Intere banche dati sia pubbliche sia private trafugate e rubate, grazie a ripetuti accessi abusivi: così il caso “dossieraggi” dilaga a una velocità impressionante.
Sono noti a tutti i fatti di cronaca che hanno messo in ginocchio prima un noto istituto di credito e successivamente ministeri. Al centro ci sono (ex) servitori dello Stato ed (ex) dipendenti, dimostratisi infedeli.
Ma il punto non è cosa è successo, ma cosa si deve fare per prevenire, affinché episodi di tale fatta non si verifichino più. Vogliamo quindi provare a ragionare sulle cause prospettando scenari e soluzioni, frutto di alcune riflessioni a caldo, dal punto di vista ora tecnico ora giuridico.
Indice degli argomenti
Il fenomeno del dossieraggio: che cos’è
Il “dossieraggio” è un’attività illecita, in quanto clandestina e fraudolenta che consiste nel raccogliere informazioni personali e riservate, al fine di metterle in un dossier, usandole con intenti spesse volte estorsivi.
Tuttavia, il dossieraggio non è necessariamente finalizzato ai fini di estorsione. Si possono raccogliere informazioni per mera curiosità morbosa.
Quindi, il primo passo richiede di accedere a banche dati per raccogliere informazioni anche personali.
Si tratta, dunque, di un fenomeno che, al netto dei noti fatti di cronaca, è indiscutibilmente in via di espansione, anche se sempre esistito, perché c’è un mercato di dati che i criminali informatici possono sfruttare.
Cosa dice l’art. 615 ter del Codice penale
Partiamo dalla fattispecie di reato prevista dall’art. 615 ter del Cod. Pen. che testualmente recita:
“Chiunque abusivamente si introduce in un sistema informatico o telematico, protetto da misure di sicurezza ovvero vi si mantiene contro la volontà espressa o tacita di chi ha il diritto di escluderlo, è punito con la reclusione fino a tre anni.
La pena è della reclusione da due a dieci anni:
1) se il fatto è commesso da un pubblico ufficiale o da un incaricato di un pubblico servizio, con abuso dei poteri, o con violazione dei doveri inerenti alla funzione o al servizio, o da chi esercita anche abusivamente la professione di investigatore privato, o con abuso della qualità di operatore del sistema;
2) se il colpevole per commettere il fatto usa minaccia o violenza sulle cose o alle persone, ovvero se è palesemente armato;
3) se dal fatto deriva la distruzione o il danneggiamento ovvero la sottrazione, anche mediante riproduzione o trasmissione, o l’inaccessibilità al titolare del sistema o l’interruzione totale o parziale del suo funzionamento, ovvero la distruzione o il danneggiamento dei dati, delle informazioni o dei programmi in esso contenuti.
Qualora i fatti di cui ai commi primo e secondo riguardino sistemi informatici o telematici di interesse militare o relativi all’ordine pubblico o alla sicurezza pubblica o alla sanità o alla protezione civile o comunque di interesse pubblico, la pena è, rispettivamente, della reclusione da tre a dieci anni e da quattro a dodici anni.
Nel caso previsto dal primo comma il delitto è punibile a querela della persona offesa; negli altri casi si procede d’ufficio”.
Merita analizzarlo. Si tratta di un reato “comune” vale a dire che può essere commesso da “chiunque”; se però a farlo fosse un pubblico ufficiale o incaricato di un pubblico servizio, la pena viene sì aumentata da 2 a 10 anni. Così come se il colpevole per commettere il fatto adopera minaccia o violenza sulle cose o alle persone. Parimenti, se dal fatto di reato derivi “la distruzione o il danneggiamento ovvero la sottrazione, o l’inaccessibilità al titolare del sistema o l’interruzione totale o parziale del suo funzionamento, ovvero la distruzione o il danneggiamento dei dati, delle informazioni o dei programmi in esso contenuti”.
La condotta risiede dunque nell’accedere abusivamente a un sistema informatico o a mantenervisi contro la volontà dell’interessato. Si tratta di condotte alternative: la “o” deve essere interpretata, per giurisprudenza costante, come disgiuntiva.
L’accesso abusivo può ben essere anche a banche dati, come nel caso di specie.
Il dolo è generico. Il tentativo è sì configurabile. Il concorso pure.
I due commi (secondo e terzo) prevedono poi delle circostanze aggravanti a seconda dei casi, cui si rinvia. La pena in ogni caso è della reclusione, fino a un massimo di 12 anni (III co). La procedibilità infine è di ufficio, tranne che nel primo caso che invece è a querela di parte, senza la quale non può essere perseguito.
Ancora, merita distinguere tra banca dati liberamente accessibile e quella invece segregata. La seconda evidentemente si caratterizza per:
- il contenuto del dato
- la sua elaborazione
- l’informazione che ne può essere tratta.
Ne consegue che se dal punto di vista della privacy/data protection interessa tutelare o meglio evitare l’irregolare formazione e raccolta di dati personali alla insaputa dell’interessato e alla dispersione che l’operatore fa per mal custodia del dato, sul fronte penalistico l’art. 615 ter punisce la violazione del sistema informatico o con la finalità di distruggerlo o con quell’altra di carpirne il contenuto che assume la caratteristica di bene protetto assimilabile alla proprietà.
Il dato raccolto diviene oggetto di possesso esclusivo di chi debitamente autorizzato lo raccoglie e lo manipola, lo sistematizza con il mezzo informatico. In ciò lo fa proprio, tanto che una banca dati può essere oggetto di negozio giuridico (compravendita).
Ne discende che l’aspetto rilevante è dato dalla violazione di tale dato il quale diventa di proprietà esclusiva del titolare della banca dati. Ecco, dunque, la ragione per la quale il reato riguarda sia le banche dati pubbliche che quelle private.
Dunque, da questa prima analisi della fattispecie possiamo ricavare che al legislatore poco interessa il fine della violazione, se non lo aspetto della distruzione della banca dati. Vi è da chiedersi semmai se la distruzione deve necessariamente avvenire l’accesso abusivo o posso consumare il reato anche semplicemente prendendo a martellate il server o e sono raccolti i dati.
La finalità dell’accesso abusivo colora esclusivamente di gravità il fatto illecito e aiuta il giudice nella scelta della misura della pena, non misera.
Qualche richiamo giurisprudenziale
A livello interpretativo e di casistica, la giurisprudenza penale, dagli anni ‘90 (quando è stato introdotto) a oggi, è intervenuta più volte su questo reato. A tal proposito, citiamo un paio di sentenze utili per le considerazioni che seguiranno, e in particolare:
- Cassazione penale del 2019, la n. 565 dalla cui massima leggiamo che “integra il delitto previsto dall’art. 615-ter del Codice penale la condotta del dipendente che, pur essendo abilitato e pur non violando le prescrizioni formali impartite dal titolare di un sistema informatico o telematico protetto per delimitarne l’accesso, acceda o si mantenga nel sistema per ragioni ontologicamente estranee rispetto a quelle per le quali la facoltà di accesso gli è attribuita. (Fattispecie relativa alla trasmissione, tramite e-mail, da parte di un dipendente di istituto bancario ad altro dipendente non abilitato a prenderne cognizione, di dati riservati concernenti la clientela);
- Cassazione penale a Sezioni Unite 41210/2017 a mente della quale “integra il delitto previsto dall’art. 615-ter, secondo comma, n. 1, del Codice penale, la condotta del pubblico ufficiale o dell’incaricato di un pubblico servizio che, pur essendo abilitato e pur non violando le prescrizioni formali impartite dal titolare di un sistema informatico o telematico protetto per delimitarne l’accesso, acceda o si mantenga nel sistema per ragioni ontologicamente estranee rispetto a quelle per le quali la facoltà di accesso gli è attribuita. (Nella specie, la S.C. ha ritenuto immune da censure la condanna di un funzionario di cancelleria, il quale, sebbene legittimato ad accedere al Registro informatizzato delle notizie di reato – detto Re.Ge. – conformemente alle disposizioni organizzative della Procura della Repubblica presso cui prestava servizio, aveva preso visione dei dati relativi a un procedimento penale per ragioni estranee allo svolgimento delle proprie funzioni, in tal modo realizzando un’ipotesi di sviamento di potere)”.
Ecco che la ratio di tale disposizione ben si coglie specie nella considerazione secondo cui “i luoghi di dimora non sono intesi solo nella loro materialità, ma anche come proiezione spaziale della persona, la cui libertà individuale si estrinseca anche nell’interesse alla tranquillità e sicurezza dei propri sistemi informatici”. Un’apparente quiete che troppo spesso viene turbata e noi manco subito ce ne accorgiamo.
Al netto di ciò è ancora importante sottolineare altresì che l’accesso abusivo non implica necessariamente l’intrusione, ma anche l’uso improprio delle autorizzazioni assegnate. Insomma, una ipotesi ampia.
Iniziative e opinioni del Garante Privacy al riguardo
Il Garante della privacy fa sapere che è stata “creata una task force interdipartimentale, che coinvolge i settori di competenza per individuare prontamente le attività da intraprendere e le maggiori garanzie a protezione delle banche dati. Definendo, tra l’altro, misure di sicurezza, tecniche e organizzative, adeguate riguardo agli accessi da parte del personale autorizzato, ma anche al complesso delle operazioni svolte dagli incaricati della loro gestione e manutenzione. Oltre a proseguire le attività ispettive nei confronti di società già individuate”.
Per poi proseguire il Presidente Pasquale Stanzione al termine del comunicato con la riflessione secondo cui: “Negli ultimi anni, infatti, dalle segnalazioni ricevute, risulta un incremento del fenomeno collegato alla rivendita di informazioni riservate presenti nelle banche dati pubbliche da parte di società private che, anche avvalendosi di agenzie di investigazione privata, offrono servizi di ‘informazioni investigate’ a chiunque ne abbia interesse, anche attraverso opachi meccanismi di reperimento dei dati”.
Se ci pensiamo, il tutto è decisamente inquietante.
D’altronde, questi episodi di dossieraggio sono sintomatici di un atteggiamento diffuso e radicato nel dibattito pubblico, culturale e giuridico: la diffidenza, la banalizzazione, la derubricazione del diritto fondamentale alla protezione dei dati personali quale ostacolo burocratico, impedimento all’innovazione, puro formalismo, tecnicismo per pochi addetti ai lavori.
Quello che, in linea di continuità sostiene Ginevra Cerrina Feroni quando afferma che “il dossieraggio è devianza diffusa”, suggerendo come affrontarla.
Fenomeno del dossieraggio: come prevenirlo tecnicamente
Come già detto, le attività di dossieraggio e gli abusi non implicano necessariamente l’intrusione a sistemi informatici, ma anche l’uso improprio delle autorizzazioni assegnate.
Nel caso più recente è bene osservare che è stato installato, con il supporto di dipendenti infedeli, un software abusivo su alcuni sistemi informatici per raccogliere sistematicamente i dati trattati.
Quindi nella gran parte dei casi si osserva che i dati sono raccolti grazie alla complicità di qualcuno interno. Questi sono casi noti da tempo (si pensi a come si concluse l’assedio di Antiochia nel 1098, grazie a una guarda corrotta che, abbandonando la torre, permise ai crociati di entrare in città) ed è sempre molto difficile contrastarli.
Sicuramente è necessario ridurre al minimo gli accessi di ciascuno, ma è evidente che autorizzare qualcuno gli permette di sfruttare i dati anche in modo illecito ed è questo che è successo nei casi in specie. Dalle informazioni ad oggi disponibili non si sa se i permessi assegnati alle singole persone erano eccessivi o se le persone autorizzate erano troppe, ma è chiaro che basta un’unica persona con i permessi adeguati per riuscire nell’attacco.
È anche necessario attivare log delle attività sui sistemi informatici, ma queste sono talmente numerose che è difficile rilevare quelle illecite. Tra l’altro, i software usati dai criminali raccolgono i dati in modo da passare inosservati (una tecnica consiste nel raccoglierli poco per volta, al di sotto delle soglie di allarme). Va ricordato che alcuni attacchi sono stati condotti su sistemi monitorati da centri di sicurezza (SOC, Security Operation Center).
Anche in questo caso, dalle informazioni a oggi disponibili non sappiamo se gli allarmi erano stati configurati in modo opportuno.
Va detto ancora che per gli istituti bancari, il Provvedimento del Garante del 12 maggio 2011 [doc. web n. 1813953] richiede di tracciare le operazioni condotte dagli operatori, ma questo non ha impedito la raccolta illecita di dati recentemente emersa. Anche in questo caso, non sono disponibili sufficienti informazioni per valutare correttamente il caso, ma è chiaro che le misure di sicurezza si sono rilevate inefficaci.
Una misura di sicurezza richiede di avere sempre almeno 3 persone che accedono ai dati, in modo che si controllino reciprocamente (2 possono più facilmente colludere), ma i costi si innalzerebbero in modo insostenibile.
È importante infine capire che le misure adottate e adottabili non impediscono sempre gli illeciti perché dobbiamo sempre essere consapevoli che ogni misura lascia un rischio residuo. Anche se le sanzioni, notoriamente, non prevengono i reati.
Non dobbiamo tuttavia rinunciare a monitorare e mantenere le misure di sicurezza, anche perché ricordano sempre che alcune azioni non sono permesse o sono illegali.
Il fenomeno del dossieraggio: tra cause, concause e rimedi
Analizziamo da ultimo il fenomeno in parola tra cause, concause e rimedi.
Tra le prime cause del dossieraggio c’è l’infedeltà del sottoposto, per quanto quest’ultimo il più delle volte non agisca da solo. Ma andiamo per gradi.
Iniziamo con il ricordare che il lavoratore “…non deve trattare affari, per conto proprio o di terzi, in concorrenza con l’imprenditore, né divulgare notizie attinenti all’organizzazione e ai metodi di produzione dell’impresa, o farne uso in modo da poter recare ad essa pregiudizio” (art. 2105 Cod. Civile).
Di qui, il dipendente “infedele” quando divulga notizie attinenti all’Organizzazione e quanto alla stessa connesso dai segreti aziendali ovvero quando utilizza dette notizie per crearvi pregiudizio, ecco che commette un illecito.
Alla base di tutto, v’è un rapporto di fiducia. Sul punto, la giurisprudenza afferma in maniera costante e consolidata (Corte di Cassazione, sentenza n. 10627 del 22 maggio 2015) che il lavoratore può essere licenziato per giusta causa quando tiene un comportamento infedele facendo venire meno il rapporto di fiducia instaurato con il datore di lavoro.
E in una fase in cui la digitalizzazione regna sovrana, ecco che un accesso abusivo e la esfiltrazione di dati diventa un’altra condotta illecita che va a minare la sicurezza informatica se non a disintegrare se questa non è abbastanza strutturata o costruita come una rocca forte.
Le organizzazioni, quindi, dovrebbero avviare programmi di fidelizzazione, che prevedono rapporti diversi con il personale, non fatti solo di incentivi economici, ma anche di una vera e propria presa in carico dell’impatto emotivo delle singole persone.
Si tratta di una materia molto vasta che esula dagli obiettivi di questo articolo, ma è opportuno considerarla.
