riassapora la modernità di un vecchio inseg-namento contenuto, come in una macchina del tempo che lo custodisce e lopreserva sempre attuale, nella celebre frase « ubi societas, ibi ius».Non comprendere, fino in fondo, la natura e le modalità operative dei rapporti che nas-cono in questo nuovo tessuto sociale vuol dire, in realtà, abbandonare la società globale, virtualmente già nata e operante in rete alla terribile e primordiale legge “di natura” dove il più forte detta le regole che gli altri, più deboli, sono costretti ad osservare e subire. Nel vuoto di tutela e di controllo, ad esempio, le organizzazioni criminali sem-pre più attrezzate con supporti tecnici e conoscenze informatiche potrebbero in-serirsi al fine di operare fuori da ogni possibile controllo, ricostituendo così vir-tualmente quello che l’ordinamento giuridico statale gli ha sottratto fisicamente: un territorio feudale dove poter liberamente ideare, progettare e realizzare i pro-pri interessi. Il ruolo del territorio, un tempo scenario fisico necessario per qua-lunque tipo di dinamica sociale ed economica, diviene sempre più marginale. Come evidenziano i dati citati all’inizio del paragrafo appare ormai consolida-ta, sia a livello globale e sia a livello nazionale, la consapevolezza che il costo del crimine informatico ha assunto delle dimensioni di rilevanza allarmante e che, per usare le parole di Corrado Giustozzi, «nell’era della “azienda connessa” ...Internet e gli hacker sono un capro espiatorio, quando non uno specchio per le allodole, mentre i veri problemi sono quasi sempre altrove: dentro le nostre aziende ed organiz-zazioni, non fuori da esse» Alla luce dello scenario che questo breve scritto ha tentato di illustrare, purtroppo necessariamente solo per punti, occorre, anche se a piccoli passi,.

11. I COSTI DEI CRIMINI INFORMATICI

01 I quaderni del Campus 01 - Febbraio 2011


IL CRIMINE INFORMATICO NELLA SOCIETA’ DELL’ INFORMAZIONE

Sommario: 1. La nuova era digitale tra vecchie e nuove storie; 2. Un vortice di dati persona-li tra internet e nuove tendenze del mercato; 3. Il commercio nella società dell’informazione: una questione di fiducia e sicurezza; 4. L’insostenibile insicurezza della società dell’informazione: alla ricerca del bene giuridico da difendere; 5. Crimi-ni informatici: dalle “liste nere” al codice penale italiano .6. Alla ricerca delle fonti del danno informatico in azienda; 7. Malware in azienda; 7.1. Virus; 7.2 worm; 7.3 trojan horse; 7.4 Spyware: un “parassita digitale” dai mille “untori”; 8. Attacchi informatici; 8.1 denial of service; 8.2 sniffing; 8.3 hijacking; 8.4 spoofing; 8.5 blended threats; 9. Le truffe del www; 9.1 social engineering; 9.2 scam; 9.3 phishing; 9.4 dialer; 10. Le altre fonti di danno nel web; 10.1 zombie: 10.2 cybersquatting; 10.3 hoax; 10.4 deeplinking e framing; 10.5 spamming; 11. Il costo dei crimini informatici in azienda

Collocare storicamente il fenomeno evolutivo delle tecnologie informatiche in un quadro storico ben determinato è un tassello importante nel processo di compren-sione dello stretto legame esistente tra tali innovazioni e la storia del secolo passato. L’incubatrice culturale che ha determinato un’impennata evolutiva delle tecnolo-gie elettroniche, supporto fisico necessario per il successivo sviluppo dell’era dig-itale, trova origine in una dimensione spaziale e temporale ben determinata (1).Lo scenario è quello del secondo dopoguerra: alla fine delle ostilità belli-che, i nuovi dominatori della scena mondiale, grazie al prestigio politico, militare ed economico conquistato sul campo di battaglia contro il nazifas-cismo, iniziarono una lunga ed estenuante guerra “fredda” per l’egemonia del Mondo che poneva a confronto, l’una contro l’altra, due ideologie e, con esse, due complessi modelli di società. Il mondo appariva così diviso in due blocchi contrapposti, separati simbolicamente, e in alcuni casi fisicamente,da un muro di reciproca diffidenza e sospetto. Le sorti dell’umanità quo-tidianamente venivano messe in gioco sul tavolo del mantenimento di unterrificante equilibrio di armamenti tecnologici e sulla consapevolezza che un loro impiego avrebbe determinato un serio rischio per la fine della vita sulla Terra. La corsa verso nuove tecnologie belliche, offensive e difensive, determinò durante gli anni del dopoguerra un incremento vertiginoso delle sovvenzioni pubbliche desti-nate alla ricerca scientifica. I momenti più significativi della storia dell’elettronica, informatica e telematica di questi ultimi 60/70 anni, infatti, affondano le radici nel clima di sospetto glaciale in cui la politica mondiale si trovava impantanata senza un’apparente possibilità d’uscita e che oggi, cambiati gli attori protago-nisti della scena, sembra rivivere con il suo pesante carico d’angosce ed incubi.I diversi binari di sviluppo seguiti dalla scienza moderna non devono essere analiz-zati e valutati, quindi, come realtà a “compartimenti stagni”, ma come entità figliedi scoperte ed invenzioni comuni che trovano nella sinergia dellaricerca il loro punto di forza e il loro massimo stimolo. I diversi campi della ricerca, così intesi, hanno consentito nel corso degli ultimi decenni di oltrepassare sistematica-mente con scadenze temporali sempre più ravvicinate i limiti umani che oggi appaiono,terrificante equilibrio di armamenti tecnologici e sulla consapevolezza che un loro impiego avrebbe determinato un serio rischio per la fine della vita sulla Terra. La corsa verso nuove tecnologie belliche, offensive e difensive, determinò durante gli anni del dopoguerra un incremento vertiginoso delle sovvenzioni pubbliche desti-nate alla ricerca scientifica. I momenti più significativi della storia dell’elettronica, informatica e telematica di questi ultimi 60/70 anni, infatti, affondano le radici nel clima di sospetto glaciale in cui la politica mondiale si trovava impantanata senza un’apparente possibilità d’uscita e che oggi, cambiati gli attori protago-nisti della scena, sembra rivivere con il suo pesante carico d’angosce ed incubi.I diversi binari di sviluppo seguiti dalla scienza moderna non devono essere analiz-zati e valutati, quindi, come realtà a “compartimenti stagni”, ma come entità figliedi scoperte ed invenzioni comuni che trovano nella sinergia della ricerca il loro punto di forza e il loro massimo stimolo. I diversi campi della ricerca, così in-tesi, hanno consentito nel corso degli ultimi decenni di oltrepassare sistemat-icamente con scadenze temporali sempre più ravvicinate i limiti umani che oggi appaiono,consapevolmente o inconsapevolmente, sempre più di natura contingente. I momenti più significativi di questo sviluppo tecnologico, che non appare ancora aver raggiunto la fase discendente della sua parabola evolutiva, sono rappresentati:

1) dalla microelettronica la cui nascita è collocabile, simbolicamente, nel 1947 nei Bell Laboratories di Murray Hill nel New Jersey dove venne inventato il transistor (2) e con esso la possibilità di trasformare gli impulsi elettrici in un codice binario (semiconduttori) utilizzabile, in estrema sintesi, per co-municare con le macchine in modo rapido e sempre più complesso (3) ;

2) dal computer, anch’esso figlio della seconda guerra mondiale madre di tutte le tec-nologie (4) ; 3) da Internet, la cui ideazione e realizzazione è frutto di una sinergica commistione tra la classica strategia militare e l’innovazione imprenditoriale di una nuova generazione di studiosi e ricercatori universitari (5). In questa necessariamente breve e superficiale descrizione, utile ad incorniciare la situazione-madre dell’era del Bit, particolare attenzione deve essere dedicata alla nascita del fenomeno Internet. Le origini della Rete delle reti si possono rinvenire all’interno delle ricerche condotte dall’ARPA (Advanced Research Projects Agency) del Dipartimento degli Stati Uniti. In un momento storico di particolare frizione tra i due blocchi ideologici ed economici che si dividevano il mondo, il lancio del primo Sputnik, l’America avvertì l’esigenza di aumentare i fondi della ricerca per prevenire eventuali attacchi provenienti dallo spazio.Tra le idee seguite e sviluppate dall’ARPA, di particolare interesse fu quella con-cepita da Paul Baran alla Rand Corporation nel 1960-64, che aveva ad og-getto «la progettazione di un sistema di comunicazioni invulnerabile agli attac-chi nucleari. Basato sulla tecnologia di comunicazione della commutazione a pacchetto, il sistema rese la rete indipendente da centri di comando e controllo, affinché le unità di messaggio trovassero le proprie strade lungo la rete, venen-do ricomposte nel messaggio originale in qualsiasi punto del sistema» (6) .Accanto ai computer ed internet vi è un altro elemento da analiz-zare per avere un quadro dello scenario entro cui ricostruire il fenom-eno dei crimini informatici in azienda e della conseguente esigen-za di una maggiore tutela dei dati e delle informazioni: il software.Il software, quale bene in sé, acquista autonomia giuridica, distaccandosi dal cor-done primordiale che lo legava indissolubilmente ad un ruolo di semplice ap-pendice dell’hardware, in un tempo successivo alla diffusione e commercializ-zazione degli elaboratori elettronici. Il tardivo riconoscimento di un’autonoma valenza del programma è legato alla storia della diffusione delle nuove tecnologie informatiche; per tale motivo, una breve analisi storica è utile al fine di individuare le ragioni che hanno spinto i legislatori dei Paesi più industrializzati a dettare una puntu-ale disciplina tesa a tutelare il software nella sua intrinseca valenza sociale e giuridica.Accanto ai computer ed internet vi è un altro elemento da ana-lizzare per avere un quadro dello scenario entro cui ricostruire il fenomeno dei crimini informatici in azienda e della conseguente esi-genza di una maggiore tutela dei dati e delle informazioni: il software.Il software, quale bene in sé, acquista autonomia giuridica, distaccandosi dal cor-done primordiale che lo legava indissolubilmente ad un ruolo di semplice appen-dice dell’hardware, in un tempo successivo alla diffusione e commercializzazione degli elaboratori elettronici. Il tardivo riconoscimento di un’autonoma valenza del programma è legato alla storia della diffusione delle nuove tecnologie informatiche; per tale motivo, una breve analisi storica è utile al fine di individuare le ragioni che hanno spinto i legislatori dei Paesi più industrializzati a dettare una puntuale disciplina tesa a tutelare il software nella sua intrinseca valenza sociale e giuridica.Con l’avvento del microprocessore i rapporti uomo/lavoro, uomo/tempo libero si avviarono verso un drastico mutamento di prospettiva in cui il computer divenne sempre più “personal” e presente in tutte le quotidiane dinamiche di relazione sociale. Nel 1975 ED ROBERTS, fondatore della MITS, una piccola soci-età produttrice di calcolatori nel New Mexico diede alla luce “Altair”.La novità che caratterizzava questa nuova macchina, dif-ferenziandola da tutte le altre precedentemente realizzate,trovava fondamento nella concezione di base con cui la stessa era stata ideata e suc-cessivamente costruita: Altair era un computer creato attorno ad un microprocessore.Le dimensioni e i costi degli elaboratori, col pas-sare del tempo, divennero più contenuti e il loro impiegosi dimostrò appetibile per una tipologia di utenti le cui dimen-sioni aumentarono esponenzialmente in rapporto alla maggiore

1. LA NUOVA ERA DIGITALE TRA VECCHIE E NUOVE STORIE.



prendere coscienza di un fenomeno destinato ad estendersi sempre più in pro-fondità nella società, che entra nella vita di tutti non bussando delicatamentealla porta e chiedendo il permesso di entrare ma sfondando ogni bar-riera fisica posta davanti al suo cammino, coinvolgendo tutti e tutto.

Leo StiloDocente di Informatica 1 all’Università LUM (Libera Università del Medi-terraneo- Jean Monnet), presso il “Campus degli Studi e delle Univer-sità di Pomezia”. Direttore della rivista Il Nuovo Diritto, autore di pub-blicazioni in materia di diritto penale e diritto delle nuove tecnologie informatiche. Collabora, ponendosi come partner per la sicurezza in-formatica e come consulente in diritto dell’internet, con aziende e liberi professionisti . E’ docente in corsi di formazione in materia di tutela dei dati personali ed informatica per aziende private ed enti pubblici.

EDITORIALETutti coloro che affrontano un viaggio hanno bisogno di un vademecum, di un notes, della bisaccia delle esperienze e delle conoscenze che raccolgono durante l’intero per-corso. Le parole denotative, le espressioni connotative, i concetti, i simboli e i significati diventano appunti, pensieri che si ammassano in ordine sparso dentro un conteni-tore di fortuna. Quando si incontra un altro viandante, senza forma e senza arti-colazione logica, quelle parole non riescono ad essere trasmesse, ad essere scambiate. Non crescono, idee e concetti giacciono pigri, soffocati nel disordine di una sacca. È il dramma della informazione che non riesce a diventare comunicazione, che non passa, che non sa essere scambiata e staziona in un archivio in attesa di una sua utilizzazione. “La mia professione – diceva Ballard – è attraversare frontiere”. Anche la nostra; seb-bene non nascondiamo una preferenza per il concetto gadameriano di orizzonte che lo sguardo non trattiene, che si sposta dal passante al passo, dal viandante al cam-mino, vincolo ed opportunità della strada, l’irraggiungibile oltre, un limite senza es-sere limitato, la mèta che attrae il passo, il confine che non ha fine, il luogo dei mille passaggi in una parte di mondo.“L’intelligenza – scriveva Jean Piaget – organizza il mondo organizzando se stessa”. Fare una rivista, anche semplicemente comporla, costruirla nella coerenza e nella integrazione delle sue parti, è un modo per organizzare la nostra capacità di intus legere, di leggere dentro le esperienze del mondo. Fare una rivista scientifica, intera-mente costruita sul confronto critico tra analisti, protagonisti e problemi, poi, significa produrre significati, dare linfa vitale al corpo della realtà, sangue alle membra dei fatti ammassati dalla storia. La vita è una produzione di significati. La nostra rivista è il luogo in cui questi significati crescono e maturano, è uno spazio di comunicazione qualificata sui temi e problemi della complessità sociale che l’accademia universitaria analizza, interpreta, discuta. La nostra rivista è il luogo in cui l’attività di comunica-zione e confronto scientifico, che si mostra nei seminari e nei convegni, si dimostra, prende forma, appare nella sua veste di coerenza epistemologica. L’ambizione è di re-alizzare una rivista che, nei settori di nostra competenza, sia un riferimento per l’alta affidabilità dei suoi contenuti. Per noi è anche una inderogabile esigenza di mettere ordine in una materia che, in Italia, ha sparso e talvolta disperso contributi significa-tivi nei reticoli della varia editoria. Il suo valore consiste nella opportunità che offre nel trasformare le esperienze in conoscenze e le conoscenze in proposte, nella capacità che saprà dimostrare nel tentativo infinito di organizzare il mondo organizzando la sua intelligenza. Alessandro Ceci

Da quanto rilevato, le conseguenze negative per l’azienda possono es-sere identificate essenzialmente in termini di: danno all’immagine ed alla reputazione, costo di ripristino della situazione fisiologica delservizio, perdita di clienti acquisiti e da acquisire ed ancora in termini di spese nec-essarie per avvisare clienti, fornitori e pubblico in generale, perdita di produttività del personale e spese legali. Tra i costi correlati al crimine informatico bisogna citare anche quelli necessari per scoprire quanto è in realtà accaduto all’interno dell’azienda. In numerosi casi, infatti, ciò che viene immediatamente rilevato è il danno men-tre la causa è più difficile da determinare. Per questo motivo, le aziende vittime di un crimine informatico devono investire delle risorse, a volte ingenti, per svolgere delle indagini interne al fine di determinare l’entità del danno e la sua causa. E’ interessante mettere in risalto la rilevanza di un altro dato: la diminuzione della figura del singolo criminale e il sempre maggiore consolidamento di or-ganizzazioni criminali dotate di competenze e strutture agili e moderne. ¬¬Per dare una dimensione più concreta del fenomeno italiano dei crimini infor-matici è opportuno estrapolare dai dati complessivi della citata indagine esclusi-vamente quelli rilevati all’interno delle aziende italiane coinvolte nell’inchiesta : a) il 23% delle aziende italiane ritiene il crimine informatico più perico-loso rispetto al crimine tradizionale (a livello globale il valore è il 40%); b) il 40% delle aziende italiane ritengono che le due tipol-gie di crimine – informatico e tradizionale - rappresentino una mnaccia di uguale gravità (a livello globale il valore è il 30%); c) il 46% delle aziende italiane ritiene il crimine informatico più cos-toso di quello tradizionale (a livello globale il valore è il 58%); d) il 51% delle aziende italiane ritiene che le minacce alla sicurezza aziendale proven-gano dall’interno delle rispettive organizzazioni (a livello globale il valore è il 66%).La riflessione conclusiva coinvolge tutte le nuove tecnologie informatiche che ba-sano la loro stessa esistenza sulla gestione di informazioni e dati: le tracce che tutti noi lasciamo muovendoci ed operando fisicamente (percorrendo l’autostrada, uti-lizzando la carta di credito, il bancomat e il telefono cellulare...) o “virtualmente” nella rete (dando e ricevendo informazioni in modo volontario o involontario; richiedendo e concedendo l’utilizzo di una serie di dati personali oppure semplice-mente consultando determinate notizie piuttosto che altre...) potrebbero rappre-sentare un terreno difficile da controllare per le organizzazioni giuridiche statali ed internazionali. Per questo occorre formare e diffondere una nuova coscienza ed una diversa concezione delle responsabilità legate alla gestione delle “informazi-oni”. Tali realtà non dovranno essere limitate ai rigidi confini nazionali, troppo stretti ed angusti per strumeti completamente slacciati dalla dimensione territoriale,ma proiettate verso una visione globale della società umana.Il legislatore, in quest’epoca di grandi sconvolgimenti tecnologici, deve pre-pararsi ad un complesso ed affascinante lavoro di ricerca e di sperimentazi-one. La necessità di adattare vecchie norme alle nuove esigenze e di pro-gettare sistemi innovativi di regolamentazione, controllo e repressione rappresentano le principali preoccupazioni dei legislatori di tutto il mondo. Con Internet, in particolare, si riassapora la modernità di un vecchio inseg-namento contenuto, come in una macchina del tempo che lo custodisce e lopreserva sempre attuale, nella celebre frase « ubi societas, ibi ius».Non comprendere, fino in fondo, la natura e le modalità operative dei rapporti che nas-cono in questo nuovo tessuto sociale vuol dire, in realtà, abbandonare la società globale, virtualmente già nata e operante in rete alla terribile e primordiale legge “di natura” dove il più forte detta le regole che gli altri, più deboli, sono costretti ad osservare e subire. Nel vuoto di tutela e di controllo, ad esempio, le organizzazioni criminali sem-pre più attrezzate con supporti tecnici e conoscenze informatiche potrebbero in-serirsi al fine di operare fuori da ogni possibile controllo, ricostituendo così vir-tualmente quello che l’ordinamento giuridico statale gli ha sottratto fisicamente: un territorio feudale dove poter liberamente ideare, progettare e realizzare i pro-pri interessi. Il ruolo del territorio, un tempo scenario fisico necessario per qua-lunque tipo di dinamica sociale ed economica, diviene sempre più marginale. Come evidenziano i dati citati all’inizio del paragrafo appare ormai consolida-ta, sia a livello globale e sia a livello nazionale, la consapevolezza che il costo del crimine informatico ha assunto delle dimensioni di rilevanza allarmante e che, per usare le parole di Corrado Giustozzi, «nell’era della “azienda connessa” ...Internet e gli hacker sono un capro espiatorio, quando non uno specchio per le allodole, mentre i veri problemi sono quasi sempre altrove: dentro le nostre aziende ed organiz-zazioni, non fuori da esse» Alla luce dello scenario che questo breve scritto ha tentato di illustrare, purtroppo necessariamente solo per punti, occorre, anche se a piccoli passi,.

11. I COSTI DEI CRIMINI INFORMATICI


popolarità/curiosità nata attorno al nuovo strumento elettronico. Tale innovativa concezione della struttura del computer divenne, in breve tempo, il modello e la fonte d’ispirazione per la realizzazione del progetto che prese il nome di Apple (I e II): il primo computer che riuscì a riscuotere un successo commer-ciale degno di nota. L’Apple venne progettato da STEVE WOZNIAK e STEVE JOBS, nel garage dei genitori a Menlo Park (Silicon Valley). Queste due giovani menti, fondatori della famosa “APPLE COMPUTERS”, in una storia che ormai si è tin-ta di leggenda, costituiscono il “brodo primordiale” da cui prenderà forma, dopo un rapido processo evolutivo di tipo selettivo, la futura “Età dell’Informazione”.Alla proposta della “APPLE COMPUTERS”, reagì la possente industria IBM im-mettendo nel mercato un proprio modello di microcomputer. Per testare la for-tuna commerciale di tale prodotto è sufficiente evocare il nome che l’IBM scelse di donargli: Personal Computer (PC). Chiaramente, il nome di questo prodotto in-formatico ha oltrepassato le barriere del tempo per divenire il simbolo stesso di un periodo storico di forte fermento culturale e di feconde ricerche scientifiche.Il traguardo raggiunto, dall’APPLE e dall’IBM, fu quello di ridimensionare la struttu-ra fisica del computer. Non più enormi apparati elettronici costituiti da migliaia di valvole e transistor che richiedevano spazi enormi per l’installazione ed il loro uti-lizzo, ma un computer da scrivania, di dimensioni e costi umanamente contenibiliIl salto tecnico e culturale fu enorme e i semi di tale innovazi-one non tardarono a dare frutti in ogni campo dell’attività umana. Bisogna rilevare che in questa prima fase il rapporto hardware/software è di tipo sim-biotico con la netta prevalenza del primo sul secondo. Era inconcepibile, infatti, non fornire assieme al computer un programma che consentisse allo stesso di funzionare. Dopo qualche anno di ricerche APPLE riuscì a raggiungere un nuovo traguardo; questa volta l’ingegno degli scienziati andò a colpire, modificandolo profonda-mente, il difficile rapporto computer/utente. Tale rapporto venne identificato come la chiave di volta per garantire il superamento del maggiore ostacolo alla diffusione, capillare e trasversale all’interno della società, dell’uso del computer.Le nascita del Macintosh della APPLE (1984) «rappresentò il pri-mo passo verso il computer user-friendly, con l’introduzione di una tec-nologia d’interfaccia utente, basata su icone…(omissis)(7)…» . E’ in questi anni che si solidifica, nella stessa coscienza dei produttori di com-puter e degli utenti finali, l’importanza e il valore individuale del software (8). L’idea di un valore intrinseco del programma/linguaggio necessario per far co-municare l’utente con il computer, al fine di far svolgere a quest’ultimo operazio-ni di vario tipo, era ben presente, sin dagli anni ‘70, nella mente di due giovani studiosi: BILL GATES e PAUL ALLEN. I due giovani imprenditori/studiosi nel giro di pochi anni, grazie all’idea vincente “Basic”contribuirono in modo de-cisivo alla creazione del mercato del software, imponendosi (sotto l’egida del marchio MICROSOFT) nel ramo dei sistemi operativi (Dos – Windows) e de-gli applicativi (si pensi alla diffusione capillare e mondiale del pacchetto Office).«E’ accaduto così che la “Cenerentola” software sia oggi divenuto il “mo-tore” di un settore industriale che apporta contributi sempre più signifi-cativi all’economia mondiale generando occupazione e gettiti fiscali e aumen-tando la produttività, la capacità e la competitività dei più diversi settori.(9)»La macchina, intesa come un insieme di componenti elettronici, senza un opportuno programma idoneo a fornire le istruzioni per svolgere le di-verse operazioni e risolvere i più disparati problemi non rappresentereb-be un bene utilizzabile dall’utente. L’utente, infatti, acquista il computer per svolgere determinate attività (ad esempio: videoscrittura, gestione della con-tabilità, progettazione e per infiniti altri scopi) e non per la macchina in sé. E’ il software che infonde, in un certo senso, la vita alla macchina; la quale, senza di esso, non potrebbe apparire in alcun modo appetibile. Le diverse industrie del settore infor-matico ben presto percepirono l’importanza di tale inscindibile legame e dedicarono una parte sempre maggiore delle proprie risorse allo sviluppo di pacchetti, insieme di programmi, idonei a risolvere le più svariate esigenze dei futuri e probabili acquirenti.Per usare le parole di Borruso “… il computer non è solo una mac-china, poiché come l’uomo, anch’esso è composto di un corpo e di un’ “anima”:l’hardware (ossia “la macchina”, il computer nella sua fisicità) e il soft-ware (complesso di istruzioni attraverso cui l’uomo, mediante la parola scritta o parlata, trasferisce nel computer il proprio pensiero e la propria volontà)…Nel computer dobbiamo vedere l’imago mentis dell’uomo: il computer, invero, fa quello, e solo quello, che l’uomo gli dice di fare, che l’uomo lo istruisce a fare. In al-tre parole “l’intelligenza” del computer non è insita nell’hardware, ma è una proiezi-one del pensiero umano che anima la macchina attraverso uno scritto: il software. In tale prospettiva, allora, secondo Borruso risulta corretta la scelta del nostro legislatore di tutelare il software con il diritto d’autore e non con il brevetto: il soft-ware, infatti, come un’opera letteraria, è una forma che assume la parola umana”(10)Da quanto affermato si riesce a percepire l’importanza strategica che.

il software oggi riveste nell’ambito di un mercato sempre più globale, dove flussi ingenti di risorse economiche sono legati, in modo di-retto ed indiretto, alle vicende di questo nuovo e particolare bene.Quello descritto, con rapidi tratti, è solo un quadro generale di ciò che ha determinato, assieme ad altre numerose concause, gli assetti econ-omici e culturali di quella che viene comunemente definita l’era del BIT.Oggi, in un periodo in cui il Mondo torna ad essere sconvolto da conflit-ti politici, ideologici e religiosi, assistiamo ad una nuova corsa agli arma-menti che probabilmente porterà nei prossimi anni a nuovi impulsi tec-nologici capaci di modificare profondamente la nostra vita quotidiana. Alle persone di buon senso, ancora una volta, l’obbligo morale di fare ac-compagnare la corretta diffusione di tali innovazioni, tentando, gra-zie all’aiuto indispensabile di studiosi di discipline informatiche e giu-ridiche, di circondare le stesse con quell’anima di giustizia che spesso manca a scoperte ed invenzioni che, nate ai piedi di un conflitto, rischiano di man-tenere nel proprio DNA qualche carattere ereditario non proprio secundum ius.(1) Per questa scoperta ai tre fisici che lo invitarono, Bardeen, Brattain, Shockley, venne attribuito il premio Nobel.(2) CASTELLS, La nascita della società in rete, op.cit., 45.(3) CUNEGATTI – SCORZA, Multimedialità e diritto d’autore, Napoli, 2001, 85:« Sul finire degli anni ’50 le industrie del settore informatico, che sino a quel momento avevano investito ingenti capitali e risorse nello sviluppo dell’hardware, compresero l’importanza e l’utilità del software e, di conseguenza, cominciarono a sviluppare programmi applicativi preconfezionati capaci di risolvere i più diversi problemi degli uten-ti. Sino al 1969, però, il software rimase, di fatto, un bene accessorio all’hardware ed era, per lo più venduto con questo in un unico pacchetto…(omissis)…dagli anni ’60 ad oggi il software ha radicalmente mutato la sua posizione nel mer-cato informatico trasformandosi da semplice bene accessorio all’hardware ad indiscusso, e incontestato, protagonista.».(4)CUNEGATTI– SCORZA, , op. cit. , 86.(5)Per un quadro maggiormente esplicativo della recente e complessa sto-ria di Internet si rinvia a: Università degli Studi Roma Tre, Dipartimento di Informatica e Automazione, http://www.dia.uniroma3.it/~necci/storia_internet.htm, Wikipedia, http://it.wikipedia.org/wiki/Storia_di_Internet .(6)M. CASTELLS, La nascita della società in rete, Milano, 2002, 48. Per maggiori notizie sulla storia della Apple si rinvia a: Apple History, http://www.apple-history.com/; Apple Museum, http://www.macitynet.it/applemuseum/ (7)CASTELLS, La nascita della società in rete, op.cit., 45.(8)CUNEGATTI – SCORZA, Multimedialità e diritto d’autore, Napoli, 2001, 85:« Sul finire de-gli anni ’50 le industrie del settore informatico, che sino a quel momento avevano investito ingenti capitali e risorse nello sviluppo dell’hardware, compresero l’importanza e l’utilità del software e, di conseguenza, cominciarono a sviluppare pro-grammi applicativi preconfezionati capaci di risolvere i più diversi problemi degli utenti. Sino al 1969, però, il software rimase, di fatto, un bene accessorio all’hardware ed era, per lo più venduto con questo in un unico pacchetto…(omis-sis)…dagli anni ’60 ad oggi il software ha radicalmente mutato la sua posizione nel mercato informatico trasformandosi da semplice bene accessorio all’hardware ad indiscusso, e incontestato, protagonista.».(9)CUNEGATTI – SCORZA, , op. cit. , 86. (10) Maurizio Di Masi, Riflessioni del Prof. Renato Borruso sull’uomo, il computer e il diritto. L’INFORMATICA PER IL GIURISTA: DAL BIT A INTERNET, tratta dalla lectio magistralis24 giugno 2010 Scuola di Specializzazione per le

2. UN VORTICE DI DATI PERSONALI TRA INTERNET E NUOVE TENDENZE DEL MERCATO.La diffusione di Internet pone ai giuristi alcuni difficili quesiti che diventano en-igmatici nel momento in cui si considera questa nuova espressione della tecnolo-gia della gestione delle informazioni in rapporto alla tutela dei dati personali (11) . Internet nasce come una struttura libera e si sviluppa con estrema capil-larità, trovando sempre maggiori consensi, proprio grazie a questo suo carattere di luogo dove poter condividere, gratuitamente, informazio-ni di varia natura (… dalla ricerca scientifica a mere notizie e curiosità..). Il problema nasce nel momento in cui questa estrema libertà si pone in rapporto con il diritto a vedere tutelati i propri dati personali presenti in rete che, per vari motivi, potrebbero essere utilizzati e sfruttati per scopi ignorati dall’interessato. La diffusione di questa realtà rende evidente la difficoltà di segnare i confini tra la libertà di inviare/ricevere e cercare/trovare informazioni, da un lato, e la tu-tela della riservatezza della persona e dei dati ad essa appartenenti, dall’altro. La vasta zona d’ombra è provocata dal conflitto, difficilmente risolvibile con gli at-tuali strumenti giuridici, tra due contrapposte esigenze, entrambe meritevoli di interesse e protezione da parte dell’ordinamento giuridico: a) l’estremo vantag-gio economico, sociale e culturale che la libera circolazione delle informazioni riesce a produrre; b) l’estremo rischio della riduzione del singolo individuo ad un ritratto virtuale ottenuto dal rinvenimento e dal trattamento di dati persona-li sparsi per la rete o ottenuti, in vario modo, dal soggetto che effettua la ricerca.Il rischio di non poter controllare l’utilizzo dei dati persona-li inseriti nella rete è congenito alla stessa natura dello strumento Internet.Uno sguardo all’anatomia della “Rete delle reti” può aiu-tare a comprendere la sua intrinseca insicurezza (12).La caratteristica principale di Internet è quella di essere una rete aperta alla quale tut-ti possono connettersi, per i fini più vari, introducendo e/o estraendo informazioni. I dati personali inseriti per scopi determinati e conosciuti dall’utente, in tem-pi e situazioni diverse, possono essere facilmente rintracciati grazie all’utilizzo di numerosi e sempre più specializzati motori di ricerca. I dati, una volta in-seriti nella rete, si distaccano dal fine per il quale sono stati inoltrati e ac-quistano una vita propria, potendo essere richiamati ed ordinati in base all’interrogazione che il procacciatore di informazioni propone, tramite i motori pre-detti, alla rete. Inoltre, i legami ipertestuali, con cui è possibile passare da un sito web all’altro, portano con sé un vassoio di dati ed informazioni sui nostri gusti ed interessi utili ai gestori di servizi in rete ed utilizzabili per scopi ignorati dall’utente che li ha generati.La “profilazione dell’utente”, ossia la messa in evidenza delle linee costituenti




Accanto alle suddette fonti di pericolo, in internet sono pre-senti un’infinita serie di altre minacce. Tra le diverse nei suc-cessi punti si prenderanno in considerazione quelle più diffuse.

10.1 ZOMBIE«Se un PC non protetto si connette ad internet, esiste il 50% di proba-bilità che diventi uno zombi in 12 minuti (72)» . Si definisce “zombie” un computer colpito da un virus che viene controllato da remoto da un utente malintenzionato e non autorizzato all’insaputa del legittimo titolare della mac-china. Un computer zombie è uno strumento nelle mani dei soggetti che abusivamente vi accedono e lo controllano. Normalmente l’obiettivo perseguito con tale tecnica è quello di utilizzare tutti i computer divenuti zombie per inviare spam, malware, email con contenuto fraudolento o materiale pornografico all’insaputa dei proprietari delle macchine infette. Secondo alcune stime di Sophos (www.sophos.it) più del 60% dello spamming deriva da computer zombie. Si tratta di cifre impressionanti in considerazi-one dei danni che normalmente tali meccanismi arrecano ad un’azienda: interruzione di attività, danni alla rete, perdita di dati e informazioni, danni all’immagine (73) .

(72)White paper Sophos, Siete forse degli spammer ? Per-ché è essenziale bloccare i computer zombi, 2005, in www.sophos.it .(73)White paper Sophos, Siete forse degli spammer ? Per-ché è essenziale bloccare i computer zombi,2005, in www.sophos.it

10.2 CYBERSQUATTINGViene definita “Cybersquatting” la tecnica di accaparramento di nomi di do-minio al fine di rivendere gli stessi ai legittimi titolari o a soggetti, in partico-lare imprese di grosse dimensioni e di chiara fama, che possano avere un in-teresse a quel particolare indirizzo nel www che potrebbe rappresentare una fonte di dirottamento dei possibili clienti. Con tale comportamento si vuole ten-tare di instaurare con le aziende bersaglio una trattativa tesa a rivendere alle stesse ad un prezzo notevolmente maggiorato gli spazzi oggetto di interesse.

10.3 HOAXCon la denominazione hoax(74) si indicano quelle che volgarmente vengono defi-nite “bufale” ossia dei messaggi contenenti notizie false ed ingannevoli. Alcuni di essi sfruttano tecniche di ingegneria sociale per essere rispedite dai destinatari ad altre persone implementando la diffusione del messaggio. Tra gli esempi ricorrenti si ricordano tutti quei messaggi che fanno leva sul tasto della compassione e della solidarietà umana chiedendo aiuto per risolvere casi umanitari (totalmente inventa-ti o ispirati da fatti di cronaca) attraverso il coinvolgimento di quante più persone possibili. In questi casi vengono normalmente costruite le storie utilizzando come ingredienti abituali: bambini ammalati, gravi malattie, necessità d’aiuto. Si tratta di argomenti che coinvolgono immediatamente ed in modo diretto l’immaginario e l’emotività umana in modo da indurre il ricevente ad inviare ad altri conoscenti il contenuto del messaggio. A questo tipo di email si affiancano quelli relativi alla diffusione di pericolosi malware che potrebbero danneggiare in modo grave i computer chiedendo di diffondere a tutti i conoscenti tali allarmi sulla sicurezza in quanto provenienti da importanti enti di ricerca o da aziende leader del settore. Il meccanismo utilizzato dai creatori di hoax è quello di far leva sui sentimenti delle persone creando un enorme traffico di messaggi fasulli capace di occupare impor-tanti spazi di memoria sui server di posta elettronica. In molti casi si tratta, quindi, della versione informatica delle c.d. “catene di Sant’Antonio” dove regnano vec-chie leggende metropolitane restaurate e vestite di nuovo per il www, un esempio: «l’origine di questa lettera è sconosciuta, ma porta fortuna a chi la riceve. Chi rompe la catena sarà sfortunato. Non tenere questa lettera. Fai dieci copie e mandale ai tuoi amici, vedrai che ti accadrà qualcosa di piacevole entro quattro giorni se non rompe-rai la catena». Anche in questo caso cambia il mezzo, dalla lettera all’ email, ma le tecniche utilizzate sono quelle già utilizzate ben prima della diffusione di internet.

(74)Wikipedia encyclopedia (www.wikipedia.it) : voce “hoax”

10.4 DEEPLINKING E FRAMING. E’ sufficiente collegarsi ad internet per rendersi conto di cosa sia un link e della sua rilevanza strutturale, strategica ed economica.Il link oggi può essere considerato, a buon titolo, l’insostituibile mattone di internetpoiché è il collegamento ipertestuale a permettere l’acquisizione di quel particolare

valore aggiunto che caratterizza in modo univoco la rete delle reti rispetto agli al-tri mezzi di comunicazione e diffusione della conoscenza. La possibilità di poter passare, quasi dialogando con il testo, da un argomento all’altro cercando appro-fondimenti e creando nuovi collegamenti logici ed intuitivi rende di particolare in-teresse questa realtà. In qualche modo, è lo stesso approccio al “Sapere” che muta favorendo un’acquisizione di tipo “dinamico”, grazie alla quale i diversi livelli e le diverse fonti aumentano all’aumentare dei link aperti. La rete internet, nel tempo, da inesauribile pozzo di informazioni si è trasformata nel motore propulsore di una nuova economia che in essa trova la sua simbologia e la sua stessa ragione d’esistere. Bisogna ricercare, quindi, nel suddetto passaggio storico la data di nascita della dimensione economica del link e della conseguente esigenza di tutela giuridica delle realtà in esame. Se da un lato non creano particolari problemi (economici egiuridici) i collegamenti che rinviano semplicemente alla home-page di un al-tro sito, essendo interesse dello stesso titolare aumentarne il più possibile la visibilità, da un altro punto di vista sollevano seri dubbi alcune tecniche di col-legamento tra siti. Tra le tecniche più utilizzate, due appaiono di singolare in-teresse: deep-linking (collegamento con la pagina interna di un altro sito senza passare per l’home-page); framing (collegamento al contenuto di un al-tro sito visualizzato generalmente all’interno della cornice del sito linkante).Per capire le problematiche legate alle predette tecniche di collegamento si deve considerare la fonte primaria del valore/potere economico di un sito: il nu-mero dei visitatori. In Italia le tesi circa la liceità o meno delle modalità di col-legamento citate sono numerose e generalmente tese a ricondurre tali fenom-eni, nelle espressioni più esasperate, all’interno delle categorie giuridicheclassiche, ad esempio si è parlato di fenomeni di concorren-za sleale, di attività confusoria diretta a colpire il valore dei segni dis-tintivi dell’azienda e in alcuni casi di violazione del diritto d’autore.Tuttavia, queste ultime tesi non mettono in evidenza il bene che costituisce la base dell’integrità del sito e delle attività che esso veicola: il traffico di “visite” generate e la sua visibilità nel web. Naturalmente, la tecnica di collegamento denominata “deep-linking” non deve essere aprioristicamente condannata come mette in evidenza parte della dottrina (C. ERCOLANO). Tuttavia, se oltre al semplice collegamento si mettono in piedi meccanismi atti a modificare il contenuto del sito linkato o idonei a creare confusione sull’origine del materiale i presupposti per definire “lecito” tale condotta mutano radicalmente. Considerazioni in parte diverse devono essere fatte per il framing, visto che la probabilità di commettere un illecito per coloro che utiliz-zano tale tecnica è molto più alta. Un approccio “soft” a tali strumenti è il più idoneo ad analizzare e comprendere la realtà quotidiana del web, in cui sono gli stessi motori di ricerca a produrre una straordinaria quantità di “traffico” diretto alle pagine in-terne dei siti. In ogni caso, sia che si tratti di deep-linking che di framing è opportuno esaminare la situazione in concreto (caso per caso) per verificare se e in quale misura queste attività arrechino un danno giuridicamente rilevante al sito linkato. Ancora una volta è il buon senso a dover indirizzare il professionista del web in mancanza di regole certe ed attualizzate ad un contesto dinamico e in continua evoluzione.

10.5 SPAMMINGSi definisce spamming (75) uno dei fenomeni più gravi ed allarmanti legati all’utilizzo di Internet, in particolare si tratta dell’invio non sollecitato e richiesto di messaggi pubblicitari reiterato nel tempo. Le radici dello spamming devono rintracciarsi in tecniche commerciali particolarmente invasive utilizzate per pub-blicizzare un prodotto e/o servizio. Si ritiene che una porzione estremamente consistente del traffico di informazioni veicolato dalla rete attraverso la posta elettronica sia rappresentato dallo spamming. Questa tecnica pubblicitaria oltre a rappresentare un comportamento illecito in sè, rappresenta un danno consistente per i sistemi informatici aziendali che si devono preoccupare di gestire ed elimin-are un numero elevatissimo di email spazzatura con dispendio di ingenti risorse.(75)Wikipedia encyclopedia (www.wikipedia.it) : voce “hoax”

10. LE ALTRE FONTI DI DANNO NEL WEB



gli interessi di ogni singolo utilizzatore della rete, induce a compiere alcune ri-flessioni. «Tuttavia, è soprattutto nell’ambito delle indagini di mercato che la tecnica dei profili conosce una delle più significative e proficue applicazio-ni. L’elaborazione delle strategie di marketing registra anzi uno dei suoi mo-menti cruciali proprio nella definizione di profili di consumatori-tipo.» (13) .In estrema sintesi, la profilazione consente un duplice vantaggio: 1. tramite l’elaborazione di alcuni dati (ad esempio: età, sesso, titolo di studio, professione, gusti personali) il produttore riesce ad orientare la produzione sulla base del risultato scaturente da tali indagini, ottenendo una migliore allocazi-one delle proprie risorse conoscendo in anticipo i gusti, gli interessi e le proba-bili reazioni al prodotto dei consumatori “bersaglio” a cui quest’ultimo è direttotolo di studio, professione, gusti personali) il produttore riesce ad orientare la pro-duzione sulla base del risultato scaturente da tali indagini, ottenendo una migliore allocazione delle proprie risorse conoscendo in anticipo i gusti, gli interessi e le prob-abili reazioni al prodotto dei consumatori “bersaglio” a cui quest’ultimo è diretto;2. ottenere un incremento delle vendite tramite una pubblicità mira-ta e quanto più “personale” possibile, ritagliando i messaggi promozion-ali dei prodotti sul profilo del destinatario, futuro e probabile acquirente.La profilazione dell’utente telematico «sembra rispondere all’attuale trasformazione del sistema di produzione e distribuzione delle merci, da sistema prevalentemente di produzione di massa a sistema di personalizzazione di massa (14)» . Le nuove dinamiche del mercato sono sempre più dirette alla ricerca di beni corrispondenti alle esigenze dei singoli e sempre meno segnate dall’analisi dei gusti di una massa informe e non definita. L’incisività di questi nuovi approcci commerciali è diret-tamente collegato al grado di pianificazione utilizzato nell’elaborazione del piano pubblicitario di attacco vs i possibili/probabili clienti. L’ elemento necessario e dis-criminante in tali pianificazioni è rappresentato dal numero e dalla qualità delle op-erazioni di archiviazione, elaborazione e catalogazione di dati utili. Internet, assieme ad altre espressioni delle nuove tecnologie, ha notevolmente contribuito a rendere meno onerose le operazioni di raccolta e gestione delle informazioni necessarie alla creazione di un profilo del consumatore “tipo” del prodotto da commercializzare.Una seconda caratteristica dela rete è data dalla sua congen-ita indole interattiva. Internet necessita, a differenza della radio o dellatelevisione, di una partecipazione dell’utente che ne solleciti l’attivazione e ne provochi la produzione di notizie. E’ l’utilizzatore del servizio a scegliere l’indirizzo dei propri interessi e della propria curi-osità interagendo con la rete e con le informazioni in essa contenute. Questo rapporto biunivoco navigatore / Internet e Internet / navigatore pro-duce esso stesso delle nuove informazioni che vengono archiviate ed elaborate..Un soggetto che visita quotidianamente, ad una determinata ora del giorno, un par-ticolare sito richiedendo la visualizzazione di un certo tipo di informazioni è una fonte preziosa di dati. Queste comuni e frequenti situazioni possono rappresentare, per un fornitore di servizi, una proficua serie di informazioni utili al fine di model-lare ed integrare la propria attività sul cliente bersaglio ed eventualmente rendere lapagina web, estrinsecazione virtuale della sua attività, una vetrina appeti-bile ad altre e diverse attività commerciali che si rivelano, dall’elaborazione dei dati così ottenuti, interessanti per quel tipo, determinato, d’utente. In questa breve panoramica introduttiva al difficile rapporto tra la tutela dei dati per-sonali ed Internet si deve ricordare il carattere internazionale della rete.Non solo non ci sono frontiere, ma la stessa distanza fisica da un luogo all’ altro del mondo non rappresenta più un problema perché è virtualmente superata dalle nuove tecnologie. Per questo motivo, nella rete, spesso la scelta della via idonea a congiungere due punti non è quella fisicamente più breve; è probabile, infatti, che un messaggio inol-trato da Roma e diretto a Firenze transiti per un vettore che si trovi a Parigi o a Londra.. L’ultima caratteristica che viene sottolineata come rilevante da uno studioso del fenomeno, POULLET, è la molteplicità di operatori che operano nella rete. Un esempio concreto, ancora una volta, può essere utile per far percepire lo sce-nario: su Internet una attività relativamente semplice, si pensi all’acquisto di un bene, coinvolge un numero di soggetti generalmente superiore alla nor-ma; infatti, si possono aggiungere al venditore e ai normali vettori: la società di marketing, il fornitore dell’accesso e quello del servizio Internet e molti al-tri. Si ricordi, infine, che ogni singolo soggetto coinvolto in questa semplice, ed allo stesso tempo complessa, transazione commerciale può raccogliere, ar-chiviare ed eventualmente elaborare e cedere dati relativi agli utenti coinvolti.Appare chiaro a questo punto che la rete può generare dei dati anche all’insaputa dell’utente attraverso lo studio dei suoi spostamenti. Oltre a ciò, accanto a queste fonti di raccolta più o meno visibili ve ne sono altre totalmente in-visibili alle persone meno esperte , legate in particolare all’esistenza dei c.d.cookies, briciole di informazione che inviate al nostro mezzo di navigazioneconsentono ad un certo sito web di riconoscere l’utente e i suoi

pensi all’acquisto di un bene, coinvolge un numero di soggetti generalmente su-periore alla norma; infatti, si possono aggiungere al venditore e ai normali vet-tori: la società di marketing, il fornitore dell’accesso e quello del servizio Internet e molti altri. Si ricordi, infine, che ogni singolo soggetto coinvolto in questa sem-plice, ed allo stesso tempo complessa, transazione commerciale può raccogliere, archiviare ed eventualmente elaborare e cedere dati relativi agli utenti coinvolti.Appare chiaro a questo punto che la rete può generare dei dati anche all’insaputa dell’utente attraverso lo studio dei suoi spostamenti. Oltre a ciò, accanto a queste fonti di raccolta più o meno visibili ve ne sono altre totalmente invisibili alle persone meno esperte (15), legate in particolare all’esistenza dei c.d. cookies, briciole di informazione che inviate al nostro mezzo di navigazione consentono ad un certo sito web di ricon-oscere l’utente e i suoi movimenti registrandone costantemente gusti ed abitudini.I cookies svolgono una funzione importante, ed in alcuni casi insostituibile, nel rapporto che si instaura tra utente e un determinato sito; si pensi, ad esempio, ad un collegamento-dialogo che si trovi già ad un punto avanzato e che venga in-terrotto per un calo di tensione elettrica o semplice caduta della linea. Grazie a questi strumenti il sito, nei casi in cui tenga memoria delle operazioni predette, riconosce l’utente e le operazioni possono riprendere dal punto interrotto.Per concludere questo breve ed incompleto discorso introduttivosi vuole tentare di delineare, solo per punti, la fenomenologia dei dati personali potenzialmente presenti e generati in Internet (16)I primi dati personali che sono consegnati, in alcuni casi “ceduti” come prezzo per il servizio, da un “navigatore della rete” sono quelli relativi agli abbonamenti ai diversi servizi di accesso ad Internet che vengono dai gestori ordinati in banche dati. L’elenco degli abbonati contiene, normalmente, i dati anagrafici e username, un codice di identificazione assegnato al singolo utente in cui non vi sono par-ticolari restrizioni, almeno per le notizie di carattere generale, al suo accesso.Questo secondo archivio o livello di informazioni non è accessibile al pubblico, perché è proprio grazie alla combinazione dell’inserimento contestuale di username e pass-word che il gestore del sistema consente all’utente di accedere ad Internet o ai servizi di cui è fornitore. Agli archivi, o livelli di informazioni, predetti se ne aggiunge un altro: quello dei log, registrazione automatiche dei principali dati relativi ai collega-menti ed alle attività svolte durante la connessione/navigazione. I log generati posso-no essere anche molto minuziosi e per questo è necessario un attento controllo ed una forte limitazione dell’utilizzo degli archivi in cui tali informazioni vengono custodite.«Viene comunemente chiamato data log il registro elettronico tenuto dagli In-ternet provider e dal quale è possibile risalire…all’identità dei soggetti che uti-lizzano la rete soprattutto nel caso, in cui, attraverso la rete, siano consumati fatti illeciti (sia sotto il profilo civilistico sia sotto quello penalistico), onde trasmet-tere tali informazioni all’autorità giudiziaria o, comunque, per es-imersi da responsabilità civile nei confronti dei terzi» (17).Una seconda serie di dati è quella relativa alle informazioni personali conte-nute all’interno della posta elettronica. «La posta elettronica consiste nella tr-asmissione di messaggi asincroni ad personam. Ogni soggetto dotato di una casella elettronica ha un indirizzo al quale i vari computer servitori delle reti (server), dopo aver fatto rimbalzare il messaggio da un punto all’altro della rete, fanno arrivare, in modo automatico, i messaggi indirizzati a tale utente (18)» . Altri dati personali sono contenuti all’interno del world wide web, newsgroup, blog, facebook ed altri social network...

(11) Per comprendere la dimensione del problema della gestione sicura dei dati persona-li all’interno delle strutture aziendali si rinvia a: LUCA SANDRI, La tutela del dato personale in azien-da, in AA.VV., Sicurezza e privacy: dalla carta ai bit (a cura di G. COSTABILE), Forlì, 2005, 25 e ss. Per approfondimenti sul punto si suggerisce la lettura di: POULLET, Riservatez-za e sicurezza delle reti, in supplemento n.1 al bollettino n.5 della Presid. del Consiglio dei ministri.(13) MACCABONI, La profilazione dell’utente telematico fra tecniche pubblici-tarie ondine e tutela della privacy, in Il diritto dell’informazione e dell’informatica, 2001, 425.(14) MACCABONI, La profilazione dell’utente telematico fra tecniche pubblicitarie ondine e tu-tela della privacy, op.cit., 426; SAMARAJIVA, Interactivity as though privacy matterei, in AGRE – ROTEMBERG, Technology and Privacy: The new Landescape, Massachusetts, 1997, 277.(15) ROSSI, Lo spyware e la privacy, in Diritto delle nuove tecnologie informatiche e dell’internet (a cura di GIUSEPPE CASSANO), IPSOA, 2002, 184: « Ad oltre trent’anni di distanza dalla nascita di Internet, con il consolidarsi di pratiche.universalmente adottate dal popolo dei “navigatori” su cui gli ordinamenti statali di tutto il mondo sono intervenuti nel tentativo di tutelare la riservatezza…(omissis)… si verifica una serie indefinita di situazioni e di occasioni in cui la privacy viene non solo violata, ma in alcuni casi anche messa al servizio di imprese che, nella migliore delle ipotesi, sono pubblicitarie e di marketing. ».universalmente adottate dal popolo dei “navigatori” su cui gli ordinamenti statali di tutto il mondo sono intervenuti nel tentativo di tutelare la riservatezza…(omissis)… si verifica una serie indefinita di situazioni e di occasioni in cui la privacy viene non solo violata, ma in alcuni casi anche messa al servizio di imprese che, nella migliore delle ipotesi, sono pubblicitarie e di marketing. ».(16)SCALISI, Il diritto alla riservatezza, Milano, 2002, 307: « possiamo distinguere, essenzialmente, quattro categorie di in-formazioni: a) dati personali relativi agli abbonati normalmente ordinati in banche dati…b)dati e informazioni personali relativi alla posta elettronica…c) le notizie sul world wide e newsgroup…d) dati relativi agli spostamenti sul world wide web». (17)MONDUCCI, Il trattamento dei dati personali nei contratti on line, in Diritto delle nuove tec-nologie informatiche e dell’internet ( a cura di GIUSEPPE CASSANO), IPSOA, 2002, 593.(16) GRIPPO, Intenert e dati personali, in Privacy,op.cit., 296.



trojan horse assieme alle vulnerabilità dei server e di internet. La carat-teristica di tale tecnica risiede nella combinazione di più minacce per la realizzazione di un fine illecito. In particolare, numerosi malware aprono nel computer infetto porte di comunicazione con l’esterno. Un malinten-zionato, ad esempio, può sfruttare tali vulnerabilità per sferrare un attacco o sem-plicemente per visualizzare, copiare, modificare il contenuto del sistema colpito.

(62) Wikipedia encyclopedia (www.wikipedia.it) : voce “spoofing ”(63) Kris Jamsa, Hacker Proof, Sicurezza in Rete, Milano, 2002, 311

9.3 PHISHINGIl termine phishing (67) deriva dal verbo inglese to fish (lett. pescare) ed infatti la tecnica utilizzata in questo particolare tipo di truffa si basa principalmente sul lan-cio di un’esca attraverso il contenuto di una email nel mare della rete ed attendere che ignari internauti abbocchino ad essa (68) . L ’obiettivo del phisher è quello di ricavare informazioni e soldi dalla propria attività truffaldina sfruttando, con in-gegnosi stratagemmi, la fiducia e l’ingenuità degli utilizzatori meno esperti della rete. In Italia si segnalano, in questi ultimi tempi, numerosi tentativi di phishing posti ai danni dei clienti di istituti bancari. La tecnica utilizzata consiste nell’invio di un elevato numero di email a destinatari casuali con cui venivano informati i clienti che la banca “civetta” per ragioni tecniche (trasferimento del database dei clienti o del sito, verifiche periodiche o problemi tecnici) richiedeva loro di col-legarsi al sito per compilare un questionario o semplicemente per confermare le proprie credenziali di autenticazione. L’inganno risiede nel fatto che il sito cui si fa riferimento nel messaggio non è il vero sito dell’istituto di credito ma un sito “clone” sotto il diretto controllo dei truffatori. La pagina web su cui è dirottata la vittime riproduce la stessa grafica del sito ufficiale della banca per trarre in ingan-no il malcapitato cliente che ha abboccato all’iniziativa. Se in un primo momen-to i tentativi di phishing erano realizzati con email scritte con grossolani errori di ortografia e sintassi, oggi i nuovi tentativi di truffa vengono realizzati utilizzando un perfetto italiano con la conseguenza di moltiplicare esponenzialmente il nu-mero delle possibili vittime. Per comprendere l’efficacia di questo particolare tipo di truffe è utile riportare alcune conclusioni contenute nel white paper Sophos sul phishing: «Gli autori di questi attacchi di phishing sono consapevoli che la grande maggioranza dei destinatari non ha rapporti con l’organizzazione nominata nel messaggio email, ma questo ha poca importanza. Infatti, i phisher sanno bene che è sufficiente che una piccola percentuale dei destinatari sia titolare di un conto presso l’organizzazione presa di mira per far sì che l’ operazione sia valsa la pena. Anche se solo una minima parte dei destinatari cade nella rete dei phisher, ques-ti ultimi possono ricavarne un enorme guadagno mentre il sito è attivo (69)» . L’ evoluzione della tecnica ha condotto molti phisher ad utilizzare assieme al phishing anche dei particolari malware di tipo trojan horse che consentono un accesso abusivo al sistema infetto. La nuova tecniche prende il nome di trojan phisher (sleeper bugs). Tali malware risedendo in memoria riescono a memorizzare, monitorando tutte le attiv-ità, le informazioni degli utenti relative all’accesso ad un servizio di internet banking.Si abbandona così il sito “clone” per agire in modo più silenzioso e senza la nec-essaria partecipazione diretta della vittima. Un’altra forma di phishing particolar-mente pericolosa, ed in notevole aumento, è quella denominata spear-phishing con cui si inviano email che appaiono provenire da dipartimenti o settori della stessa azienda dell’utente bersaglio. Le vittime, assicurate dal fatto che la co-municazione appare provenire dalla propria azienda, rivelano così informazi-oni che possono essere utilizzate per sferrare un attacco o realizzare una truffa.

(66) MARIA LICIA FRIGO, Ingegneria sociale e psicologia: il fattore umano nel proces-so della sicurezza, in AA.VV., Sicurezza e privacy: dalla carta ai bit (a cura di G. COSTA-BILE), Forlì, 2005, 25:(67) Kris Jamsa, Hacker Proof, Sicurezza in Rete, Milano, 2002, 311(67) Wikipedia encyclopedia (www.wikipedia.it) : voce “phishing”(68) Per maggiori informazioni sul phishing si rinvia al sito www.anti-phishig.it in cui sono presenti molti esempi di truffe realizzate attraverso tale tecnica.(69)White paper Sophos, Il phishing e la minac-cia alla sicurezza delle reti aziendali, 2005, in www.sophos.it

9.4 DIALERCon il termine dialer(70) sono denominati quei software programmati per far comporre al modem un numero di telefono dal computer in sono instal-lati in modo automatico e senza l’intervento dell’utente. Tali software pos-sono essere utilizzati illecitamente per arrecare un danno con un ingius-to profitto a favore di chi lo ha programmato e illecitamente diffuso. Tali malware, infatti, compongono un numero telefonico a tariffazione maggiorata con il conseguente ed inevitabile aggravio dei costi della bolletta telefonica (71) .

(70) Wikipedia encyclopedia (www.wikipedia.it) : voce “dialer”(71) Con la diffusione delle connessioni ADSL il rischio “dialer” si è ridotto nel tempo.

9. LE TRUFFE DEL WWW

Uno dei maggiori pericoli provenienti da Internet è quello relativo alle truffe che nascono e si diffondono sfruttando l’anello più debole di un qualunque circuito di sicurezza aziendale: l’uomo. Molte delle tecniche utilizzate per ricavare dati ed in-formazioni utili al raggiungimento di un obiettivo criminoso sono attinte sfruttando alcune delle più semplici debolezze come l’ingenuità, il fattore sorpresa, la trascu-ratezza nel custodire le informazioni riservate, la voglia di parlare del proprio lavoro e dei traguardi raggiunti ed altre umane fragilità. In altre parole, il punto su cui i ma-lintenzionati fanno leva per scardinare il sistema di sicurezza informatico è spesso la fiducia dei dipendenti della stessa azienda. Di seguito si esamineranno alcune delle più diffuse tecniche che risultano vincenti solo se si riesce a coinvolgere in modo efficace il soggetto bersaglio e le persone che ruotano attorno all’azienda tras-formando la futura vittima in un inconsapevole ed insostituibile “complice” (64) .

(64) Per un quadro delle più pericolose ed allarmanti condotte criminali realizzate con la complicità delle tecnologie informatiche si rinvia al sito della polizia postale e delle comuni-cazioni http://www.poliziadistato.it/pds/informatica/index.htm

9.1 SOCIAL ENGINEERINGLa figura dell’ingegnere sociale è strettamente legata all’analisi dei com-portamenti del personale aziendale e/o del singolo professionista/per-sona bersaglio al fine di carpire informazioni rilevanti per portare a ter-mine il piano criminoso (sferrare un attacco o compiere una truffa).Con l’espressione social engineering (65) si indica una tecnica che consente di super-are le barriere tecnologiche poste a tutela dei sistemi informatici aziendali sfruttan-do la fiducia della vittima. Lo scopo di un social engineer può essere così sintetiz-zato: «L’obiettivo è quello di ottenere informazioni che permettano libero accesso all’interno del sistema e ad informazioni di valore che risiedono in quel sistema. (66)» .Un social engineer utilizza le armi della finzione, dell’inganno e del-la persuasione in quanto deve riuscire, nascondendo la propria iden-tità, a ricavare informazioni (o porzioni di esse) senza che la stessa vitti-ma sospetti di fornire dati idonei a rendere vulnerabile il sistema informatico.La raccolta delle informazioni dalla vittima può richiedere anche diversi giorni e deriva in particolare da fonti quali email, telefono, fax, notizie reperibili in rete (si pensi facebook), analisi delle informazioni pubblicate nel sito o nel materiale informativo/pubblicitario, elenchi di informazioni pubbliche (albi professiona-li, camere di commercio, anagrafe comunale ...). La fase successiva è quella della verifica e dello studio delle informazioni raccolte. L’ingegnere sociale, infatti, deve impersonare una parte fisicamente e/o virtualmente per trarre in inganno la vit-tima. Tra le tecniche utilizzate vi sono, ad esempio, quelle di: cercare nella spaz-zatura alla ricerca di codici, numeri di telefono e altre informazioni utili; fin-gersi un cliente con poche conoscenze informatiche e chiedere informazioni dettagliate sul servizio erogato dall’azienda; fingersi un dipendente della società che ha venduto il software all’azienda e chiedere di poter accedere (fisicamente o in remoto) alle macchine per installare nuove versioni o aggiornamenti e molte al-tre dettate dalla fantasia e dalle capacità tecniche e culturali dell’ingegnere sociale.

(65) Wikipedia encyclopedia (www.wikipedia.it) : voce “social engineering”

9.2 SPAML’ insidia in esame consiste nell’ inoltro di email contenenti promesse di enor-mi guadagni in cambio di un piccolo anticipo di denaro. Si tratta di un ten-tativo di truffa normalmente correlato ad attività di spam. Lo scam spesso si presenta sotto forma di grossi trasferimenti di somme di denaro da Paesi es-teri (famoso è il Nigerian Scam) dietro il versamento di una cauzione op-pure di ingenti vincite alla lotteria che saranno versate al malcapitato diet-ro pagamento di una famigerata tassa di entità irrisoria rispetto alla vincita.


Nella vita di una moderna azienda la sicurezza dovrebbe occupare un ruolo di pri-maria importanza. Parlare di sicurezza, tuttavia, non vuol dire realizzarla concre-tamente nelle quotidiane dinamiche commerciali. La dimensione della sicurezza informatica è consapevolmente trascurata e se realizzata viene semplicemente iden-tificata dagli organi apicali e dirigenziali come un “costo”. Probabilmente, questo approccio superficiale è determinato dalle scarse informazioni sull’entità dei rischi che gravano sull’azienda, in generale, e sul patrimonio informativo della stessa, in particolare. E’ opportuno ricordare, infatti, che nella società dell’informazione i beni da proteggere sono sempre più immateriali e che i rischi legati all’integrità dei suddetti beni non sono facilmente trasferibili con sistemi di tipo assicu-rativo poiché si tratta di beni dotati di un intrinseco e non fungibile valore.Uno dei pregi del codice in materia di protezione dei dati personali (D.Lgs. 196/03) è quello di aver posto all’attenzione degli amministratori delle piccole e grandi aziende il problema della sicurezza dei dati personali e della intrinseca fragilità (19) . La sicurezza informatica e la conseguente difesa dai crimini informatici rappresenta-no, per le aziende che hanno deciso di fare commercio elettronico o semplicemente di utilizzare Internet come strumento di lavoro per migliorare l’efficienza produttiva, il primo e reale moltiplicatore di fiducia. La difficoltà di ricercare ed offrire una defi-nizione idonea ad esplicitare cosa oggi rientri nell’espressione “commercio elettroni-co” risiede nel fatto che tale realtà è soggetta al continuo e frenetico evolversi della tec-nologia informatica e delle conseguenti nuove ed imprevedibili possibilità che, con cadenza sempre più ravvicinata, sono offerte all’attenzione degli operatori commer-ciali e degli stessi consumatori (20) . Il commercio elettronico non è, quindi, solo un fenomeno squisitamente “economico” che trova in Internet una formidabile “rotta commerciale” capace di creare relazioni tra mercati fisicamente lontani, ma diviene, anche e soprattutto, un fenomeno sociale ed in ampio senso culturale. L’instaurazione di rapporti commerciali per via “informatica” veniva effettuata con successo già pri-ma della diffusione capillare della rete Internet. Tuttavia, tali procedure negoziali potevano essere condotte solo tramite l’invio di dati attraverso un sistema chiuso al quale gli operatori avevano preventivamente deciso di aderire, accettando le regole e i protocolli per mezzo dei quali condurre e concludere le diverse operazioni (21).L’evoluzione della tecnica informatica e dello stesso costume sociale ha determi-nato, nel tempo, l’affermarsi di una nuova visione di Internet e delle sue potenzial-ità “imprenditoriali”. Nel diffondersi di una fitta rete di relazioni commerciali che trovano “on-line” un formidabile momento di incontro tra domanda e offerta di prodotti e servizi, si può individuare il momento di passaggio da un commercio elettronico di tipo chiuso, in cui gli operatori dovevano preventivamente “entrare a far parte del sistema” accettandone le regole, ad un commercio elettronico “ap-erto”, in cui tutti coloro che intendono effettuare transazioni di qualsiasi natura possono, senza preventivamente dover entrare a far parte di una “comunità pre-costituita” e in un certo modo “garantita”, accedere al mercato globale ed allesue offerte. L’attuale e il futuro sviluppo di questo particolare commercio rimane però legato alla soluzione dell’annoso problema di generare, ancor prima che prof-itto (in termini economici), fiducia nei consumatori verso l’utilizzo dei mezzi di pagamento “elettronici”. La sicurezza dei dati informatici e delle reti che li veicol-ano è oggi il maggiore problema da risolvere per garantire un corretto sviluppo delle nuove tecnologie in e per l’azienda. Un moderno staff manageriale deve con-tinuamente confrontarsi, infatti, con uno scenario mutevole di rischi provenienti dall’interno e dall’esterno della struttura aziendale (22). Ancora una volta, così come nel passato per altri tipi di mercati, è la misura dell’affidamento nella sicurez-za del mezzo che consente alla transazione di giocare un ruolo determinante nell’affermazione di un commercio che trova la sua linfa vitale in un flusso di dati ed informazioni veicolati attraverso una rete informatica. Se la sicurezza dei mezzi di pagamento fruibili attraverso Internet è alla base del futuro del commercio elettron-ico, l’affermarsi di quest’ultimo rappresenta, a sua volta, la premessa logica dello sviluppo della stessa società dell’informazione. Non comprendere fino in fondo il legame che unisce in modo indissolubile queste due realtà, vorrebbe dire trascurare una rilevante chiave di lettura per comprendere le vicende storiche legate alla pro-duzione normativa, nazionale ed internazionale, di questi ultimi anni in tema di uti-lizzo delle nuove tecnologie informatiche, in generale, e di Internet, in particolare.(20)In tema di commercio elettronico si rinvia per ulteriori approfondimenti a:AA.VV., Analisi economica del diritto privato, Milano, 1998; G. ALPA- V. LEVI, I diritti dei consumatori e degli utenti, Milano, 2001; A. ANTONUCCI, E-Commerce, La direttiva 2000/31/CE e il quadro normativo della rete, Milano, 2001; T. Ballarino, Internet nel mondo della legge, Padova, 1998; COMMANDE’ G. SICA S., Il commercio elettronico.Profili giuridici, Torino, 2001; DELFINI F., Contratto telema-tico e commercio elettronico, Milano, 2002; C. SARZANA DI S. IPPOLITO- F., Profili giuridici del commercio via Inter-net, Milano, 2000; FULVIO SARZANA DI S. IPPOLITO, I contratti di Internet e del commercio elettronico, Milano, 2001(21)PARODI-CALICE, Responsabilità penali e Internet, Milano, 2001,169(22)AA.VV., Inside Attack, Tecnich di intervento e strategie di prevenzione, Roma, 2005, 17.

La sicurezza informatica (23), definibile come la scienza che si occu-pa di studiare soluzioni idonee a fornire lo standard più alto di sicurez-za tecnicamente raggiungibile dei sistemi informatici, si deve far cari-co di rappresentare in una società come quella odierna ad alto grado di informatizzazione il punto di frizione e tenuta tra la società in ampio senso intesa e i crimini perpetuati attraverso o sulle nuove tecnologie informatiche e telematiche.«In altre parole “sicurezza” è tutto ciò che permette ad un’azienda di restare tale. (Omissis) Oggigiorno qualsiasi azienda, dalla media impresa alla grande multina-zionale, affida gran parte dei propri processi di business ai sistemi informativi e quindi alle informazioni (dalla fatturazione ai processi produttivi vitali). Quando un evento dannoso, sia esso di origine naturale o doloso, colpisce i sistemi che gestiscono le informazioni di cui l’azienda ha bisogno, quasi sempre si traduce in una brusca interruzione dei processi aziendali e quindi del fatturato (24)» .Per tale motivo appare sempre più necessario diffondere una cultura della sicurezza in azienda già presente, per altri aspetti, nella vita quotidiana in cui, ad esempio, nessuno: a) si avventurerebbe da solo, senza difesa, di notte in un vicolo malfamato di una sperduta e sconosciuta città; b) darebbe le proprie in-formazioni personali, più o meno sensibili, ad un soggetto sconosciuto che le chiedesse per strada; c) concederebbe, in genere, la propria fiducia se non dopo aver attestato la solidità del rapporto con l’istituzione o la persona che la richiede.Il primo problema da risolvere è quello di individuare, anche se in modo gen-erale ed astratto, il bene oggetto della politica di sicurezza. Bisogna, in al-tre parole, andare al cuore del problema potando ed eliminando dalla ricer-ca tutto quello che si manifesta solo come riflesso e conseguenza di un bene di fondamentale importanza per l’esistenza stessa della realtà aziendale.Il problema della c.d. privacy (25) e quello della sicurezza dei dati personali non sono altro che esternazioni e specificazioni tematiche di quello che in realtà è l’oggetto della sicurezza: il “dato informatico”. Per esso, ai fini di questo scritto, convenzionalmente si deve intendere quell’insieme di bit che avendo la possibilità di essere conservato, manipolato o semplicemente veicolato tramite un sistema informatico o telematico necessita di un circuito di sicurezza che ne garantisca una complessa serie di parametri.Innanzitutto, deve essere garantita la disponibilità e l’integrità dei dati a chi ne ha diritto attraverso una serie di politiche atte a facilitare l’accesso e il reperimento dei dati affian-cate da accorgimenti tesi a ridurre il rischio di modifiche accidentali o non autorizzate.La disponibilità deve essere intesa parte essenziale del processo di sicurezza costitu-endone il limite oltre il quale le ristrettezze e i confini imposti per garantire l’integrità del dato non devono o possono andare: a che serve tutelare e difendere, impedendo o rendendo difficoltosa la disponibilità da parte degli aventi diritto, un bene che è tale solo in virtù del suo utilizzo e della rapidità con cui è concretamente fruibile?Il rapporto tra sicurezza e disponibilità del dato informatico è un rap-porto mezzo/fine: il dato è rilevante perché la sua disponibilità è “sicura”.Per quanto riguarda l’integrità del dato informatico, il sistema sicuro deve garantire che esso possa essere sempre disponibile in modo integro. Per garantire tale parametro il sistema deve munirsi non solo di meccanismi tesi a proteggere il dato dall’esterno e dai soggetti non autorizzati a disporne ma anche e, principalmente, da un nemico più sfuggente e di cui è difficile prevedere in an-ticipo le mosse e i bersagli: lo stesso utente legittimato (robustezza del sistema). La tutela contro le cancellazioni o le modifiche che per casualità o inesperienza possono essere causate da un utente non accorto o inesperto spesso producono,anche nel quotidiano rapporto con le nuove tecnologie, danni gravi e costosi. Tra i parametri rientranti e costituenti la sicurezza informatica, sem-pre più sintesi di caratteristiche e proprietà eterogenee piuttosto che en-tità monotematica, rientrano, inoltre, l’autenticazione e la riservatezza.Autentico è ciò che: «risponde a verità… la cui conformità è attestata da un notaio o da altro pubblico ufficiale a ciò autorizzato e che fa fede come l’originale; vero, genuino, schi-etto…; attribuito in modo irrefutabile a un autore, non imitato né falsificato (26)…» .Nell’ ambito della sicurezza informatica, autentico è generalmente utilizzato nell’accezione attribuente la paternità di un dato ad un soggetto ben determi-nato. Solo attraverso la certezza che la richiesta, o la risposta, provenga dal sog-getto avente diritto si possono ipotizzare rapporti qualificabili come sicuri.Specificando ulteriormente, per quanto riguarda l’accesso è necessario che il sis-tema possa identificare e riconoscere l’utente al fine di poter mettere il soggetto au-torizzato nelle condizioni di esercitare il proprio diritto alla disponibilità del dato.Tra i mezzi più diffusi si possono rinvenire quelli che si basano sulle pass-word, sui sistemi biometrici e su smart card supporto di diverse tecnologieAltra sfaccettatura da inserire all’interno del più ampio concetto “sicurezza informatica”

3. IL COMMERCIO NELLA SOCIETA’ DELL’INFORMAZIONE: UNA QUESTIONE DI FIDUCIA E SICUREZZA.

4. L’INSOSTENIBILE INSICUREZZA DELLA SOCIETÀ DELL’INFORMAZIONE: ALLA RICERCA DEL BENE GIURID-ICO DA DIFENDERE.




(50)SISTO, Le diverse modalità di distribuzione del software: freeware, shareware e trial ver-sion, op.cit., 1063: « …omissis…il freeware, software con riserva di copyright, il quale non è ab-binato ad una definizione precisa, ma in generale viene inteso come software gratuito, del quale però, elemento importantissimo, non viene reso il codice sorgente. Infatti l’autore di questo tipo di software concede il diritto di riprodurlo e distribuirlo solo in ipotesi molto rare, accordando raramente il diritto di modificarne una parte, realizzando così una sorta di ibri-do tra software libero e proprietario. Con il suffisso “free” si tende ad indicare poi solo la gratuità del prodotto, non invece la totale libertà di modificazione e diffu-sione concessa all’utente/utilizzatore come avviene nel caso del software libero». (51)SISTO, Le diverse modalità di distribuzione del software: freeware, shareware e trial ver-sion, op.cit., 1064: « Nell’ampia categoria di software “non libero” rientra sicuramente la tipo-logia dello shareware, particolare forma di programma per elaboratore, attraverso la quale il “titolare” concede all’utente la possibilità di ridistribuzione e di utilizzare per un tempo determinato il prodotto. Attraverso l’utilizzo del try & buy sarà possibile pertanto prendere visione del prodotto nella sua integrità e nel caso in cui si fosse soddisfatti delle caratteristiche proposte, comprarlo, versando il danaro richiesto direttamente nelle tasche del produttore.».(52)ROSSI, Lo spyware e la privacy, op. cit., 188: «negli ultimi temi si sta diffondendo tra le case produttrici di software una modalità di distribuzione particolare, e cioè il cosiddetto adware. Viene quindi permesso l’utilizzo gratuito e a tempo indeterminato di un programma a patto che l’utente si sottoponga ad una serie di comunicazioni a carattere promozionale, in genere sotto forma di banner pubblicitari che compaiono nel proprio browser o direttamente nel program-ma in questione. I banner pubblicitari vengono prelevati da un server web dedicato, stabilendo un collegamento tra il computer e il server web. Per ogni banner visualizzato nel programma, il suo autore percepisce un compenso che, seppure modesto, concorre ad un business mil-iardario se moltiplicato per le decine di migliaia di persone che utilizzano quel programma». (53) CIAMBERLANO, Spyware Story, www.dirittoesicurezza.it..(54)Per la definizione di “domini di sicurezza” appare opportuno riprendere quanto scritto in merito da CIAMBERLANO, Spyware story, op.cit.: «I programmi eseguibili in un sistema operativo sono solitamente confinati in quelli che vengono chiamati in gergo informatico “domini di protezione”; ciascun dominio (che astrattamente è utile visualizzare come una zona geografica dai limiti invalicabili al cui interno vengono confinate le applicazioni) ha il compito di regolamentare le azioni che ciascun software può compiere, seguendo specifiche politiche di sicurezza. Semplificando molto la reale situazione, esempi di domini possono essere: 1) Insieme dei programmi installati dall’utente sul calcolatore; questi possono com-piere la maggior parte delle azioni, supponendo (ottimisticamente) che l’utilizzatore non installi software dannoso sul proprio computer. 2) Insieme dei programmi allegati a pagine web (quest’ultime possono infatti contenere applet java, activeX, animazioni flash ed altro, ovvero piccoli software che svolgono compiti più o meno utili; ad esempio molte chat on-line utilizzano applet java per gestire il flusso di messaggi); queste applicazioni sono sot-toposte a forti restrizioni: non possono leggere o scrivere sul disco rigido del computer os-pite (per evitare la lettura o la cancellazione di documenti riservati), né su questo possono installare o eseguire programmi (per evitare che questi ultimi, i quali godono di maggiori privilegi, vengano utilizzati per compiere azioni dannose). Per un esempio reale di ap-plicazione del concetto di dominio si può sbirciare nelle impostazioni di sicurezza di in-ternet explorer, avendo cura di non modificare le impostazioni predefinite a meno di non essere sicuri sugli effetti del cambiamento: dal menù strumenti di explorer selezionare “op-zioni internet” quindi il tab “protezione”».(55)DEVOTO- OLI, voce Verificabilità, op. cit.. (55)GRISENTI , Spyware e domicilio informatico, www.interlex.it/attualit/C.(56)Si pensi alla diffusa pratica pubblicitaria dello spamming, invio martellante e diffuso di mes-saggi pubblicitari diretti a un numero elevato di indirizzi email, rastrellati on-line utilizzando varie modalità operative. Sul punto si rinvia a quanto scritto da ERCOLANO, Spamming: una nuova for-ma di pubblicità dannosa per i consumatori?, pubblicato in questo numero del supplemento, 44 ss.(57)GRISENTI, Spyware: quanti reati con i programmi “indiscreti”, in www.interlex.it/attualit/ grisenti.htm : «In tempi di grande attenzione per la privacy, la libertà personale e la tutela del la-voratore, la Rete si fa veicolo di pericolosi strumenti che permettono anche al più sprovveduto di eludere proprio tali forme di tutela. Navigando attraverso alcuni dei più comuni siti dedicati al download di file (Volftp, Tucows, e molti altri), si possono reperire programmi specificamente dedicati a carpire, in maniera invisibile e drammaticamente efficiente, dati personali, password e ID dell’utente oppure a controllare ogni attività, ivi inclusa la corrispondenza e i dati person-ali, del dipendente. Sembra impossibile, eppure l’impreparazione alle problematiche giuridi-che che la Rete, con la sua ultraterritorialità, comporta, può avere anche queste conseguenze».

La guerra quotidiana tra chi attacca un sistema e chi lo difende è combattuta sul campo di battaglia di una rete di computer tanto a livello aziendale quanto a liv-ello globale. Gli obiettivi di un attacco al sistema informatico di un’azienda pos-sono essere diversi: 1. vandalici o dimostrativi; 2. estorsivi; 3. di ritorsione e/o rappresaglia (provenienti, ad esempio, da concorrenti o ex-dipendenti); 4. di captazione di segreti industriali o di informazioni riservate; 5. di alterazi-one documenti e dati; 6. di paralisi, più o meno estesa, delle attività aziendali.Le informazioni possono essere custodite all’interno di comput-er aziendali (in una condizione di “stasi”) oppure essere veicolate at-traverso la rete locale o internet (in condizione di “transito (58) ”).In base allo stato in cui si trovano, le informazioni sono sottoposte a modal-ità di attacco diverse in ragione delle diverse vulnerabilità a cui sono soggette. Le principali modalità di attacco possono essere ricon-dotte a: denial of service, sniffing, hijacking, spoofing.

8.1 DENIAL OF SERVICEL’ attacco DoS (59) (lett. Interruzione del Servizio) è un particolare tipo di attacco il cui obiettivo è quello di mettere fuori servizio, ossia ren-dere inutilizzabile, la risorsa oggetto dell’attacco. Numerose sono le con-dotte che possono assicurare il raggiungimento del suddetto obiettivo. «In generale un attacco denial of service mira a consumare le risorse del sistema, im-pedendo agli altri utenti di utilizzarle (60)» . Una delle tecniche più utilizzare è quella di saturare o comunque sovraccaricare il server fornitore dei servizi aziendali attra-verso la generazione di un enorme traffico di richieste. Un’ altra modalità DoS, molto più invasiva e sintomatica della carenza di un adeguato sistema di sicurezza è quella ottenibile penetrando il sistema informatico aziendale e cancellando o modificando i file di gestione dei servizi sul server. Il superamento dei circuiti di sicurezza si può re-alizzare sfruttando le vulnerabilità presenti nel software utilizzato dal sistema bersa-glio come dei bug di programmazione o di configurazione delle politiche di sicurezza.

(59) Wikipedia encyclopedia (www.wikipedia.it) : voce “denial of service”(60) Kris Jamsa, Hacker Proof, Sicurezza in Rete, Milano, 2002, 296;

8.2 SNIFFINGSniffing (61) (lett. intercettazione) è un tipo di attacco particolar-mente insidioso teso ad intercettare i dati in transito sulla rete. Tale tec-nica è normalmente realizzata attraverso l’utilizzo di particolari soft-ware oppure attraverso la deviazione forzata del flusso dei pacchetti di informazione in modo da dirottarli su computer controllati dal soggetto attaccante. L’attività criminosa in questo caso è normalmente tesa ad intercettare e non modificare il contenuto delle informazioni. L’ obiettivo del malintenzionato è quello di mettersi in ascolto in attesa di informazioni interessanti come pass-word, documenti riservati ed altre comunicazioni degne di attenzione o co-munque sfruttabili per sferrare un attacco più intenso e gravido di conseguenze.

(61) Wikipedia encyclopedia (www.wikipedia.it) : voce “sniffing”

8.3 HIJACKINGL’attacco di tipo hijacking ha come obiettivo la modifica delle informazioni trasmesse ed intercettate senza che il mittente e il destinatario se ne possano accorgere. Si trat-ta di una tecnica piuttosto complessa che viene utilizza per compromettere la stessa integrità delle informazioni inviate. Quando un tale tipo di attacco è posto in essere i pacchetti di informazioni inviate dal client saranno intercettati, modificati e di nuo-vo instradati dall’attaccante. Le informazioni così modificate raggiungeranno il des-tinatario senza che quest’ultimo e il mittente possano accorgersi di quanto accaduto.

8.3 SPOOFINGCon il termine spoofing (62) è indicato un tipo di attacco utilizzato per falsificare l’identità del mittente del messaggio o dei file allegati. Si può così tentare di sfruttare l’identità falsa per muoversi nell’anonimato oppure per ottenere vantaggi o arrecare danni all’insaputa della vittima. «Lo sniffing è un attacco passivo dove l’hacker si limita a monitorare i pacchetti che attraversano la rete. Al contrario lo spoofing è un processo attivo in cui l’hacker tenta di convincere un altro sistema che i mes-saggi da lui inviati provengono da un sistema legittimo. In altre parole, utilizzan-do lo spoofing, l’hacker simula di essere un altro utente o un altro sistema (63) ». Si tratta di attacchi informatici che sfruttano le caratteristiche di virus, worm,

8. ATTACCHI INFORMATICI



è quella relativa alla riservatezza del dato: un sistema non può definirsi sicuro se con-sente a chi non ha diritto di accedere ai dati in esso custoditi, in modo assoluto o in misura più ampia e diversa da quella autorizzata. Se appare facile identificare i meccan-ismi e i limiti da imporre per distinguere coloro che possono da coloro che non pos-sono accedere ad un determinato dato, diviene difficile identificare e porre dei limiti a chi può accedere allo stesso in misura variabile temporalmente e quantitativamente.Inoltre, si può accennare ad un’altra caratteristica che acquista sempre mag-giore rilevanza nel contesto della società nata online: la verificabilità. L’attributo della verificabilità nasce dal fatto che il dato informatico possa, e debba, es-sere suscettibile di verifica, ossia di un’<<operazione di controllo per mezzo della quale si procede all’accertamento di determinati fatti o risultati nel loro valore e nelle loro modalità(27)>> Il problema della sicurezza è relativo non solo al momento della paternità dell’atto, ma anche alla non modificabilità o al-terabilità silente del dato in un tempo successivo alla creazione dello stesso.A differenza di un oggetto materiale, ad esempio un documento scritto, in cui è visibile una correzione o alterazione successiva all’ultimazione dello stesso, nell’oggetto digitale ciò che appare a prima vista è la sua estrinsecazione informat-ica in cui le modifiche ed alterazioni precedenti non sono facilmente rintracciabili da un soggetto non esperto e senza le opportune dotazioni software e hardware.Un sistema può essere definito sicuro quando, mantenendone traccia, riesca a fornire un quadro verificabile delle operazioni compiute sui dati da esso custoditi e/o veicolati. Livelli maggiori di sicurezza corrispondono, ad esempio, al fatto di facilitare attraverso tracce registrate l’evidenziazione del legame causale fatto/autore. Un ulteriore e necessario requisito è rintraccia-bile da WILLIAM STALLINGS nella c.d. non-repudiation .Tale requisito, in termini generali, non dovrebbe permettere il rifiuto e/o la ripudia-bilità di un dato trasmesso sia al mittente e sia al destinatario. Da ciò deriva: quando il dato è stato trasmesso, il ricevente può provare che lo stesso sia stato inviato dal mittente autorizzato ad inviarlo e, in modo speculare, quando il dato è ricevuto, il mittente può provare che lo stesso sia stato ricevuto dal ricevente autorizzato.In conclusione, nella progettazione e nella valutazione di un sistema informatico aziendale, per i motivi illustrati, deve essere tenuto in forte considerazione il proble-ma della sicurezza in tutte le sue diverse sfaccettature. Vi è l’obbligo, infatti, di creare, aggiornare e valutare, alla luce delle inesorabili e continue innovazioni tecnolog-iche, i diversi meccanismi idonei a proteggere i dati senza impedirne o limitarne la fruibilità da parte di chi ha un diritto, più o meno ampio, d’accesso agli stessi.

hardware e software di tipo spyware, raccoglie dati personali all’insaputa dell’internauta. Il tema della c.d. “cifra nera” dei reati informatici realmente perpetrati si presenta come un fenomeno di interesse globale ed esponenzialmente in crescita che, purtrop-po, le autorità statali (governative, legislative e giudiziarie) non riescono ad arginare. La diffusione di particolari software facilmente reperibili oline per-mette a “pseudo-hacker”, senza alcun bagaglio tecnico di grado eleva-to, di poter attuare impunemente comportamenti offensivi contro la pri-vacy e la sicurezza dei sistemi informatici e telematici di istituzioni pubbliche, aziende private o semplicemente di un personal computer bersaglio.Bisogna prendere coscienza, quindi, che le violazioni informatiche, in particolare quelle relative alla violazione del diritto alla protezione dei dati personali e del c.d. domicilio informatico, sono poste in essere ad un ritmo e con una cadenza del tutto simile a quelle relative alle più comuni violazioni del codice della strada.Il vero dramma risiede nel silenzio con cui la vittima del crimine informatico decide di reagire. Molte aziende preferiscono, ad esempio, incassare il colpo e rivolgersi, per porre rimedio all’insicurezza del loro sistema, a consulenti tecnici privati capaci di miglio-rare la protezione dei loro dati e delle strutture più riservate piuttosto che rivolgersi alle forze dell’ordine. La paura che si cela dietro alla pubblicità della notizia del crimine subito è quella di determinare un ulteriore grave danno, in alcuni casi su-periore a quello già subito, all’immagine e al profitto della stessa società-vittima.«In effetti, la società che ha subito un accesso abusivo – affrontando dei costi – ten-terà di rendere maggiormente sicuro il proprio sistema, anche se verosimilmente l’autore di tale forma di reato, andato a buon fine senza conseguenze giudiziarie, potrà avere un forte stimolo psicologico a riprovare l’esperienza, così vanificando di fatto l’aggiornamento dei sistemi di sicurezza»(34) . L’aumento vertiginoso della c.d. cifra nera dei reati informatici è determinato, inoltre, dalla mancanza di una dif-fusa consapevolezza dell’estrema vulnerabilità di un sistema informatico rispetto ad attacchi portati a termine da soggetti esperti. Gli autori di un crimine informatico normalmente, dopo aver compiuto il reato tendono a dedicare particolare cura alla cancellazione delle tracce lasciate nel sistema-bersaglio. Questo modo di procedere determina, in modo paradossale, il fatto che gli attacchi o gli accessi abusivi più ecla-tanti e pubblicizzati, spesso dagli stessi autori, siano meno gravi e pericolosi di quelli attuati in modo silente, perché perpetrati da soggetti che non hanno intenzione di vi-olare il sistema per fini ludici o ideologici (35) , ma semplicemente per scopi criminali.(21) Per una sintesi dei più rilevanti adempimenti in materia di priva-cy all’interno delle imprese si rinvia a: G.DI RAGO, La privacy e le imprese, Matelica, 2005(22) DEVOTO- OLI, voce Verificabilità, op. cit.. (23)L’intero paragrafo trae spunto dalla lettu-ra di: PERRI, Un’introduzione all’information security, in Ciberspazio e Diritto, 2001, vol. 2, n. 3-4, 337.(24)AA.VV., Inside Attack, Tecnich di intervento e strategie di prevenzi-one, Roma, 2005, 13. La frase è estrapolata dall’introduzione a cura di Corrado Giustozzi.(25)Per una sintesi dei più rilevanti adempimenti in materia di priva-cy all’interno delle imprese si rinvia a: G.DI RAGO, La privacy e le imprese, Matelica, 2005.(26)DEVOTO-OLI, Il dizionario della lingua italiana, UTET. (27)DEVOTO- OLI, voce Verificabilità, op. cit.. (28)WILLIAM STALLINGS, Cryptography and network security, 1999, 5.(29)Per un approfondimento della disciplina italiana relativa ai crimini informatici si rinvia a: G. FAGGIOLI, Computer crimes, Napoli, 1998: P. GALDIERI, Teoria e pratica nell’interpretazione del reato informatico, Milano, 1997; E. GIANNAN-TONIO, Manuale di diritto dell’informatica, Padova, 1997; C. Sarzana, Informatica e diritto penale, Milano, 1994; Ceccac-ci, Gianfranco, Computer crimes : la nuova disciplina sui reati informatici, Milano 1994; Lorenzo Picotti, Il diritto penale dell’informatica nell’epoca di internet, Padova 2004; Lorenzo Picotti, Studi di diritto penale dell’informatica, Verona, 1992(30)Per un approfondimento del tema si rinvia ai siti: www.crimine.info; www.dirittoesicurez-za.it; www.criminologia.org; www.ictlaw.net; www.interlex.it; www.pomante.it; www.penale.it. (31)FAGGIOLI, Computer Crimes, Napoli, 1998, 67 ss.; PERRONE, Computer Crimes, in AA.VV., Di-ritto & Formazione, Studi di Diritto Penale (a cura di CARINGELLA e GAROFOLI), 1603. (32)Esempi di comportamento offensivo contemplato nella “Lista minima”: frode informati-ca, falso informatico, accesso non autorizzato a sistemi informatici, c.d. sabotaggio informa-tico, danneggiamento dei dati e dei programmi informatici, l’intercettazione non autorizzata…(33)Esempi di comportamenti offensivi appartenenti alla “Lista facoltativa”: utilizzazione non autorizzata di un elaboratore elettronico, utilizzazione non autorizzata di un programma protetto, spionaggio informatico…(34)PARODI – CALICE, Responsabilità penali e Internet, Milano, 2001, 55. Sul punto si consiglia la consultazi-one dei seguenti testi: POMANTE, Internet e criminalità, Torino, 1999; MONTI, Spaghetti Hacker, Milano, 1997.(35)Si pensi all’eterna sfida uomo-macchina o a quella più consistente ed ideologica degli hacker; questi ultimi si rive-lano, in alcuni casi, utili alle aziende per testare, in modo gratuito, i loro sistemi al fine di migliorarne la sicurezza eprevenire attacchi e accessi ben più gravi di soggetti che con gli hacker hanno in comune solo l’utilizzo delle nuove tecnologie.

5. CRIMINI INFORMATICI: DALLE “LISTE NERE” AL CO-DICE PENALE ITALIANO (29).

La rapida diffusione degli strumenti informatici ha indotto nella prima metà degli anni Ottanta i governi degli Stati, dove maggiormente si era realizzato nei tessuti sociali un processo di “neovascolarizzazione tecnologica”, a porre particolare atten-zione al fenomeno dei crimini informatici (30) . A tal fine nel 1985 fu costituito, in seno al Consiglio d’Europa, un Comitato ristretto di esperti con lo scopo di affian-care al preesistente Comitato per i problemi criminali un organo con conoscenze atte ad affrontare le nuove sfide che la criminalità sempre più organizzata e sempre più transnazionale lanciava alle istituzioni nazionali ed internazionali. Sulla base di un attento esame della realtà criminale informatica e telematica attuale e delleproiezioni future, non certo confortanti, vennero stilate due “liste nere”. All’interno di ciascuna furono inseriti tutti quei comportamenti avvertiti come offese per-petrate con e sulle nuove tecnologie. L’elemento comune ai suddetti illeciti era rappresentato dal fatto che tutti, necessariamente, richiedevano una stretta col-laborazione tra gli Stati membri al fine di fornire un’efficace risposta preven-tiva e repressiva. La cooperazione tra gli Stati non appariva come una semplice scelta “politica”, ma s’imponeva come l’unica modalità operativa realmente ef-ficace per evitare che ogni singolo intervento nazionale si risolvesse in un sem-plice placebo utile solo per rassicurare gli animi e le paure dell’opinione pubblica.Le due liste di “proscrizione” furono così distinte (31) : “Lista mini-ma”: elenco di comportamenti e fatti offensivi ritenuti talmente gra-vi da richiedere un immediato e non prorogabile intervento del di-ritto penale, extrema ratio di ogni ordinamento giuridico statale (32) ;“Lista facoltativa”: elenco di comportamenti e fatti ritenuti non eccessivamente of-fensivi, ma che tuttavia richiedevano un intervento del legislatore nazionale (33).Il fatto che, nei vari Stati membri, non vi sia un numero elevato di procedimenti penali tesi all’accertamento ed alla repressione dei c.d. crimini informatici che riesca ad andare a “buon fine”, non vuol dire che tali violazioni non siano perpetrate in modo diffusoE’ vero, presumibilmente, il contrario; infatti, in numero elevato, ad esempio, sono violate le norme indicate all’art. 615 ter e quelle relative alla tutela penale della pri-

vacy da parte di chi, inserendo all’interno di programmi generalmente freeware ed.



Nel momento in cui la semplificazione dei meccanismi di comunicazione e la tendenza all’utilizzo commerciale delle informazioni personali si trovano ad interagire con queste nuove forme di distribuzione commerciale dei pro-grammi nasce e si diffonde il software “spyware”. Dal “brodo primordiale” delladistribuzione del software in Rete nasce così una particolare moneta di scambio: i dati personali. Sin dai primi anni della diffusione di Internet l’utente medio aveva a disposizione strutture di comunicazione sufficientemente potenti, ma quello che an-cora non era abbastanza sviluppato era il settore delle infrastrutture idonee ad uti-lizzare al meglio le potenzialità già presenti nella quotidianità tecnologica della vita privata e professionale (48). Numerosi servizi, da sempre presenti sul Web come la posta elettronica, non erano facilmente utilizzabili a causa della carenza strutturale di programmi, c.d. applicativi, capaci di semplificare e valorizzare tali potenti stru-menti. «Molti programmatori/navigatori spinti dall’insufficienza degli applicativi e dalla speranza non tanto di ricavare vantaggi finanziari, quanto di riuscire ad otte-nere il plauso e il rispetto del “popolo della rete” per l’eleganza e la potenza con cui il loro programma risolveva un particolare problema, si cimentarono nella creazione di nuove applicazioni che semplificassero le azioni più comuni: sfruttando la sor-prendente capacità di comunicazione del web, tali creazioni potevano essere condi-vise e diffuse agli altri naviganti. I programmi utilizzabili senza limiti sono chiamati “freeware”(49)» . Quello appena descritto può essere considerato la premessa logica e causale dei successivi passi che condurranno ad un uso, sempre meno “free”, di Internet finalizzato alla distribuzione del software (50) . Il passo successivo è rap-presentato da tutta quella serie di programmatori e case produttrici di software che iniziarono a richiedere del denaro a chi avesse avuto l’intenzione di utilizzare, senza limiti temporali e quantitativi, il software da loro ideato, realizzato e distribuito at-traverso la rete (51). Parallelamente a questi fenomeni di distribuzione all’interno dell’ingegnoso popolo di internauti, tesi per inclinazione genetica alla ricerca di un modo gratuito per utilizzare i diversi e costosissimi programmi “applicativi”, si as-siste alla diffusione di un particolare hobby: la ricerca dei crack-files, piccoli pro-grammi che consentono di superare le barriere erette dai produttori riuscendo a far utilizzare i programmi oltre i limiti quantitativi o temporali imposti dai program-matori, in origine eliminabili solo da questi ultimi dietro pagamento di un congruo corrispettivo. Come risposta, numerose case produttrici di software indirizzarono la produzione verso la creazione di versioni dimostrative e con evidenti fisiologiche menomazioni rispetto a quelle commerciali. Queste versioni “limitate” sono dirette, palesemente, solo a far nascere il desiderio di acquistare la versione completa, senza il rischio che qualcuno possa, con qualche minuto di ricerca online, sbloccare i cod-ici di sicurezza riuscendo ad utilizzare il programma in modo integrale e gratuito. La necessità di trovare nuove modalità di distribuzione ha condotto, così, le case produttrici di software a percorrere strade diverse per ottenere il più alto profitto con il minore costo e rischio possibile. Per tale motivo numerosi produttori inizi-arono a perseguire una particolare forma di distribuzione del proprio software (c.d. adware), consistente nel concedere gratuitamente il programma a patto che l’utente decida di subire una serie di messaggi pubblicitari (c.d. banner) durante l’utilizzo degli stessi (52) . La differenza principale rispetto al freeware consiste proprio nell’obbligare l’utente finale a visualizzare, durante l’utilizzo del programma adware, imessaggi promozionali dei prodotti commerciali delle aziendeche hanno stipulato dei contratti pubblicitari con le case produttrici del software. In questo modo non è più l’utente, direttamente, a pagare per l’utilizzo del programma ma le varie aziende commerciali che sfruttando la diffusione del programma dis-tribuito gratuitamente riescono ad aprire e mantenere una finestra privilegiata negli schermi di numerosi utenti/consumatori. Sebbene tale modalità di distribuzione ri-sultò positiva e proficua sia per i programmatori che per le aziende pubblicizzate, la crescente difficoltà di trovare nuove e creative forme di pubblicità online comportò un impegno sempre maggiore, con notevole impiego e distrazione di risorse, che le aziende produttrici di software riuscirono a stento a sostenere. «Per affrancare gli sviluppatori da tali oneri, sono nate alcune società specializzate proprio nella gestione e nella promozione pubblicitaria dei software: un programmatore ha la possibilità di stipulare un contratto con una di esse, ottenendo successivamente un compenso proporzionato all’attenzione ricevuta dal banner inserito nella sua appli-cazione (normalmente vengono contati i click dei visitatori sul banner stesso) (53)»Questo tipo di pubblicità, in un primo tempo, era diretto su una massa informe di possibili e poco probabili consumatori, determinati solo per macrocategorie. La pub-blicità di un prodotto, infatti, veniva sparata nel mucchio indefinito di potenziali ac-quirenti senza possibilità alcuna di calibrare il messaggio sui gusti personali dei sin-goli consumatori. Si sparge a macchia d’olio, così, l’esigenza di raccogliere un numero, il più elevato possibile, di informazioni relative ai gusti e alle abitudini del popolo di Internet allo scopo di divulgare sempre più efficacemente, mirando su precisi bersa-gli e in modo sempre più incisivo, i messaggi promozionali di natura commerciale. Gli utilizzatori di Internet si dimostrarono restii a fornire, nonostante tutte le lus

inghe, le promesse e le fantasiose iniziative delle numerose aziende addette allaraccolta dei dati rilevanti ai fini della profilazione degli utenti, i propri dati per-sonali provocando l’irrigidimento di un meccanismo che si era dimostrato alta-mente lucrativo. I dati raccolti, archiviati ed elaborati divennero in modo sempre più chiaro una fonte di ricchezza e in alcuni casi un reale “bene” di scambio. Ora che il rapporto dati personali/denaro era stato non solo ipotizzato a livello astratto e concettuale, ma concretamente realizzato nella pratica commerciale, occorreva trovare nuove e più potenti forme di reperimento e rastrellamento di queste parti-colari “monete”. Questi nuovi mezzi dovevano rivelarsi idonei a creare delle “auto-strade privilegiate” all’interno della Rete percorribili da flussi sempre più ingenti di dati e diretti, nel breve periodo, a soppiantare la semplice e palese richiesta rivolta all’internauta tramite gli ormai vetusti questionari di varia natura e genere. Tra le preziose informazioni, custodite nel personal computer degli utenti, e le aziende ad-dette alla loro raccolta, purtroppo per le seconde, il maggior ostacolo al loro in-contro era rappresentato dai c.d. “domini di protezione” (54) , per superare i quali è necessario, in via generale, disporre di una base logistica all’interno del primo. Come inserire, all’insaputa dell’internauta, un agente segre-to e silenzioso pronto ad inviare periodicamente ad ogni collega-mento le notizie generate e presenti all’interno del computer ospite?Il punto di partenza è rappresentato dal software di tipo adware: le aziende utiliz-zatrici di questa particolare modalità di distribuzione e d’uso del software in pas-sato avevano già instaurato con l’utente un binario di comunicazione che dai pro-pri server web era diretto ad aggiornare periodicamente i messaggi pubblicitari sui banner del personal computer in cui era installato il programma adware. Era sufficiente che all’interno di questi programmi “vettori” fosse inserito accanto al ricevitore un “parassita” rastrellatore e trasmettitore di dati presenti e generati nel computer “ospite”. In questo modo si potevano superare facilmente tutte le possibili politiche restrittive dei domini di sicurezza, perché il programma installato dallostesso utente sarebbe stato libero di operare, senza o quasi, misure restrit-tive. Il passo è breve ma fecondo di gravi conseguenze che meritano un’attenta riflessione: nel momento in cui il flusso delle informazioni diviene biuni-voco, cioè non solo dal server web delle aziende pubblicitarie al personal com-puter, ma anche in senso inverso, il flusso di quello che dal personal com-puter esce deve poter essere controllato e gestito dal proprietario dello stesso.L’utente medio non è a conoscenza della possibilità concreta che as-sieme a questi programmi applicativi, semplici “vettori infettivi”, potran-no essere installati dei programmi che non si limitano a ricevere gliaggiornamenti dei banners pubblicitari, ma che hanno il compito di raccogliere ed inviare, collegandosi senza autorizzazionea server sconosciuti informazioni concernenti i gusti e le abitudini di chi utilizza il computer “ospite”. Il software “spyware”, quindi, non è altro che un programma di dimensioni ridotte che viene installato nei meandri di un numero sempre più am-pio di file presente nei sistemi di ogni computer, mimetizzandosi. Quando l’utente si connette ad Internet, il programma “entra in azione in modalità stealth, senza che l’ignaro navigatore possa accorgersene utilizzando la comune “diligenza infor-matica”. Tale software, infatti, utilizzando l’accesso alla rete impiegato per le normali attività lavorative o ludiche si mette in contatto, secondo un programma prestabilito, con un particolare server inviando e ricevendo dati. I problemi interpretativi dal punto di vista giuridico risiedono proprio nell’instaurazione di una silente e non autorizzata comunicazione tra il computer “ospite” ed il server web “untore” che ha ad oggetto dati e contenuti prodotti dal primo (55). Lo scopo delle imprese che si occupano di raccogliere ingenti quantità di informazioni provenienti dagli in-numerevoli elaboratori elettronici, in cui i loro poderosi parassiti giacciono in uno stato di quiescenza in attesa di inviare preziosi dati, è quello di rivendere il frutto di questi ingenti bottini ad agenzie di marketing o semplicemente ad altre aziende (56) . Il problema giuridico da affrontare una volta decifrato il DNA di questi particolari “parassiti” è quello di verificare la compatibilità di un prodotto com-merciale così particolare con l’ordinamento giuridico italiano e con il suo comp-lesso tessuto di norme poste a garanzia della persona e dei suoi diritti primari (57). Per concludere sul fenomeno spyware un’ultima riflessione: accanto alla cap-illare diffusione delle nuove tecnologie informatiche e telematiche è nec-essario diffondere la consapevolezza dei costi e dei rischi ad essa connes-si. Mentre i rischi sono accettati come possibili, i costi da sopportare sono certi e non sono solo quantificabili in termini monetari, ma anche e principal-mente in quantità di informazioni personali da voler spendere e conservare.

(48)CIAMBERLANO, Spyware Story, www.dirittoesicurezza.it .(49)CIAMBERLANO, Spyware Story, www.dirittoesicurezza.it.


Il legislatore penale italiano, dietro impulso dell’Europa, ha deciso di affrontare e risolvere, almeno in parte, i problemi legati all’uso delle nuove tecnologie informat-iche e telematiche varando la legge n. 547 del 1993 recante «modificazioni e inte-grazioni delle norme del codice penale e del codice di procedura penale in materia di criminalità informatica». Con tale legge si è effettuata una duplice operazione: da una parte un innesto di nuove fattispecie nel vecchio tronco dell’impianto codicis-tico; dall’altro si è proceduto alla modifica di preesistenti fattispecie penali. Questa operazione di “chirurgia legislativa” è stata attuata con il chiaro intento di stigmatiz-zare i nuovi e dilaganti fenomeni di criminalità informatica. La repressione dei c.d. reati informatici non venne perseguita solo con l’approvazione del contenuto della predetta legge, ma anche con altri puntuali provvedimenti normativi. «Gli anni Novanta saranno senza dubbio ricordati per la massiccia opera legislativa nel campo dei c.d. computer crimes, soprattutto se si considera tale ambito in senso lato. (36)» Per terminare questa breve introduzione sul tema dei crimini informatici, una rifles-sione da sussurrare al legislatore italiano ed europeo: correre verso la penalizzazione dei comportamenti illeciti perpetrati con e sulle nuove tecnologie al fine di arginare fenomeni dilaganti e, in qualche modo, inarrestabili nella loro diffusione trasversale nel tessuto sociale è la via giusta da seguire? Dilatare l’area del penalmente rilevante in un terreno così poco conosciuto e determinabile che muta ad un ritmo che le classiche fonti di produzione del diritto penale non riescono a sostenere, presenta una qual-che utilità nel lungo periodo o ha un valore meramente simbolico?Il diritto penale è uno strumento che ha un’altissima precisione nel colpire mali particolarmente gravi, percepiti dalla società come maligni e d’eccezionale virulenza, però, allo stesso tem-po, si presenta poco efficace per sconfiggere ed arginare situazioni non ben definite e generalizzate. Non si può pretendere di prosciugare un oceano, il fenomeno delle c.d. copie “pirata” o contraffatte, con una cannuccia di pochi millimetri di diametro. Con lo stesso strumento, però, quando è utilizzato da mani esperte, si può asportare un tumore particolarmente grave avvertito come tale dalla generalità dei consociati. Il fatto di reato è, quindi, la descrizione di un singolo e puntuale fatto offen-sivo che rappresenta normativamente una modalità d’aggressione ad un bene giuridico fondamentale per la coesistenza pacifica della società e l’ipertrofia che si è sviluppata all’interno del diritto delle nuove tecnologie, purtroppo ancora una volta, tende a svilire tale strumento che dovreb-be essere utilizzato con parsimonia e solo in casi di extrema ratio.

(36) MINOTTI, Cultura informatica e operatori del dirit-to penale, in AA.VV., Informatica giuridica, ed. Simone, 2001, 338.

“Malware”(38) deriva dalla contrazione di due parole inglesi mali-cious e software e si riferisce a tutti quei programmi definibili in ampio senso “maligni”. All’interno della predetta categoria si possono trovare deisoftware ideati e strutturati in modo da perseguire, attraverso un nu-mero sempre crescente di modalità operative, obiettivi tra loro diversi. E’ necessario premettere che il suddetto software nella sua intima essenza non è altro che un programma eseguibile su un computer nato dall’ingegno di un programmatore che ne ha predeterminato dettagliatamente il ciclo vitale.

7.1. VIRUS Virus (39) è un termine latino e il suo significato è quello di veleno. Tale espres-sione venne utilizzata alla fine del XIX secolo in campo medico per definire al-cuni microrganismi patogeni più piccoli dei batteri. Il virus biologico può essere definito come un parassita che entrando in contatto con le cellule viventi ne sfrutta le risorse per auto-riprodursi generando effetti negativi sull’organismo ospite. Nel campo informatico, il termine virus è utilizzato per indicare un software capace di infettare dei file al fine di riprodursi utilizzando le risorse del sistema infetto. Normalmente, i virus informatici operano in modalità invisibile all’utente in modo da poter compiere le azioni programmate per un tempo abbastanza lungo prima di essere rilevati. I suddetti malware producono gli effetti negativi diret-tamente sul software infetto e indirettamente sull’hardware (ad es. portando a saturazione le risorse di RAM e CPU, occupando spazio lo spazio disponi-bile sui supporti di memoria, determinando il surriscaldamento della CPU...). Come si può notare da un primo esame, è possibile scorgere altre si-militudini tra virus biologici ed informatici. Questi ultimi, come i pri-mi, riescono infatti a diffondersi velocemente da un ospite all’altro alla ricerca di un terreno di coltura adatto. La vita di questi software malevoli è inti-mamente legata allo sviluppo tecnologico degli elaboratori elettronici, per questo motivo l’evoluzione dei malware nel tempo è apparsa tumultuosa e complessa. Le origini dei moderni virus possono essere rintracciate nella preistoria dell’informatica in cui i computer erano costituiti da enormi ammassi di circui-ti e transistor, e nella volontà di alcuni studiosi della materia che furono sedotti dall’idea di creare dei software capaci di autoreplicarsi e vivere di vita propria.La questione venne affrontata alla fine degli anni Quaranta da John von Neumann che riuscì a dimostrare, da un punto di vista teorico, la possibilità di creare un software che riuscisse ad autoreplicarsi. Successivamente è merito di alcuni tecni-ci dei Bell Laboratories la realizzazione, probabilmente per fini ludici e di studio, di software capaci di riprodursi autonomamente. Sebbene le conoscenze tecniche per la creazione dei virus risalgano agli anni Cinquanta, si è assistito ad una lun-ga incubazione motivata dal fatto che i computer fino all’inizio degli anni Ottanta erano utilizzati principalmente nelle aziende e negli enti pubblici. L’accesso a tali tecnologie era, quindi, un privilegio riservato ad un numero ridotto di indivi-dui. Solo con l’avvento del Personal Computer (PC) e l’uso sempre più avanzato dei circuiti integrati si giunse ad una riduzione delle dimensione e dei costi degli elaboratori consentendone una maggiore commercializzazione e diffusione nella società. Ogni proprietario di un PC divenne così in potenza un possibile program-matore di software anche grazie alla sempre maggiore interconnessione garantita dalla rete ed al conseguente e frequente scambio di know how tra gli internauti. In risposta all’allarmante diffusione di virus vennero ideati e creati nuovi e potenti software capaci di intercettare malware e di eliminare lo stesso dal sistema. Tuttavia, la tecnica di base utilizzata dagli antivirus era legata alla scansione dei file sull’hard disk e sugli altri supporti di memoria al fine di rilevare durante la fase di “filtraggio” le sequenze di byte (firme) associate al malware. Per tali principi funzionali, un costante aggiornamento è un’operazione fisiologica per un antivirus al fine di “scaricare” le “sequenze” dei neonati malware. Senza un costante aggiornamento, infatti, l’antivirus è cieco e non potrà riconoscere le nuove minacce. Naturalmente, i moderni antivi-rus si basano non solo sul semplice riconoscimento delle sequenze, ma anche, ad esempio, su tecniche euristiche, di inoculazione (attraverso la memorizzazione della dimensione e di altre caratteristiche dei file particolarmente rilevanti per il sistema) e di riconoscimento attraverso l’osservazione delle azioni compiute dai program-mi sulla stessa macchina. Con l’utilizzo diffuso del sistema operativo della Micro-soft, da un lato, si rese omogeneo il terreno di coltura presso un numero sempre più elevato di utenti e con l’utilizzo sempre più avanzato di Internet, e della posta elettronica in particolare, si resero facilmente raggiungibili le possibili vittime del contagio. Il nuovo “untore” ha rappresentato per i programmatori di virus ben più che un mezzo attraverso cui diffondere le proprie creature. Internet, infatti, ha


6. ALLA RICERCA DELLE FONTI DEL DANNO INFORMATICO IN AZIENDA

In questo contesto argomentativi si prenderanno in esamine alcune tipologie di possibili fonti di danno informatico. E’ necessario puntualizzare che il taglio del presente lavoro non consente di approfondire i singoli argomenti che meritereb-bero una maggiore attenzione (37) . Il fine, infatti, di questo scritto è semplicemente quello di tratteggiare i contorni dei principali pericoli “informatici” dell’attività aziendale, professionale e della vita privata. La fonte primaria di danno è rappre-sentata da tutti quei programmi, comunemente denominati virus, capaci di ral-lentare o bloccare i sistemi informatici aziendali. Una seconda fonte di danno è rappresentata dai c.d. attacchi informatici, ossia da tutte quelle azioni realizzate mediante la violazione dei sistemi informatici e dirette ad interrompere, carpire e/o danneggiare l’attività lavorativa. Infine, una terza fonte è costituita dalle c.d. frodi informatiche, ovvero da alcune delle più diffuse e pericolose truffe che vengono realizzate con l’impiego delle nuove tecnologie e l’inconsapevole complicità della vittima. Alle fonti suddette si deve aggiungere un insieme di pericoli eterogenei che utilizzano le tecnologie informatiche e tecniche di ingegneria sociale al fine di danneggiare il soggetto bersaglio e/o di trarne un ingiusto profitto/vantaggio.

(37)Si rinvia per un approfondimento del tema dei rischi per l’azienda e delle contromisure per ar-ginarli a: GERARDO COSTABILE – LUCA GIACOPUZZI, Informatica e riservatezza: dalla carta al bit, in AA.VV., Sicurezza e privacy: dalla carta ai bit (a cura di G. COSTABILE), Forlì, 2005, 75 e ss.

7. MALWARE IN AZIENDA



modificato lo stesso modo di concepire e strutturare le tipologie di malware e le loro strategie di attacco e diffusione. E’ l’alba di un nuovo virus chiamato WORM.

7.2 WORM Worm (40) (lett. verme) rappresenta una particolare forma di mal-ware capace di autoreplicarsi e diffondersi attraverso la rete. «Si definisce worm una entità programmatica autono-ma in grado di autoreplicarsi attraverso la rete, non richieden-do di norma l’intervernto umano per la sua propagazione (41) ».Un programma worm tendenzialmente modifica alcuni file del computer che infetta al fine di venire eseguito ad ogni nuo-va accensione. Uno dei mezzi di diffusione utilizzati da questotipo di malware è la posta elettronica e sistemi p2p; tale software dopo aver ras-trellato nella memoria del computer ospite gli indirizzi email presenti nella rubri-ca o in altri file invia una copia di se stesso come file allegato agli indirizzi trovatiLe tecniche utilizzate per diffondere i worm sono: 1. ingegneria sociale ido-nee ad indurre il destinatario ad aprire l’allegato infetto (camuffandone esten-sione e/o semplicemente indicando un nome accattivante e potenzialmente interessante); 2. sfruttamento dei bug (difetti di programmazione presenti nel software) dei programmi di posta elettronica, di software applicativi e dei sis-temi operativi capaci di consentire l’esecuzione automatica del file infetto; 3. fal-sificazione dell’indirizzo del mittente; 4. utilizzazione dei circuiti di file-sharing.I danni causati da un worm possono essere diversi a seconda del tipo di malware esami-nato. Se il programma malevolo ha il solo scopo di replicarsi e diffondersi, i danni per il computer vittima sono esigui al di là dell’utilizzo delle risorse del sistema ed alle even-tuali problematiche legate a disfunzioni con sistemi antivirus e firewall presenti sulla macchina. Tuttavia, è sempre più frequente l’utilizzo del worm, e delle sue capacità di diffondersi nella rete, come veicolo di infezione di altri malware molto più pericolosi. L’attività necessaria per replicarsi e diffondersi genera un traffico enorme di messaggi di posta elettronica con aumento esponenziale del volume di posta indesiderata che arriva nelle caselle di posta elettronica generando uno spreco di risorse sempre mag-giore. Inoltre, la diffusione dei worm che sfruttano i bug del sistema operativo per diffondersi generano spesso interruzioni dello stesso sistema ed improvvisi riavvii.

(38)Wikipedia encyclopedia (www.wikipedia.it) : voce “malware”.(39)Wikipedia encyclopedia (www.wikipedia.it) : voce “virus”(40)Wikipedia encyclopedia (www.wikipedia.it) : voce “worm” (41)AA.VV., Sicurezza e privacy: dalla carta ai bit (a cura di G. COSTABILE), Forlì, 2005, 128.

7.3 TROJAN HORSETra i diversi tipi di malware vengono definiti trojan horse (42)e (lett. cavallo di Troia) quei file che si mascherano da programmi innocui al fine di superare le bar-riere di sicurezza poste a tutela del computer. Vengono così definiti perché il loro reale obiettivo è celato da un inganno rappresentato dalle mentite spoglie sotto cui si presentano all’utente. Normalmente i trojan non si diffondono automaticamente, come virus e worm, ma hanno bisogno di un qualche intervento per far giungere alla macchina bersaglio il software infetto. Spesso sono gli stessi utenti che scaricano inconsapevolmente dei trojan all’interno dei propri computer. I programmatori o coloro che utilizzano semplicemente tali tecnologie per fini illeciti inseriscono tali malware all’interno di programmi conosciuti e diffusi illegalmente attraverso la rete. Le azioni che un trojan può compiere sono molteplici: 1. aprire una via di comuni-cazione con l’esterno (c.d. backdoor) al fine di permettere ad un malintenzionato di accedere abusivamente al sistema informatico infetto facendogli visionare e/o prel-evare file; 2. scaricare automaticamente un virus; 3. intercettare, registrare e trasmet-tere via internet le operazioni compiute dall’utente (ad esempio: utilizzando tec-niche di registrazione dei tasti battuti sulla tastiera - keylogging). Si tratta quindi di un malware particolarmente pericoloso ed in rapida diffusione. Le condotte illecite che si possono perfezionare con l’utilizzo di trojan horse sono molteplici e vanno dal furto di informazioni aziendali riservate (dati personali, password, numeri di carte di credito...) alla creazionedi «...una macchina zombie, pronta ad obbedire ai comandi dell’attaccante e quindi sferzare ulteriori attività delittuose ai danni di terzi, che leggeranno l’azione come proveniente dalla vittima del trojan e non dal reale attaccante (43) ».

(42)Wikipedia encyclopedia (www.wikipedia.it) : voce “trojan horse” (43)AA.VV., Sicurezza e privacy: dalla carta ai bit (a cura di G. COSTABILE), Forlì, 2005, 130.

7.4 SPYWARE: UN “PARASSITA DIGITALE” DAI MILLE “UNTORI”.Come una micidiale arma stealth il software spyware (44) si muove all’interno del “computer bersaglio” pronto a colpire, inviando dati ed informazioni a sconosciuti ricevitori in perenne ascolto nella rete, all’insaputa dell’ignaro internauta. La sua azione è velata dalla normalità e dalla genericità delle quotidiane operazioni com-piute utilizzando l’elaboratore elettronico. Questa quotidianità rappresenta l’unico schermo conoscibile e visibile da un “operatore – tipo”, dotato di una cultura infor-matica, generalmente, limitata ed indirizzata ai programmi applicativi più comuni; vale a dire all’utente medio le cui conoscenze informatiche sono strettamente legate alla propria attività lavorativa e ad uno o più determinati interessi personali.Il buio che circonda questi piccoli e silenziosi programmi elettronici impone di svolgere alcune riflessioni: 1. sulle modalità tecniche ed informatiche attraverso cui i predetti strumenti concretamente operano (45) ; 2. sulle implicazioni sociali e giuridiche che ruotano attorno al rapporto software house / utilizzatore finale del programma elettronico ospite del “parassita” spyware.L’ economia di mercato rappresenta il “terreno di coltura” di questo particolare parassita digitale. La semplificazione delle modalità relazionali uomo/computer, infatti, è stata dettata principalmente dalla necessità di aumentare il bacino di pos-sibili utilizzatori delle predette apparecchiature elettroniche non semplici da utiliz-zare al loro primo apparire. Questa spinta del mercato ha dato il via a tutta una serie di ricerche tese all’ideazione e alla realizzazione di supporti software che of-frissero all’utente un’interfaccia sempre più semplice da utilizzare. Per realizzare ciò i rapporti tra l’uomo e la macchina da diretti, o quasi, divennero sempre più mediati da sovrastrutture che si moltiplicarono proporzionalmente alla semplicità ed intuitività della suddetta comunicazione. La fortuna di alcuni software è lega-ta, infatti, all’intuitività dell’interfaccia utilizzata per comunicare con l’utente più che all’affidabilità, alla sicurezza ed alla stabilità dello stesso programma. Inoltre, la necessità di risparmiare un’ingente quantità di tempo, semplificando operazioni complesse, ripetitive e poco creative riducendole ad un semplice “click” o facen-dole eseguire in modalità automatica, ha portato con sé la necessità/possibilità di far compiere all’elaboratore elettronico tutta una serie di compiti in modalità in-visibile all’utente. La comunicazione con l’elaboratore/macchina è sempre più me-diata da una serie di programmi che si occupano di semplificare la vita all’utente finale, permettendo di utilizzare apparecchiature sempre più complesse con modal-ità immediate, richiedenti brevi periodi di “rodaggio”. Nello stesso periodo in cui i processi di semplificazione della comunicazione andavano evolvendosi, il mercato dei prodotti commerciali scoprì l’efficacia di una pubblicità “digitalmente” mirata; quest’ultima, abbandonando il sistema “sparare nel mucchio”, si affidò a sistemi pubblicitari nati ai piedi delle nuove tecnologie caratterizzate dal fatto di basare la loro peculiare incisività su un complesso lavoro di reperimento, archiviazione ed elaborazione di informazioni relative ai gusti e alle abitudini personali del bersaglio a cui dovranno offrire, su un piatto preconfezionato, i vari prodotti commerciali. La produzione “personalizzata di massa” è ormai una realtà che ten-de sempre più a soppiantare una “produzione di massa” che inizia a pre-sentare un conto troppo salato in rapporto alle nuove procedure pub-blicitarie basate sulla profilazione elettronica del consumatore/tipo(46) .Infine, un terzo elemento deve essere considerato rilevante ai fini del-la comprensione del fenomeno spyware: la nascita di particolari e re-centi modalità di distribuzione dei programmi elettronici adottate dalle software house: freeware, shareware, adware, trial version…(47)

(44)ROSSI, Lo spyware e la privacy, in Diritto delle nuove tecnolo-gie informatiche e dell’Internet ( a cura di CASSANO), IPSOA, 2002, 184 ss.(45)Per un approfondimento dell’argomento “spyware” si rinvia al sito www.dirittoesicurez-za.it. (46)MACCABONI, La profilazione dell’utente telematico fra tecniche pubblicitarie online e tutela della privacy, in Il diritto dell’informazione e dell’informatica, 2001, 426. (47)SISTO, Le diverse modalità di distribuzione del software: freeware, shareware e trial version, in Diritto delle nuove tecnologie informatiche e dell’Internet, op.cit., 1058:«…rientra nell’esercizio del diritto di prima pubblicazione la concessione della facoltà di utilizzare i programmi in di-verse forme racchiuse in tre grandi categorie: il software libero, non-libero e commerciale…».

Documents

Crimine Informatico 1 - Di Leo Stilo