domenica 15 febbraio 2009

Alcune precisazioni tecnico-giuridiche sulle wireless e sulla privacy

Articolo 12.02.09
Privacy e sicurezza delle reti wireless

1. Introduzione
Negli ultimi anni si sono diffusi e si stanno viepiù diffondendo, grazie anche alla diminuzione del loro prezzo, i dispositivi cc.dd. “wireless” (lett. “senza fili”), in grado di mettere in comunicazione computer, calcolatori e altri tipi di strumenti elettronici, senza che si renda necessario l’uso dei tradizionali cavi per la trasmissione di energia elettrica. La trasmissione di dati e informazioni avviene così attraverso “onde-radio”, di potenza non elevata (da 2,4 GHz a 5 GHz).I protocolli standard per i dispositivi e le reti wireless sono definiti dal c.d. “IEEE” (acronimo per “Institute of Electrical and Electronic Engineers”; in italiano “Istituto degli ingegneri elettrici ed elettronici”), con sede a New York (U.S.A.). Si riferiscono specificamente alle tecnologie wireless gli standard “802” e di essi si occupa un comitato dell’IEEE denominato “IEEE 802 LAN/MAN Standards Committee”, ove LAN sta per “Local Area Network” e MAN per “Metropolitan Area Network”. Pertanto il comitato è preposto a sviluppare protocolli sia per reti locali (come quelle presenti in aziende, università, biblioteche, aeroporti, parchi pubblici, centri commerciali, alberghi ovvero negli edifici e nelle abitazioni), sia per le reti metropolitane o cittadine. Quest’ultime sono in crescita grazie agli investimenti fatti di recente da enti pubblici per la diffusione della tecnologia “WiMAX” (sorta di acronimo per “Worldwide Interoperability for Microwave Access”), che consente l'accesso a reti di telecomunicazioni senza fili a banda larga.Per quel che concerne gli standard 802, ne esistono di vari tipi a seconda della frequenza e della velocità massima di trasmissione. I protocolli 802.11b, 802.11g e 802.11n hanno una frequenza di 2,4 GHz, mentre il protocollo 802.11a può arrivare fino 5,8 GHz. Quanto alla velocità della trasmissione (che può variare a seconda che ci si trovi in ambienti “aperti” o “chiusi”), essa può arrivare generalmente a circa 54 megabyte/secondo (lo standard 802.11b arriva fino a un massimo di 11 mb/sec., mentre lo standard 802.11n fino a un massimo di 125 mb/sec.) [1]. La WiMAX si basa invece sullo standard 802.16, evoluzione di quello 802.11.In informatica si utilizza solitamente il termine “Wireless Local Area Network” (abbreviato normalmente in “WLAN”) per indicare una rete locale senza fili, che può essere quella della propria abitazione come quella dell’azienda nella quale si lavora. Per il funzionamento delle WLAN è necessario istallare un’antenna capace di garantire una certa “copertura”, che può variare da pochi metri ad addirittura chilometri (in caso di banda larga), ma si devono pur sempre considerare eventuali ostacoli (muri, alberi, barriere, interferenze causate da apparecchiature come forni a micro-onde o lavastoviglie etc.). Le differenze di copertura dipendono dalla tipologia di antenna adottata e precisamente:- se si istallano antenne cc.dd. “omnidirezionali”, sarà possibile distribuire la connettività all’interno di zone private, a livello aziendale e talora in aree pubbliche o aperte al pubblico;- se si istallano antenne cc.dd. “direttive” o unidirezionali, allora sarà possibile ottenere la copertura di vari chilometri: infatti attraverso l’aggregazione di più reti, si costituisce una rete più grande, portando la banda in zone non cablate o altrimenti scollegate[2].Se si possiede un pc portatile, come un notebook, un laptop o un PDA, è dunque possibile collegarsi a una rete wireless e navigare online “agganciandosi” ad un’antenna, che riceverà e invierà un segnale radio al client. L’antenna, munita del proprio scatolotto e della strumentazione necessaria, viene chiamata “access point”, punto d’accesso dunque, proprio perché consente a chiunque disponga degli idonei dispositivi software-hardware di entrare in rete. Senza dimenticare che, grazie allo sviluppo tecnologico della telefonia mobile e all’introduzione delle reti UMTS[3], oggi si può navigare in Internet e visionare e/o scaricare la propria posta elettronica anche con un semplice telefonino (tanto per citare alcuni esempi, si pensi al BlackBerry o all’iPhone), per finalità sia “private” che di business, oppure si possono sfruttare altre funzionalità come il VOIP (acronimo per “Voice Over Internet Protocol”[4]).
2. Rischi connessi all’utilizzo di reti wireless
A differenza di una comune LAN (Local Area Network), e cioè una rete locale cablata e fisicamente identificabile, la rete wireless è una rete “aperta”, laddove il mezzo di trasmissione delle comunicazioni è l’aria. Il che comporta notevoli rischi per la sicurezza delle reti wireless, sia sotto il profilo del controllo degli accessi, sia sotto quello della riservatezza, integrità e autenticità delle trasmissioni.E’ ovvio che in una rete LAN si è innanzi a uno spazio “chiuso”, territorialmente ben delimitato e definito. Pertanto risulta implementabile un controllo “perimetrale”: controllo anzitutto “fisico”, ma anche “logico”. In un’organizzazione il primo anello della sicurezza è costituito proprio dal controllo degli accessi ai sistemi informatici e alle risorse del settore ICT, ormai asset “critici” e “vitali” per imprese, pubbliche amministrazioni, enti e studi professionali. Dal punto di vista strettamente materiale, esso viene effettuato avvalendosi di vari mezzi (anche di tipo tecnologico) e risorse, non ultime quelle umane: porte blindate, vetri anti-sfondamento, serrature elettroniche, memory-card (badge) o smart-card (munite di micro-chip, veri e propri mini-sistemi) per azionare i tornelli d’ingresso, video-camere di sorveglianza (in genere a circuito chiuso), personale di vigilanza (per es. guardie giurate), dispositivi di allarme anti-furto o anti-intrusione. Tutte siffatte misure vengono spesso predisposte per proteggere aree “critiche” e “sensibili” come i locali che ospitano il server-CED o gli archivi di backup.A un primo controllo di tipo fisico segue poi un controllo di tipo “logico”, attraverso la procedura di “autenticazione”, da intendersi qui come autenticazione informatica, ossia come quella procedura che consente a un utente (cioè a una persona) di farsi riconoscere da un computer[5]. Autenticazione è sinonimo pertanto di riconoscimento. L’autenticazione costituisce il presupposto indispensabile per poter accedere alla memoria di un elaboratore e per poter compiere le operazioni che l’utente desidera e che gli risultino utili di volta in volta. E ordinariamente (nella maggior parte dei casi), per accedere al computer (procedura di log-in o log-on), ogni utente avrà a disposizione una “credenziale di autenticazione”[6], costituita dall’associazione logica di un identificativo con una parola-chiave, e precisamente dalla combinazione di uno userID con una password.Stante il fatto che il mezzo “fisico” (se così lo si vuol, seppur impropriamente, definire) di trasmissione di una rete wireless è l’aria, niente di tutto ciò sopra descritto può avvenire in una rete wireless, soprattutto se “aperta”, laddove non esistono mura o spazi delimitati. Rispetto a una rete cablata, è dunque più facile per chiunque avesse cattive intenzioni introdursi in una rete wireless e commettere vari tipi di illeciti, salvo ovviamente che il titolare di una rete siffatta adotti determinati accorgimenti, che saranno spiegati nel paragrafo dedicato alle contromisure.Ma se tali precauzioni e cautele non fossero predisposte, allora sarà facile sentir parlare sempre più spesso di “wardriving”, pratica consistente nell’intercettare reti wireless con un semplice pc portatile, sia che ci si trovi in automobile, sia che si proceda con altro mezzo di locomozione (es. motorino o bicicletta), sia che si cammini a piedi. E’ sufficiente che il portatile sia abbinato a un ricevitore GPS[7] in grado di localizzare l’esatta posizione dell’access point. Il meccanismo è semplice: infatti, secondo la tipica modalità di comunicazione client-server (ove il client è qui rappresentato dal portatile e il server dall’access point), il client “interroga” l’access point, che fornirà a sua volta una risposta al primo. Una volta localizzato l’access point e dopo esser penetrato in rete, il wardriver potrà fare ciò che vuole, in primis navigare gratis e ad alta velocità di trasmissione.In effetti, tramite il wardriving e pratiche similari, è possibile realizzare tutta una serie di comportamenti anche penalmente rilevanti e che di seguito verranno analizzati. Deve essere cionondimeno premesso che è bene distinguere l’attività del wardriver che abbia la semplice curiosità di vedere se ci siano reti wireless in un determinato luogo e se queste siano protette o meno, da quella di ricerca di una rete wireless non protetta, al fine di utilizzarne le risorse di connessione per i propri scopi, il più delle volte, illeciti. Nella prima ipotesi, nulla quaestio[8]. Nella seconda invece, a seconda dell’attività posta in essere, potrebbero esser commessi taluni reati previsti sia dal codice penale, sia da normative speciali. Ma ciò che è peggio è che il legittimo proprietario/utilizzatore di una rete wireless rischia di subire un procedimento penale per reati in realtà non compiuti da lui, bensì da un attacker, che potrebbe invece restare ignoto alle Autorità. E ciò sol perché (lo si ribadisce fortemente) non sono state adottate (per negligenza, incuria, superficialità, eccesso di sicurezza, sottovalutazione del rischio o semplice ignoranza) adeguate e preventive contromisure di protezione. Nel paragrafo successivo si tenterà di individuare talune delle minacce e delle fattispecie criminose più rilevanti e frequenti.
3. Reati realizzabili tramite reti wireless
Premesso dunque che molteplici possono essere gli attacchi alle reti wireless, attacchi che, come sopra specificato, potrebbero avere quale complice inconsapevole e involontario il legittimo proprietario o gestore di una WLAN, è opportuno ora valutare attentamente quali reati potrebbero essere posti in essere. E può trattarsi dei reati più svariati: contro la fede pubblica, contro la persona oppure contro il patrimonio.Orbene cronologicamente e logicamente la prima fattispecie criminosa che corre alla mente è non a caso quella dell’intercettazione abusiva di comunicazioni telematiche previsto dall’art. 617-quater c.p. Si è già detto che non è poi così difficile localizzare reti wireless e access point non adeguatamente protetti (per es. nel caso in cui non fossero usate chiavi crittografiche efficaci): bastano infatti un portatile e un dispositivo GPS. Intercettare vuol dire prendere conoscenza totalmente o parzialmente della comunicazione, senza che essa venga nemmeno parzialmente alterata o distolta dal suo destinatario naturale. L’intercettazione deve peraltro essere “fraudolenta” nel senso che essa deve avvenire in modo occulto, id est all’insaputa del soggetto che trasmette la comunicazione ovvero con strumenti tali da trarre in inganno sulla fonte o sulle modalità dell’interferenza. Si ricordi che l’intercettazione telematica non prevede una comunicazione tra persone, come nel caso di comunicazione telefonica; pertanto l’illecita interferenza avviene intromettendosi in una comunicazione riferita direttamente a un sistema o intercorrente tra più sistemi. Ergo l’intercettazione telematica sarà fraudolenta quando l’agente mira a ingannare il sistema o chi è preposto al suo controllo, attraverso una sostituzione con il soggetto autorizzato o mediante la simulazione delle caratteristiche del sistema intercomunicante o dell’impianto ricevente, etc.[9] In effetti ciò è proprio quel che compie il wardriver. Anzi in via preliminare quest’ultimo potrebbe incorrere anche nel compimento di un'altra fattispecie criminosa e precisamente quella di cui all’art. 615-quinquies c.p., che sanziona il reato di “Installazione di apparecchiature atte ad intercettare, impedire o interrompere comunicazioni informatiche o telematiche”. Trattasi di reato di pericolo, con funzione di tutela anticipata rispetto al bene protetto dalle norme in esame (la riservatezza delle comunicazioni). Tale disposizione punisce non già l’intercettazione in sé e per sé, ma la semplice istallazione, id est la predisposizione di particolari tecnologie idonee allo scopo captativo. “Istallare” significa quindi porre le apparecchiature nelle reali e concrete condizioni di svolgere le funzioni richieste, non bastando la semplice detenzione e/o possesso ovvero la materiale disponibilità (onde evitare un “processo all’intenzione”)[10].Tornando al delitto di intercettazione telematica abusiva, deve esser evidenziato che trattasi di reato a dolo generico e pertanto non rilevano le specifiche finalità della condotta[11]. Ai fini della configurabilità del reato di cui all’art. 617-quater c.p. è sufficiente realizzare la condotta captativa accompagnata dalla consapevolezza e dalla volontà di intercettare. Vero è però che la condotta di intercettazione è generalmente prodromica rispetto a quella di altre attività, che potrebbero costituire di per sé autonome fattispecie criminose. Si applicherebbe allora la disciplina del concorso di reati.Rilevata la rete, il wardriver la potrebbe usare per navigare gratis ovvero per effettuare il c.d. ping sweep oppure il fingerprinting. Con la tecnica del ping sweep, l’attacker lancia programmi cc.dd. ping sugli indirizzi IP per verificare quali sistemi in una rete, LAN o WLAN, siano attivi. Trattasi di un tipo di attacco che ne anticipa un altro, e cioè lo sniffing, che altro non è (anch’esso) che un’intercettazione telematica abusiva. Pingati i sistemi, ossia verificati quali tra essi siano attivi, se ne potrà monitorare, attraverso appositi programmi (appunto gli sniffer), l’attività attraverso l’analisi dei pacchetti in entrata e in uscita allo scopo di carpire password, codici d’accesso etc. In tal senso ad una intercettazione preliminare (per captare la rete WLAN) se ne aggiunge una successiva (una volta che la rete sia stata penetrata) per compiere altre attività illecite, come il procurarsi codici riservati utilizzabili per es. per l’accesso a siti-web o ad account bancari o alla mail-box. Il wardriver potrebbe così compiere un vero e proprio “furto d’identità”, sostituendosi al legittimo utilizzatore e realizzare i reati di sostituzione di persona (art. 495 c.p.) e, a seconda dei casi, di detenzione abusiva di codici d’accesso (art. 615-quater) o di violazione della corrispondenza (art. 616 c.p.[12]) o ancora di frode informatica (art. 640-ter c.p.), eventualmente in concorso (materiale o formale) sia tra loro che con il delitto di cui all’art. 617-quater c.p. Con la tecnica del fingerprinting, invece, l’attaccante potrebbe eseguire l’analisi e la scansione delle porte (c.d. portscanning) dei sistemi presenti nella rete WLAN, onde verificare quali di esse siano aperte in modo da ottenere l’accesso agli elaboratori. Una volta ottenuto quest’ultimo, l’attacker cercherà (o creerà lui stesso) una backdoor per avere privilegi di amministratore di rete o di sistema o, peggio ancora, di root sulla macchina: in tal modo potrà controllarla e ridurla, se volesse, a “computer-zombie” (concetto sul quale si tornerà in seguito).Ove poi i computer connessi alla rete wireless fossero protetti da misure di sicurezza logiche (per es. da firewall), si configurerebbe altresì il delitto di accesso abusivo a sistema informatico (art. 615-ter c.p.)[13], che dunque potrebbe concorrere con il delitto di intercettazione abusiva. Sembrerebbe chiaro in tal caso il modus operandi del wardriver: egli capta, cioè localizza, la rete, vi penetra e la analizza alla ricerca di sistemi attivi e di archivi contenenti dati e informazioni.Penetrato nei sistemi, l’attaccante potrebbe quindi copiare, modificare, alterare, falsificare o cancellare file, directory, dati e informazioni presenti nel disco rigido[14]. Si potrebbero così realizzare, a seconda delle condotte concretamente poste in essere, le seguenti fattispecie:- accesso abusivo aggravato ai sensi del comma 2, n° 3) dell’art. 615-ter c.p.[15];- accesso abusivo in concorso con frode informatica[16];- accesso abusivo in concorso con i delitti di cui agli artt. 621 (rivelazione del contenuto di documenti segreti) e 623 (rivelazione di segreti scientifici e industriali) c.p.[17];- accesso abusivo in concorso con il delitto di cui all’art. 491-bis c.p. (falso informatico)[18].Inoltre si pensi anche a chi ricevesse l’incarico, ben retribuito, di accedere agli archivi elettronici presenti nei sistemi non efficacemente protetti (firewall mal configurati, crittografia debole) di una WLAN ospedaliera o di una ASL, per poterli visionare e duplicare. L’attaccante fornirebbe al proprio “mandante” tutta una serie di informazioni super-sensibili (dati sulla salute o su orientamenti sessuali), sfruttabili dal mandante medesimo a scopo discriminatorio. Si ponga il caso che siffatto mandante sia un datore di lavoro o un’impresa assicurativa: il primo potrebbe licenziare un proprio dipendente dopo esser venuto a sapere che quest’ultimo fosse affetto da HIV o da altra malattia incurabile; la seconda, nella medesime ipotesi, potrebbe risolvere una polizza-vita o, con maggior probabilità, aumentarne sensibilmente il premio[19].Devono però esser fatte talune precisazioni. Se l’agente, introdottosi nel sistema, si limitasse a copiare (ossia a duplicare) files, tale condotta, successiva all’intrusione, non sarebbe di per sé punibile, restando così assorbita nel delitto di cui all’art. 615-ter c.p., purché ne sussistano tutti gli elementi soggettivi e oggettivi[20]. Per altro verso è inconfigurabile un concorso tra l’art. 615-ter c.p. e l’art. 624 c.p., non essendo penalisticamente realizzbile un “furto di files” o un “furto di dati” e da tal punto di vista vale quanto appena spiegato sulla duplicazione[21].Il wardriver potrebbe comunque commettere già di per sé il delitto di accesso abusivo a sistema telematico penetrando sic et simpliciter nella WLAN, laddove l’accesso ad essa fosse protetto per es. da sistemi crittografici, poi crackati o forzati o elusi dal wardriver stesso. Non v’è dubbio che una rete wireless costituisca un sistema telematico, id est un insieme combinato di apparecchiature idoneo alla trasmissione a distanza di dati e informazioni, attraverso l’impiego di tecnologie dedicate alle comunicazioni[22].Ma v’è di più. Penetrato nella WLAN e nei sistemi ad essa collegati, l’attacker potrebbe addirittura diffondere malware di qualsiasi tipo. Per es., egli potrebbe introdursi in un sistema e inserire un trojan, un worm o uno spyware. In tal modo riuscirebbe, a seconda dei suoi desiderata, a distruggere dati, files e programmi oppure, attraverso l’inserimento nel sistema dei programmi (anch’essi maligni) cc.dd. keylogger (lett. “tracciatori di chiavi”[23]), a carpire password e altri codici riservati oppure ancora a violare la privacy e “profilare” illecitamente l’utente legittimo (analizzandone, rectius “spiandone”, per es. le abitudini di navigazione, i siti e le pagine web più ricercate o gli acquisti online per inviargli spam mirato). Si potrebbe configurare un concorso di reati tra l’art. 615-ter c.p. (anche aggravato dal danneggiamento e/o distruzione di files: v. comma 2, n° 3, del medesimo art.) e l’art. 615-quinquies c.p.[24] ovvero, laddove fossero utilizzati i keylogger, un concorso tra l’art. 615-quater c.p. e pur sempre l’art. 615-quinquies c.p.Allo stesso modo il malintenzionato potrebbe introdurre un bot o un rootkit all’interno del sistema, prendendone letteralmente possesso: si è infatti accennato ai cc.dd. “computer-zombies”. L’attacker avrebbe il completo controllo dell’elaboratore e potrebbe utilizzarlo per vari scopi illeciti. Innanzitutto egli avrebbe il potere di monitorare e gestire ad libitum tutto il traffico di rete e tutti i sistemi infettati, ponendosi in posizione tale da minacciare e ricattare il legittimo gestore della WLAN: in tale ipotesi sarebbero ravvisabili gli estremi del delitto di estorsione (art. 629 c.p.) in concorso con l’art. 615-quinquies c.p. E ancora, l’ “untore” potrebbe utilizzare un pc come piattaforma per il lancio di attacchi DoS[25] oppure per lo spamming o per il mail-bombing[26]. Tali attacchi possono in primis essere scagliati contro gli altri computer della WLAN presa di mira, realizzando addirittura il blocco totale della stessa e giungendosi così ad un vero e proprio “netstriking”. Il DoS riguarderebbe cioè non un singolo o singoli sistemi, ma tutti quelli connessi alla medesima rete WLAN (e anche LAN), come nel caso di una rete aziendale. Ovvia conseguenza sarebbe il blocco delle comunicazioni all’interno e verso l’esterno di siffatta rete, con configurabilità del reato di impedimento e/o interruzione di comunicazioni telematiche ex art. 617-quater, considerando che tale disposizione contempla, oltre alla condotta captativa (intercettazione), anche codeste altre tipologie di delitti. “Impedire” vuol dire interdire radicalmente la possibilità di inviare, di inoltrare, di far partire la comunicazione (rendendola così impossibile), mentre l’uso del verbo “interrompere” presuppone che la comunicazione sia stata iniziata, ma non sia giunta a destinazione. Per entrambe le condotte può dirsi che non è necessario che esse avvengano in modo fraudolento, sia per una ragione letterale (essendo l’avverbio “fraudolentemente” riferito solo all’intercettazione), sia per una ragione squisitamente logico-giuridica, dacché l’impedire e l’interrompere concretano già di per sé fatti più gravi dell’intercettare. Non a caso è ravvisabile nella repressione penale delle condotte da ultimo analizzate una diversa ratio rispetto a quella sottesa alla condotta captativa: punendo l’intercettazione, si tutela il bene della riservatezza delle comunicazioni, mentre sanzionando interruzione e impedimento si protegge il diverso bene del buon funzionamento e della regolarità delle tecnologie telematiche. Si parla in tal caso anche di “sicurezza del sistema telematico”, dovendosi intendere per essa l’attitudine o la capacità o l’idoneità tecnica a diffondere e veicolare comunicazioni tra più soggetti non solo in condizioni di effettiva affidabilità e di sostanziale fedeltà quanto ai contenuti e alla destinazione dei messaggi, ma anche secondo modalità tali da precludere che il circuito liberamente attivato e controllato dai soggetti, che di tale sistema si avvalgono, possa essere in qualche modo alterato, violando il rapporto fiduciario con il gestore della rete[27]. Senza dimenticare che, anche se ogni singolo sistema non disponesse affatto di misure di sicurezza contro intrusioni umane o contro quelle di programmi maliziosi (controllati da remoto), pur non essendovi gli estremi dell’art. 615-ter aggravato, potrebbe ciononostante configurarsi il reato di danneggiamento informatico di cui all’art. 635-bis (danneggiamento di informazioni, dati e programmi informatici) e 635-quater c.p. (danneggiamento di sistemi informatici o telematici), sempre in concorso con il delitto di cui all’art. 615-quinquies c.p.[28]Per quel che concerne poi la protezione dei dati personali (privacy), è opportuno aggiungere che, in via del tutto residuale, quale delitto configurabile solo ove non fossero realizzate le fattispecie criminose più gravi sopra analizzate (cosa però molto difficile da ipotizzare), si potrebbe pensare al trattamento illecito di dati personali previsto dall’art. 167 del D.lgs. 196/2003 e succ. modif. (recante il “Codice in materia di protezione dei dati personali”), purché ne ricorrano tutti gli elementi di tipo oggettivo e soggettivo e cioè:Ø in virtù del principio di sussidiarietà (stante la clausola di riserva “salvo che il fatto costituisca più grave reato”), non devono esser stati realizzati, come già anticipato, reati più gravi;Ø violazione di specifiche disposizioni del D.lgs. 196 cit. (“etero-integrazione” normativa), per es. dell’art. 23, che prevede la liceità del trattamento dei dati solo in caso di consenso preventivo, espresso e informato al trattamento da parte dell’interessato;Ø dolo “specifico” (scopo di profitto, proprio o altrui, o di altrui danno);Ø verificazione del “nocumento” quale condizione obbiettiva di punibilità (v. art. 44 c.p.) e da considerarsi come apprezzabile vulnus (lesione ingiusta) di tipo patrimoniale o non patrimoniale arrecato alla vittima dell’illecito trattamento[29].Per certi aspetti, sempre in materia di privacy, potrebbe assumere precipua rilevanza il reato contravvenzionale di cui all’art. 169 del D.Lgs. 196 cit., che punisce chiunque omette di adottare le “misure minime di sicurezza” (v. nota 5, ult. periodo della presente trattazione) per la protezione dei dati personali. Stavolta però la disposizione mira a stigmatizzare e dunque a punire la condotta del legittimo gestore/proprietario della WLAN, che non abbia adottato o abbia adottato malamente (in spregio alla legge) le cautele strettamente necessarie per ridurre al minimo i rischi di perdita e/o distruzione di dati personali ovvero di accesso abusivo agli stessi ovvero ancora di trattamento illecito e/o non conforme dei medesimi.Infine meritano un cenno altre condotte che non si concretano propriamente in attacchi alla rete, ai sistemi presenti in essa e ai dati che essi trattano, elaborano e conservano in memoria. Ci si riferisce in particolar modo alle ipotesi in cui l’attacker sfrutti le potenzialità della WLAN per effettuare lo “scarico” (download) o il “carico” (upload) e quindi la messa a disposizione (o in condivisione) di materiale protetto da copyright attraverso i programmi e le piattaforme digitali di file-sharing (es. eMule, eDonkey, Kazaa etc.). Possono ravvisarsi, a seconda delle attività concretamente poste in essere, gli estremi dei seguenti reati:- art. 171, comma 1, lett. a-bis), della l. 633/1941 e succ. modif., che punisce con la multa chiunque senza averne diritto, a qualsiasi scopo e in qualsiasi forma “mette a disposizione del pubblico, immettendola in un sistema di reti telematiche, mediante connessioni di qualsiasi genere, un'opera dell'ingegno protetta, o parte di essa”;- art. 171-ter, comma 2, lett. a-bis), della l. 633 cit., che punisce con la reclusione e con la multa chiunque a fini di lucro[30] “comunica al pubblico immettendola in un sistema di reti telematiche, mediante connessioni di qualsiasi genere, un'opera dell'ingegno protetta dal diritto d'autore, o parte di essa”.Per siffatti reati, ferme le sanzioni penali, sono altresì applicabili le sanzioni amministrative pecuniarie previste ex art. 174-bis della l. 633 cit., cui si rinvia.Le sanzioni previste nei delitti di cui sopra si applicano quando il fatto non costituisce reato più grave previsto dal codice penale o da altre leggi (v. art. 173 della l. 633 cit.). Ci si riferisce in particolar modo al reato previsto dall’art. 600-ter, comma 3, che punisce chiunque per via telematica distribuisce, divulga, diffonde o pubblicizza materiale pedo-pornografico ovvero distribuisce o divulga notizie o informazioni finalizzate all'adescamento o allo sfruttamento sessuale di minori degli anni diciotto. Trattasi di delitto contro la personalità individuale, ove bene/valore giuridico protetto è la dignità, la libertà personale e il normale sviluppo psico-fisico ed etico del minore degli anni diciotto.Ex art. 600-quater c.p. è punibile anche, quale reato “ostativo”, l’attività di mero download di materiale pedo-pornografico, trattandosi di attività prodromica rispetto alle più gravi condotte di distribuzione, divulgazione, diffusione e pubblicizzazione online di materiale pornografico minorile. L’art. 600-quater c.p. si applica al di fuori delle ipotesi previste dall’art. 600-ter c.p. E’ esclusa dunque qualsivoglia forma di concorso di reati, restando la condotta sanzionata ex art. 600-quater c.p. assorbita nella più grave prevista ex art. 600-ter c.p.
4. Contromisure
A fronte delle minacce e delle vulnerabilità che un rete wireless presenta e a fronte altresì del rischio che il legittimo proprietario/gestore della medesima venga scambiato per “pirata” informatico o spammer o pedofilo telematico etc., è per forza di cose indispensabile adottare determinate contromisure sia di tipo logico-informatico, sia di tipo “fisico”, per mettere in sicurezza la rete, i sistemi ad essa connessi e i dati che essi gestiscono.
Di seguito una sorta di policy (seppur senza la pretesa di esser esaustiva) per un corretto e sicuro utilizzo di una rete wireless[31].·
E’ buona norma (anche se a prima vista risulta un po’ banale) disattivare i dispositivi senza fili dopo l’orario di lavoro o d’ufficio ovvero in tutti i casi in cui la rete wireless non serva più. Se la rete è spenta, l’attacker non avrà modo di penetrarvi.· E’ assolutamente necessario cambiare le password di default dell’access point, soprattutto la password di amministratore (talora essa è “admin” oppure “wireless”!), inserendone una più robusta e dunque più lunga e complessa. Va cambiato anche l’indirizzo IP dell’access point, in genere predefinito dalla casa costruttrice e, come tale, facilmente, individuabile.· Si ricordi che la rete wireless ha un proprio identificativo, che viene denominato SSID (acronimo per “Service Set IDentifier”). Ogni scheda wireless deve poter “riconoscere” tale codice per potersi collegare alla rete. Tuttavia riconoscerlo è relativamente semplice in quanto esso, anche in tal caso, è impostato di default ed è costituito dalla denominazione o ditta dell’impresa costruttrice! Di conseguenza il SSID è facilmente reperibile dal wardriver e pertanto va cambiato, personalizzandolo, pur sempre senza utilizzare le proprie generalità o la denominazione della propria azienda.· Fondamentale è il controllo degli accessi alla rete attraverso il codice MAC (acronimo per “Media Access Control”). Gli access point possono infatti essere impostati in modo tale da accettare connessioni esclusivamente da schede di rete che hanno un certo MAC address. Trattasi di un vero e proprio indirizzo hardware e quindi fisico e anzi il sistema di controllo può essere reso più efficiente creando una vera e propria lista di indirizzi IP “statici” predeterminati e autorizzati. A ciò si aggiunga, come ulteriore ostacolo per il wardriver, la disabilitazione del DHCP (acronimo per “Dynamic Host Configuration Protocol”), protocollo di assegnazione di indirizzi IP ai sistemi che interagiscono in una rete. Certo trattasi di un sistema snello e che semplifica notevolmente gli adempimenti dell’amministratore di rete (che pertanto non è costretto a operare “manualmente”), però è al contempo molto rischioso per una WLAN. Pertanto esso potrebbe essere lasciato per la LAN, ma disabilitato per la wireless e per quest’ultima si dovrebbe tornare all’assegnazione manuale degli IP.· Seppur non costituisca il massimo della protezione, bisogna quanto meno tutelare i dispositivi wireless e le comunicazioni con il protocollo crittografico WEP (acronimo per “Wired Equivalent Privacy”), che rappresenta comunque un ostacolo per i malintenzionati e che va settato al massimo livello di cifratura possibile (di solito a 128 bit). Meglio sarebbe utilizzare il protocollo WPA (acronimo per “Wi-Fi Protected Access”). Anche tale standard, perché possa esser sempre più sicuro, sta però subendo un’evoluzione. Attualmente viene implementata la versione WPA-2 in grado di supportare algoritmi di cifratura a livello AES (acronimo per “Advanced Encryption Standard”[32]). Esistono due importanti varianti del WPA-2 e precisamente: il WPA(2)-Personal, che utilizza il metodo PSK (acronimo per Pre Shared Key) a chiave condivisa[33] e il WPA(2)-Enterprise, in cui è presente un server di autenticazione dei singoli client connessi e abilitati ed è dunque preferibile per WLAN di medio-grandi dimensioni.· Misure di sicurezza logiche vanno istallate e ben configurate anche sui singoli client della WLAN, sia per adempiere a specifici obblighi di legge (per es. agli obblighi di sicurezza in materia di data-protection, v. art. 169 del D.lgs. 196/2003 cit.), sia per rendere più sicuri rete e sistemi dai rischi, dalle minacce e dagli attacchi analizzati nel paragrafo precedente. Quindi devono sempre esser presenti e aggiornati i firewall, gli anti-virus, gli anti-spyware e possibilmente gli IDS e gli IPS. La crittografia dei files e degli archivi del disco rigido (filesystem) è certamente buona cosa, anche se le prestazioni degli elaboratori potrebbero subire sensibili rallentamenti. Inoltre un apposito firewall può essere adottato per separare la rete LAN da quella WLAN· Non è da sottovalutare nemmeno qualche accorgimento di tipo “fisico”. Per es. è utile collocare l'access point il più lontano possibile dai muri esterni e, se possibile, “schermarlo” almeno verso la direzione (orizzontale, ma anche verticale), che al gestore della rete non interessa coprire[34].·
Non concerne molto la tematica della sicurezza delle reti wireless, ma va fatto un accenno agli obblighi di legge prescritti per i gestori dei cc.dd “hotspot”, ossia di quegli access point offerti al pubblico in strutture quali aeroporti, biblioteche, parchi pubblici o anche alberghi. Si allude ovviamente alla l. 155/2005, rubricata come “Misure urgenti per il contrasto al terrorismo internazionale”.
Orbene il Decreto del Ministro dell'interno del 16 agosto 2005 (recante le “Misure di preventiva acquisizione di dati anagrafici dei soggetti che utilizzano postazioni pubbliche non vigilate per comunicazioni telematiche ovvero punti di accesso ad Internet utilizzando tecnologia senza fili, ai sensi dell'articolo 7, comma 4, del decreto-legge 27 luglio 2005, n. 144, convertito, con modificazioni, dalla legge 31 luglio 2005, n. 155”), all’art. 4 stabilisce che «I soggetti che offrono accesso alle reti telematiche utilizzando tecnologia senza fili in aree messe a disposizione del pubblico sono tenuti ad adottare le misure fisiche o tecnologiche occorrenti per impedire l'uso di apparecchi terminali che non consentono l'identificazione dell'utente, ovvero ad utenti che non siano identificati secondo le modalità di cui all'art. 1». E l’art. 1 obbliga i titolari o gestori di un esercizio pubblico o di un circolo privato di qualsiasi specie nel quale sono poste a disposizione del pubblico, dei clienti o dei soci, apparecchi terminali utilizzabili per le comunicazioni, anche telematiche, esclusi i telefoni pubblici a pagamento abilitati esclusivamente alla telefonia vocale, a:
a) adottare le misure fisiche o tecnologiche occorrenti per impedire l'accesso agli apparecchi terminali a persone che non siano preventivamente identificate con le modalità di cui alla successiva lettera b);
b) identificare chi accede ai servizi telefonici e telematici offerti, prima dell'accesso stesso o dell'offerta di credenziali di accesso, acquisendo i dati anagrafici riportati su un documento di identità, nonché il tipo, il numero e la riproduzione del documento presentato dall'utente.Il gestore deve dunque preventivamente identificare il cliente e fotocopiarne un documento d’identità, salvo sempre l’obbligo di impedire l’accesso a clienti non identificati.
Trattasi di una prescrizione particolarmente gravosa e di difficile realizzazione, soprattutto in spazi ampi e aperti come aeroporti e parchi pubblici. Più facile realizzare quanto richiesto dalla legge nelle attività ricettive come gli alberghi[35].5. ConclusioniNon v’è dubbio che la tecnologia wireless presenti oggi enormi vantaggi sia per le persone che per le imprese e le istituzioni pubbliche: semplicità di installazione, qualità del servizio, interoperabilità (grazie a protocolli standard, che rendono indifferente il tipo di apparato o il fornitore del servizio), mobilità (possibilità di agire in nome e/o per conto di un’azienda da remoto grazie alle MAN e alla WiMAX, con annessa facoltà di controllare, in qualsiasi luogo ci si trovi, il proprio account di posta elettronica), alternativa alla tecnologia ADSL e riduzione del “digital divide”, servizi e connessione ad alta velocità anche per apparecchi mobili diversi dai laptop o dai notebook (per es. cellulari e PDA), graduale riduzione dei costi. Non va però dimenticato il rovescio della medaglia: la sicurezza e la privacy all’interno di una rete wireless costituiscono sempre beni “esposti”, molto più che non in una rete cablata e conseguentemente devono essere adeguatamente protetti, al fine di evitare:- intrusioni nella WLAN da parte di soggetti non autenticati o non autorizzati;- violazione della riservatezza dei dati personali e di altri dati “critici” di un’organizzazione (segreti industriali, progetti di marketing, piani di business, progetti di fusione tra società o di acquisizione di quote azionarie etc.);- cancellazione, distruzione, alterazione, modificazione, falsificazione di file e documenti contenuti in archivi e banche-dati informatici;- istallazione di malware d’ogni tipo, come keylogger, trojan, rootkit, bot-zombies da sfruttare per attacchi DoS (dentro e fuori la WLAN);- l’uso più in generale per scopi illegali, immorali e discutibili: dowload/upload di file audio e video coperti da copyright o, peggio, di materiale pedo-pornografico; azioni verso l’esterno della rete come invio di messaggi spamming;Infine non va dimenticato che il proprietario legittimo rischia seriamente di subire procedimenti penali (o civili per danni) per fatti che in realtà egli non ha commesso o non ha consapevolmente agevolato o favorito. Per fare un esempio che fa comprendere ictu oculi quanto testé (e anche in precedenza) asserito, si pensi allo spamming. Orbene l’intruso, una volta penetrato nella WLAN, potrebbe non trovare ostacoli o soverchie difficoltà ad accedere abusivamente nei sistemi ad essa connessi. Una volta penetrato in essi, potrebbe violare gli archivi di Outlook o di Outlook Express o del WAB (acronimo di “Windows Address Book”) e recuperare tutti gli account dei principali interlocutori del gestore della WLAN (si pensi ad amici, parenti, clienti, fornitori etc.). Recuperati gli indirizzi mail, diviene poi facile inondare le rispettive mail-box di messaggi spam oppure di Hoax, falsi allarmi o “catene di sant’Antonio”. A prima vista però lo spammer risulterà il legittimo utilizzatore, che potrebbe subire una denunzia per trattamento illecito di dati personali[36] o una citazione in giudizio per risarcimento del danno patrimoniale e morale (v. art. 15 del D.lgs. 196/2003). Non solo. In caso di richiesta di registrazione del nome a dominio da parte di un’azienda, la Registration Authority italiana sottopone al titolare, tra i moduli che egli deve compilare e firmare, anche una “lettera di assunzione di responsabilità” e alla Regola 8 dell’Allegato 1 alla lettera di assunzione di responsabilità (rubricato come “Netiquette”) è espressamente previsto il divieto di “inviare tramite posta elettronica messaggi pubblicitari o comunicazioni che non siano state sollecitate in modo esplicito”[37]. Aggiungasi che sono valide pleno iure le clausole che molti ISP e società di gestione di servizi telefonici e telematici inseriscono nei contratti di utenza per la fornitura di servizi online (accesso alla rete, contratti di hosting o di housing, posta elettronica…), con le quali i suddetti si riservano il diritto potestativo di recedere dal contratto o comunque di risolverlo unilateralmente in caso di invio di comunicazioni a carattere commerciale senza preventivo consenso. La dottrina prevalente non qualifica tali clausole come vessatorie (e dunque sono sottratte alla disciplina di cui all’art. 1342 c.c. per i rapporti tra pari), né abusive (e dunque sono sottratte alla disciplina di cui all’art. 1469-bis e ss. c.c. per i rapporti in cui sia parte un “consumatore”). Tale prassi a oggi risulta avallata anche dal legislatore: infatti l’art. 70, comma 5, del D.Lgs. 259/2003 (cd. “Codice delle comunicazioni elettroniche”) stabilisce che “l’utente finale che utilizzi, o dia modo ad altri di utilizzare il servizio per effettuare comunicazioni o attività contro la morale o l’ordine pubblico o arrecare molestia o disturbo alla quiete privata, decade dal contratto di fornitura del servizio, fatta salva ogni altra responsabilità prevista dalle leggi vigenti”. Insomma un ignaro proprietario di una WLAN rischia sul serio di restare senza connessione, senza rete, senza possibilità di esercitare la propria attività commerciale! Salvo poi dimostrare in giudizio che è assolutamente estraneo agli illeciti posti in essere, pur tuttavia accusando una certa qual perdita di immagine e di reputazione.Diviene così vitale adottare accorgimenti, cautele e misure di sicurezza, che da una parte aiutano a tutelare il proprio lavoro, la propria attività, il proprio patrimonio, la propria privacy, dall’altra consentono di adempiere a specifici obblighi di legge e di evitare travisamenti e processi di kafkiana memoria, nei quali ci si troverebbe coinvolti senza sapere il perché. D’altronde prevenire è sempre meglio che curare, ma per prevenire è necessario un continuo e tenace sforzo verso la scienza, l’esperienza, la conoscenza, l’applicazione: «Nihil sine magno labore vita dedit mortalibus»[38].
SOME RIGHTS RESERVED
Opera coperta da licenza CC: http://creativecommons.org/licenses/by-nc-sa/2.5/it/-->

[1] Per avere una visione più completa degli standard e delle tecnologie wireless, cfr. http://it.wikipedia.org/wiki/IEEE_802.11, con le relative tabelle e i link di riferimento.Si ricordi che esistono (sebbene siano meno diffusi) dispositivi wireless a “raggi infrarossi” e al “laser”. La radiazione infrarossa (IR) è una radiazione elettromagnetica dotata di una frequenza inferiore a quella della luce visibile, ma superiore a quella delle onde-radio. “LASER” è invece l’acronimo di “Light Amplification by the Stimulated Emission of Radiation” (in italiano “Amplificazione di Luce tramite Emissione Stimolata di Radiazione”) e siffatta tecnologia si basa su dispositivi in grado di emanare un fascio di luce monocromatico, coerente e notevolmente luminoso, nonché molto potente e unidirezionale. Per saperne di più, cfr. http://it.wikipedia.org/wiki/Laser[2] Non a caso la WiMAX rappresenta un ottimo strumento per ridurre il “digital divide” in un Paese come il nostro, ricco di montagne e colline. A causa di tale particolare conformazione territoriale, l’arrivo della banda larga tradizionale (diffusa attraverso i cavi ADSL) è stato ritardato e, in molti Comuni, addirittura esso non è stato possibile. Secondo i dati forniti dal Ministero delle Comunicazioni al momento dell’assegnazione delle frequenze nel febbraio del 2008, circa 4 milioni di italiani, residenti in oltre 2.000 comuni, non avevano accesso alla banda larga (fonte: http://canali.kataweb.it/kataweb-guide-internetmobile/2008/12/03/regole/). Per ricevere il segnale WiMAX è necessario l’uso di speciali modem radio, in alcuni casi collegati ad antenne presenti sui tetti degli edifici oppure sui campanili o appositi tralicci o torrette (più si trovano in alto e più le antenne, come è ovvio che sia, garantiscono una ricezione chiara e “pulita” del segnale).Tuttavia, se da una parte la WiMAX dimostra la sua evidente utilità per la società civile, dall’altra è esposta, come tutte le reti wireless (lo si analizzerà meglio di seguito) a notevoli rischi per gli abusi che potrebbe comportare il suo utilizzo, con grave compromissione della sicurezza delle trasmissioni di dati e informazioni da essa consentite.[3] Acronimo per “Universal Mobile Telecommunications System”, tecnologia di telefonia mobile di “terza generazione”, che ha sostituito il GSM (cfr. http://it.wikipedia.org/wiki/Umts).[4] Il VOIP è un particolare protocollo di comunicazione che consente di effettuare chiamate attraverso Internet, spendendo unicamente il costo della connessione. In buona sostanza, la voce di chi chiama viene elaborata come una qualsiasi altra informazione e trasferita via cavo al computer del destinatario. Pertanto due o più computer connessi possono comunicare tra loro in modo assolutamente “gratuito”, ma si possono effettuare anche chiamate a telefoni fissi godendo di tariffe agevolate, soprattutto nel caso di chiamate internazionali. In tal senso uno dei software più diffusi è Skype, che conta ormai circa 400 milioni di iscritti (fonte: http://canali.kataweb.it/kataweb-guide-internetmobile/2008/11/24/myspace/).[5] Nel nostro ordinamento esiste una definizione di autenticazione. Precisamente essa è presente nell’art. 4, comma 3, lett. c), del D.Lgs. 196/2003 (“Codice in materia di protezione dei dati personali”), ove per autenticazione si intende “quell’insieme di strumenti elettronici e di procedure per la verifica anche indiretta dell’identità”. Un’altra definizione di autenticazione è offerta dall’art. 1, lett. b) del D.Lgs. 82/2005 e succ. modif., c.d. “Codice delle amministrazioni digitali”, ai sensi del quale l’autenticazione consiste nella “validazione dell’insieme di dati attribuiti in modo esclusivo ed univoco ad un soggetto, che ne distinguono l’identità nei sistemi informativi, effettuata attraverso opportune tecnologie anche al fine di garantire la sicurezza dell’accesso”. Modi diversi per descrivere un procedimento automatico di riconoscimento o identificazione del soggetto che accede a un sistema, computer o elaboratore, per effettuare un trattamento di dati e cioè per porre in essere concrete operazioni sugli stessi, in virtù dei privilegi o diritti attribuitigli. In materia di data-protection, l’autenticazione costituisce “misura minima di sicurezza” ai sensi e per gli effetti di cui agli artt. 33, 34 e 169 del D.Lgs. 196/2003 cit., cui si rinvia.[6] Ai sensi dell’art. 4, comma 3, lett. d) del D.Lgs. 196/2003, per "credenziali di autenticazione" si devono intendere i dati ed i dispositivi, in possesso di una persona, da questa conosciuti o ad essa univocamente correlati, utilizzati per l'autenticazione informatica. Le credenziali possono essere di vari tipi e comunque raggruppabili in talune grandi categorie:- credenziali basate su “qualcosa che si sa”, come per es. una password, un codice d’accesso, un PIN etc.;- credenziali basate su “qualcosa che si ha”, vale a dire su dispositivi “fisici” quali smart-card e token, eventualmente associati a password o codici di attivazione, ovvero (più recentemente) dispositivi RFId, che consentono la localizzazione e l’identificazione di un soggetto attraverso le radio-frequenze;- credenziali basate su “qualcosa che si è”, in particolare le informazioni biometriche (impronta digitale, retina, iride, geometria della mano o del volto, riconoscimento vocale etc.), raccolte attraverso la procedura di enrollment (registrazione) e poi trattate opportunamente con strumenti elettronici e tradotte, grazie a speciali algoritmi, in template (rappresentazione “compressa” in forma matematica del dato grezzo), quindi archiviate su smart-card o su banche-dati centralizzate, che permetteranno l’identificazione attraverso il confronto tra dato grezzo e dato registrato (matching).Si ricordi che anche le credenziali biometriche possono essere associate a password e altri codici identificativi. Esse offrono certamente un elevato livello di sicurezza per il controllo degli accessi logici e fisici, soprattutto in aree ad alto rischio (per es.: archivi militari o nei quali è custodita documentazione coperta da segreto di Stato o da segreto industriale e/o scientifico; locali in cui sono ricoverati backup aziendali o si trovano i CED; magazzini aeroportuali; banche-dati genetiche; casellario giudiziale; luoghi “sensibili” esposti a pericolo di attentati). Tuttavia il trattamento di dati biometrici pone seri problemi di privacy (furti d’identità, continua localizzazione e/o tracciamento dei movimenti) e non a caso il Garante per la protezione dei dati personali è intervenuto più volte in materia, sia con provvedimenti a carattere generale, che con provvedimenti mirati, emanati anche a seguito di interpello da parte di Titolari del trattamento. Certo è che si tratta di trattamenti di dati personali che comportano rischi specifici per i diritti e le libertà fondamentali, nonché per la dignità dell'interessato. Come tali sono soggetti, tra gli altri, agli obblighi di verifica preliminare e di notificazione ai sensi rispettivamente degli artt. 17, comma 2, e 37, comma 1, lett. a), del D.lgs. 196/2003 cit. Ex plurimis, cfr. i provvedimenti del 21 luglio 2005 (http://www.garanteprivacy.it/garante/doc.jsp?ID=1150679), del 27 ottobre 2005 (http://www.garanteprivacy.it/garante/doc.jsp?ID=1185160) e del 23 novembre 2005 (http://www.garanteprivacy.it/garante/doc.jsp?ID=1150679). Più di recente, cfr. i provvedimenti dell’8 novembre 2007 (http://www.garanteprivacy.it/garante/doc.jsp?ID=1461908) e del 19 giugno 2008 (http://www.garanteprivacy.it/garante/doc.jsp?ID=1532480). Interessante anche la Newsletter del 12 febbraio 2008 (http://www.garanteprivacy.it/garante/doc.jsp?ID=1487892). Senza dimenticare il c.d. “Decalogo sul corpo” (http://www.garanteprivacy.it/garante/doc.jsp?ID=1277433). Problemi simili esistono anche per l’identificazione a radio-frequenza (cfr. il provvedimento a carattere generale del 9 marzo 2005 sulle garanzie per l’uso delle “etichette intelligenti”).[7] Acronimo per “Global Positioning System”, sistema di posizionamento satellitare.[8] Cfr. in tal senso “Wardriving: cos’è?” di A.D’Agostini, reperibile all’URL http://consulentelegaleinformatico.it/approfondimentidett.asp?id=162. L’Aut. fa giustamente notare che il wardriving a volte è del tutto involontario e a maggior ragione privo di rilevanza penale: infatti spesso quando si accende un computer portatile che supporti tecnologia wireless, questo automaticamente riconosce e avverte l’utente che nella zona ci sono una o più reti wireless e indica se le stesse reti sono libere o protette. Di conseguenza, in siffatte ipotesi, nessun soggetto umano interagisce con la rete wireless e le informazioni che si ricevono sono il risultato di un colloquio fra macchine. A volte, continua l’Aut., succede che le reti wireless aperte, quando interrogate da un computer, assegnino addirittura automaticamente un numero IP alla macchina, accreditandola così presso di sé: anche in tal caso la responsabilità penale non sussiste.[9] In tal senso cfr. P.GALDIERI, “Teoria e pratica nell’interpretazione del reato informatico”, p. 116[10] Cfr. in tal senso P.SCOGNAMIGLIO, “Criminalità informatica (Commento organico alla Legge 18 marzo 2008, n. 48)”, Edizioni Giuridiche Simone, 2008, p. 64.[11] Considerazioni analoghe sul profilo soggettivo valgono anche per il delitto di accesso abusivo a sistema informatico e telematico, previsto dall’art. 615-ter c.p. (anche di ciò si darà conto nel prosieguo della trattazione).[12] Si ricordi che l’art. 5 della legge 547/1993 (recante le “Modificazioni ed integrazioni alle norme del codice penale e del codice di procedura penale in tema di criminalità informatica”) ha sostituito il comma 4 dell’art. 616 c.p., ai sensi del quale oggi, ai fini della configurabilità dei reati contro la riservatezza della corrispondenza e delle comunicazioni, per “corrispondenza” si intende quella epistolare, telegrafica, telefonica, informatica o telematica, ovvero effettuata con ogni altra forma di comunicazione a distanza.[13] Si ricordi che il reato di accesso abusivo a sistema informatico postula che il sistema sia “protetto da misure di sicurezza” e che l'agente, per accedervi, abbia in qualche modo neutralizzato tali misure (es. qualora abbia bypassato o forzato il firewall, tipico software anti-intrusione). In tal senso cfr. Cass., Sez. V Pen., sent. 4 dicembre 2006 (dep. 15 febbraio 2007), n. 6459/2007 (2122/2007), consultabile all’URL http://www.penale.it/page.asp?mode=1&IDPag=429. Conforme a Cass., Sez. VI. Pen., sent. 27 ottobre 2004 (dep. 30 novembre 2004), n. 46509, consultabile all’URL http://www.penale.it/page.asp?mode=1&IDPag=174.[14] Si è già accennato al fatto che nel delitto di accesso abusivo sono del tutto irrilevanti le finalità per le quali esso è stato perpetrato, trattandosi di reato a dolo generico. Di per sé allora anche la semplice curiosità dovrebbe esser sufficiente ai fini della configurabilità della fattispecie, ma in senso contrario cfr. Tribunale Penale di Nola, sentenza del 11.12.2007, consultabile all’URL http://www.iussit.eu/index.php?option=com_content&task=view&id=329&Itemid=28.[15] La pena prevista per il delitto di accesso abusivo semplice è la reclusione da uno a tre anni. Il massimo edittale è portato a cinque se ricorrono le aggravanti di cui al secondo comma dell’art. 615-ter c.p., tra le quali quella di cui al n° 3, ravvisabile nei casi in cui dal fatto derivi la distruzione o il danneggiamento del sistema o l'interruzione totale o parziale del suo funzionamento, ovvero la distruzione o il danneggiamento dei dati, delle informazioni o dei programmi in esso contenuti.[16] Sull’ammissibilità del concorso tra i due reati, cfr. Cassazione, Sez. VI Pen., sent. 4 ottobre - 14 dicembre 1999, n. 3067, consultabile all’URL http://www.ictlex.net/?p=883. L’art. 640-ter c.p. punisce “Chiunque, alterando in qualsiasi modo il funzionamento di un sistema informatico o telematico o intervenendo senza diritto con qualsiasi modalità su dati, informazioni o programmi contenuti in un sistema informatico o telematico o ad esso pertinenti, procura a sé o ad altri un ingiusto profitto con altrui danno”. L’agente, dopo essere acceduto al sistema e dopo averne violato gli archivi, in cui fossero memorizzate, senza cifratura, informazioni estremamente delicate (password o codici PIN oppure codici dispositivi per effettuare pagamenti online) può per es. appropriarsi dei codici d’accesso all’account bancario della vittima e procedere così al trasferimento online, con bonifico a proprio favore (il meccanismo è simile a quello degli attacchi phishing): fin troppo chiaro un intervento senza diritto (cioè non autorizzato) su dati e programmi, con profitto di chi opera e con danno di chi subisce l’intervento medesimo.[17] Il concorso di reati potrebbe verificarsi soprattutto nei casi di spionaggio di tipo commerciale e/o industriale: si pensi a un accesso abusivo finalizzato a prender visione e conoscenza degli archivi informatici contenenti dati e informazioni sugli elenchi dei clienti e dei fornitori, sui dipendenti (record medici, cedolini stipendiali…), sulla contabilità, sui know-how (invenzioni non brevettabili), su formule e su particolari procedimenti di produzione o ancora sui segreti industriali. L’attacker potrebbe utilizzare tutto ciò a proprio vantaggio (per es. qualora fosse un imprenditore concorrente dell’azienda i cui database fossero violati oppure in caso di insider o dipendente infedele che “vendesse”, ossia rivelasse dietro compenso, i segreti dell’impresa cui appartiene a imprese concorrenti) o potrebbe farlo per vendetta personale (per es. nel caso di ex-dipendente licenziato), etc. I file o documenti informatici sono pienamente parificati a quelli cartacei in virtù del comma 2 dell’art. 621 c.p., che, ai fini della configurabilità del reato di rivelazione del contenuto di documenti segreti non costituenti corrispondenza, considera “documento” anche qualunque supporto informatico contenente dati, informazioni o programmi. Così come non v’è dubbio che, ai fini della tutela di cui all’art. 623 c.p., anche i segreti scientifici e industriali possono esser contenuti in file e archivi informatici.Sul concetto di “segretezza” delle informazioni aziendali, cfr. l’art. 99 del D.Lgs. 30/2005 e succ. modif. (c.d.“Codice della proprietà industriale”), laddove viene offerta una tutela civilistica (oltre a quella già prevista nel codice penale), con particolare riferimento all’art. 2598 c.c. (concorrenza sleale), sempre che la violazione o lo scorretto e/o illecito comportamento sia stato posto in essere da un altro imprenditore. Senza approfondire troppo la problematica, è qui il caso di ricordare semplicemente che le informazioni aziendali intanto sono oggetto di tutela ai sensi dell’art. 99 cit., in quanto esse siano:Ø segrete, cioè ignote o non facilmente accessibili agli esperti ed operatori del settore;Ø suscettibili di valutazione in termini economici;Ø siano sottoposte a misure di protezione adeguate.Quest’ultimo requisito sembra oltremodo rilevante in relazione a quanto detto sulla possibilità di realizzazione di un concorso tra il reato di cui all’art. 615-ter e quello di cui all’art. 621 (o 623) c.p.[18] Per quel che concerne i delitti contro la fede pubblica, in particolare i delitti di falso, materiale o ideologico, in atto pubblico o scrittura privata, commessi da pubblici ufficiali o incaricati di pubblico servizio e, a certe condizioni e ricorrendo determinati presupposti, anche dai privati, si ricordi che v’è ormai equiparazione tra un documento cartaceo e un documento informatico. Se quest’ultimo ha efficacia probatoria, allora si applicheranno le disposizioni sui delitti di falso concernenti gli atti pubblici o le scritture private, a seconda della natura del file. Il testo attualmente vigente dell’art. 491-bis c.p. è quello derivato dalle modifiche apportate dalla l. 48/2008, che ha ratificato e dato attuazione alla Convenzione del Consiglio d’Europa sulla criminalità informatica (c.d. Convenzione di Budapest) del 23 novembre 2001.[19] Non v’è dubbio che la descritta attività si colora degli estremi di un trattamento illecito di dati personali, consistendo in una rivelazione non autorizzata (senza consenso) di informazioni riservate. Tuttavia è quanto mai opportuno precisare fin da subito che il delitto de quo può aversi solo laddove non sia ravvisabile una fattispecie più grave. A parere di chi scrive il delitto di accesso abusivo, ove il sistema fosse protetto da misure di sicurezza, sarebbe fattispecie prevalente e il trattamento illecito cederebbe in virtù del principio di sussidiarietà. Su tali concetti si tornerà nel prosieguo della trattazione.[20] In tal senso cfr. Cass. Pen. 6459/2007 cit.[21] Cfr. in tal senso Cass., Sez. IV Pen., 13 novembre 2003 (dep. 29 gennaio 2004), n. 3449 (2110/2003), consultabile all’URL http://www.penale.it/page.asp?mode=1&IDPag=24. In effetti, stanti i principi di tassatività e di divieto di analogia vigenti in diritto penale, un dato o un file non costituisce una “res”, ossia una cosa in senso materiale, dotata di corporeità e fisicità.[22] Cfr. in tal senso A.CALICE, “I ‘computer crimes’ nell’ordinamento giuridico italiano: inquadramento sistematico ed efficacia della risposta sanzionatoria”, p. 5 (intervento all’Incontro di studio, organizzato dal C.S.M., sul tema “Criminalità informatica e protocolli investigativi” – Roma, 23-25 gennaio 2006).[23] Il keylogger è un malware particolarmente subdolo (ne esistono anche versioni hardware) capace, una volta introdotto nel sistema (l’infezione avviene in genere attraverso la tecnica “troiana”), di controllare, salvare e trasmettere all’attacker remoto la sequenza di tasti che viene digitata si di una tastiera da un utente. In tal modo è possibile “tracciare” e quindi appropriarsi delle password usate e di altri codici riservati.[24] L’art. 615-quinquies, nella nuova formulazione (come cioè modificato dalla l. 48/2008 cit.), punisce “chiunque, allo scopo di danneggiare illecitamente un sistema informatico o telematico, le informazioni, i dati o i programmi in esso contenuti o ad esso pertinenti ovvero di favorire l’interruzione, totale o parziale, o l’alterazione del suo funzionamento, si procura, produce, riproduce, importa, diffonde, comunica, consegna o, comunque, mette a disposizione di altri apparecchiature, dispositivi o programmi informatici”.[25] DoS è l’acronimo di “denial of service”, lett. “negazione di servizio”. Trattasi di un tipico attacco distruttivo consistente nell’inviare da remoto, attraverso il protocollo di comunicazione TCP/IP, un messaggio artificiale (es. Hello) per stabilire una connessione e istaurare un dialogo col sistema target. Il problema è che viene inviato di continuo un numero elevatissimo di messaggi dello stesso tenore. Pertanto, una volta che il sistema attaccato risponde e si istaura il dialogo, esso è costretto a rispondere contemporaneamente a più messaggi inviati: è costretto cioè a sincronizzarsi con più computer remoti. In realtà però tali computer sono inesistenti perché l’attacker ha modificato l’indirizzo IP di ritorno (tecnica di spoofing). Tuttavia il computer non sa che i sistemi che gli inviano quel messaggio in realtà non esistono e cerca di gestire la comunicazione contemporaneamente con tutti: tenta cioè di rispondere a tutti o quanto meno di fare una scelta tra il dare una risposta o rinunciare. Il sistema target però impiega qualche secondo per effettuare tale scelta e se nel frattempo continuano ad arrivare messaggi (per es., se ne vengono inviati una cinquantina al secondo), esso non sarà più in grado di gestirli, fino a crashare o collassare. Questo tipo di attacco è noto anche come “SYN Flooding”, laddove SYN è l’abbreviazione di “synchronization” (lett. “sincronizzazione”, riferita per l’appunto alle risposte che il sistema target prova a dare ai messaggi che riceve) e “flooding” (lett. “inondare”).[26] Forma di attacco DoS consistente nell’invio di un numero elevatissimo di messaggi di posta elettronica, tale da far collassare la mail-box del destinatario.[27] Cfr. G.CORASANITI, in “Profili penali dell’informatica”, di R.BORRUSO, G.BUONOMO, G.CORASANITI, G.D’AIETTI, Giuffré, Milano, 1994, p. 120.[28] L’art. 635-bis, nella nuova formulazione, così come introdotta dal D.Lgs. 48/2008 cit., punisce chiunque “distrugge, deteriora, cancella, altera o sopprime informazioni, dati o programmi informatici altrui”, mentre l’art. 615-quater c.p. (anch’esso nella nuova formulazione) sanziona la condotta di chi “mediante le condotte di cui all’articolo 635-bis, ovvero attraverso l’introduzione o la trasmissione di dati, informazioni o programmi, distrugge, danneggia, rende, in tutto o in parte, inservibili sistemi informatici o telematici altrui o ne ostacola gravemente il funzionamento”. Esistono anche parallele fattispecie di delitti contro informazioni, dati, programmi e sistemi informatici e/o telematici utilizzati dallo Stato o da altro ente pubblico o comunque di pubblica utilità (v. artt. 635-ter e 635-quinquies c.p.). In ogni caso non può esservi il concorso tra 615-ter c.p. e tutti i sopra visti delitti di danneggiamento, stante per essi la clausola di riserva (“salvo che il fatto non costituisca più grave reato”). Si applicherebbe quindi quale unica norma (perché prevede una sanzione più grave) l’art. 615-ter, comma 2, n°3, c.p. per informazioni, dati, programmi e sistemi “privati” ovvero l’art. 615-ter, comma 3, per quelli “”pubblici” (salvo il difettoso coordinamento tra siffatta disposizione e il comma 2 dell’art. 635-quinquies c.p.).[29] Sul concetto di nocumento come apprezzabile vulnus ed elemento assolutamente necessario ai fini dell’integrazione della fattispecie criminosa di cui all’art. 167 cit., cfr. Cass., Sez. III Pen., sent. 9/7/2004 n. 30134, consultabile all’URL http://www.altalex.com/index.php?idnot=1140.[30] Tra le due fattispecie la differenza (con conseguente inasprimento di pena nella seconda ipotesi) sta nel profilo psicologico: nella prima lo scopo deve essere personale o di profitto latu sensu inteso (anche “morale”), mentre nella seconda è necessario il fine di lucro, da intendersi come guadagno netto, surplus o utile. Lo scopo di lucro è più ristretto dello scopo di profitto, del quale anzi rappresenta solo una particolare manifestazione. Per profitto può intendersi infatti anche il semplice risparmio di spesa o abbattimento di costi e non solo un effettivo guadagno (inteso come differenza netta o saldo “positivo” tra entrate ottenute e spese sostenute).[31] Si consiglia vivamente la lettura del saggio “Miniguida alle reti wireless” a cura di P.ATTIVISSIMO, consultabile all’URL http://www.attivissimo.net/howto/wlan/miniguida_al_wireless.htm.[32] Algoritmo crittografico basato sulla c.d. cifratura simmetrica a blocchi in grado si supportare chiavi da 128 a 256 bit. Per saperne di più, cfr. http://it.wikipedia.org/wiki/Advanced_Encryption_Standard.[33] Tale standard utilizza una chiave segreta condivisa che è stata scambiata precedentemente tra due utenti utilizzando un canale sicuro e si basa su di un algoritmo crittografico a chiave simmetrica (cfr. http://it.wikipedia.org/wiki/Pre-Shared_Key). Il sistema si rivela efficace in caso di numero limitato di utenti (due o poco più) e non è consigliabile per le WLAN aziendali, tanto meno per le MAN. Ad ogni buon conto è sempre meglio utilizzare chiavi ad almeno 16 caratteri alfa-numerici e possibilmente random, per evitare tentativi di “password guessing” (per es. “brute-force attacks” oppure “attacchi a dizionario”).[34] Nella “Miniguida alle reti wireless” cit., l’Aut. consiglia per es. di mettete un foglio metallico fra l'access point e il muro (anche vicino all'access point, a mo’ di paravento): rifletterà il segnale radio e gli impedirà di dirigersi verso l'esterno dell'edificio.[35] La Circolare del Ministero dell'interno n. 557/2005, in riferimento agli obblighi previsti dalla l. 155/2005 cit., nel paragrafo dedicato al D.M. 16 agosto 2005, chiarisce che «gli obblighi di identificazione e registrazione devono essere assolti anche dagli esercenti attività ricettive, laddove vengano offerti alle persone ospitate servizi di connessione alle reti telefoniche e telematiche, anche se gratuiti, ma ciò non esclude che l'identificazione avvenga contestualmente a quella richiesta a norma dell'art. 109 del T.U. delle leggi di P.S.». L’art. 109 T.U.L.P.S. impone l’obbligo di identificazione ai fini di pubblica sicurezza dei clienti delle strutture ricettive, ergo nel caso di uso di apparecchiature wireless da parte del cliente, l’albergatore dovrà procedere a un’ulteriore identificazione.Per ulteriori approfondimenti, si consiglia la lettura di “Internet point, istruzioni per l’uso”, a cura di C.GIUSTOZZI (http://www.interlex.it/attualit/corrado23.htm), e di “Quali obblighi per le attività ricettive?”, a cura di D.COLIVA (http://www.interlex.it/attualit/coliva36.htm).[36] In tal senso, cfr. Comunicato stampa del Garante del 3/09/2003, “Lo spamming a fini di profitto è reato”, consultabile all’URL http://www.garanteprivacy.it/garante/doc.jsp?ID=272444.[37] Per avere una visone completa della modulistica, v. http://www.nic.it/NA/modul.html.[38] Frase tratta dalle “Satire” di Orazio, poeta latino, e che lett. vuol dire: «nulla la vita concede agli uomini senza grande sforzo».

Il divorzio: in Italia ed in Cina

Articolo 05.02.09
Il divorzio nel diritto cinese: confronto con il divorzio italiano

Nell’ordinamento vigente nella Repubblica Popolare Cinese il diritto di famiglia è in massima parte contenuto nelle leggi sul matrimonio, sull’adozione e sulle successioni.La legge sul matrimonio della Repubblica Popolare Cinese è stata approvata il 10 Settembre 1980, emendata il 28 Aprile 2001 sulla base della “Risoluzione sulla riforma della Legge sul matrimonio della Repubblica Popolare Cinese” ed è entrata in vigore il 28 Aprile 2001. Questa legge ha abrogato quella precedente del 1950.In Italia non esiste il divorzio consensuale, che si basi sul mero accordo dei coniugi, ma è necessario l’accertamento giudiziale dell’esistenza dei seguenti presupposti:
a) Impossibilità di mantenere e ricostruire la comunione materiale e spirituale tra i coniugi;
b) Esistenza di una delle cause tassativamente indicate all’art. 3 legge 898/70.
Nell’ordinamento giuridico cinese è previsto e disciplinato il divorzio consensuale. Infatti la suddetta legge sul matrimonio della Repubblica Popolare Cinese all’art. 31 recita espressamente: “Ai coniugi che volontariamente decidono entrambi di divorziare, può essere concesso il divorzio. Le parti devono recarsi all’Ufficio per la Registrazione del Matrimonio per presentare istanza di divorzio. L’Ufficio, verificata la loro effettiva volontà e l’esistenza di appropriate disposizioni in tema di figli e di beni, rilascia il certificato di divorzio.” E’ chiaro quindi, che il divorzio consensuale è concesso non dal Tribunale ma dall’ufficio competente in materia di divorzio consensuale, i cui compiti sono disciplinati dal Regolamento sulla registrazione dei Matrimoni negli artt. 14-19. I coniugi devono presentare, tra l’altro, la Convenzione di divorzio (离婚协议书) che deve contenere la dichiarazione della volontà di entrambe le parti di divorziare, le disposizioni sul mantenimento dei figli, sulle misure di sostegno economico per il coniuge in difficoltà economiche, sulla divisione dei beni di famiglia e sulle obbligazioni contratte.L’Ufficio non può entrare nel merito della Convenzione, ma l’art. 15 del Regolamento sulla registrazione dei matrimoni precisa che “il contenuto della convenzione deve essere a vantaggio della tutela dei legittimi diritti e interessi delle donne e dei figli” (协议的内容应当有利于保护妇女和子女的合法权益).Ai sensi dell’art. 17 del suddetto Regolamento, la mancanza di accordo tra le parti sul mantenimento dei figli o sulle misure di sostegno al coniuge in eventuale stato d’indigenza o sulle disposizioni patrimoniali o sull’adempimento di eventuali obbligazioni contratte durante la vita matrimoniale, è da annoverarsi tra le cause d’impedimento alla presa in esame del caso da parte dell’Ufficio.In caso di disaccordo dei coniugi, se il divorzio è chiesto da uno solo di essi, l’art. 32 della legge sul matrimonio della Repubblica Popolare Cinese, oltre alla possibilità di ricorrere direttamente al Tribunale Popolare, come avviene in Italia, dove la domanda di divorzio si propone mediante ricorso depositato presso la cancelleria del Tribunale territorialmente competente, prevede un istituto sconosciuto all’ordinamento giuridico italiano: la conciliazione extragiudiziale.
La conciliazione extragiudiziale, sebbene non obbligatoria, è estremamente diffusa a causa della tendenza alla composizione delle controversie che prescindono dall’intervento di un organo giudiziario pubblico.Uffici competenti per la conciliazione extragiudiziale possono essere le rispettive unità di lavoro dei coniugi, gli organismi collettivi di massa, gli organismi di conciliazione di base.Il tentativo di conciliazione può avere esito positivo oppure può fallire.In caso di esito positivo si può verificare:1) la riconciliazione dei coniugi con conseguente proseguimento del rapporto coniugale;2) il consenso di entrambe le parti al divorzio e quindi la stesura scritta della convenzione con le disposizioni riguardo ai figli ed alla divisione del patrimonio, per procedere poi al divorzio consensuale presso l’Ufficio per la Registrazione dei matrimoni.Se, invece, il tentativo di conciliazione fallisce, è necessario ricorrere al Tribunale per il divorzio giudiziale.Ai sensi dell’art. 32 della legge sul matrimonio della Repubblica Popolare Cinese, il Tribunale deve procedere al tentativo di conciliazione.La conciliazione in giudizio (诉讼调解) può avere esito positivo o negativo.Nel primo caso può avere per risultato o la riconciliazione dei coniugi o il pieno accordo sulle modalità di divorzio.In quest’ultima ipotesi viene stilato un documento che riporta il contenuto della conciliazione, controfirmato dalle parti, dal giudice e dal personale amministrativo addetto. Esso è vincolante per le parti ed ha efficacia dal momento della conclusione.Se il tentativo obbligatorio di conciliazione fallisce, il Tribunale prosegue il procedimento fino all’emanazione della sentenza che concede o nega il divorzio.L’art. 32 della legge sul matrimonio della Repubblica Popolare Cinese, che prevede che il deterioramento del rapporto affettivo tra i coniugi è causa di giustificazione della richiesta di divorzio, riconosce l’importanza dell’affetto tra i coniugi, rispetto al criterio della mera presenza di una giusta causa (正当理由) di divorzio. Prima dell’introduzione della locuzione 感情破裂 nella legge del 1980 all’art. 25, corrispondente all’attuale emendato art. 32, la giusta causa di divorzio prescindeva dalla dimensione affettiva e sovente poteva essere determinata da ragioni addirittura politiche. Infatti il divorzio poteva essere concesso a chi era costretto a ricorrervi per motivi politici, senza che fossero mutati i propri sentimenti nei confronti del coniuge e poteva, al contrario, essere negato, per esempio, a chi intendeva divorziare dal proprio coniuge avendo una relazione affettiva extraconiugale.Infatti quest’ultima condotta, considerata un cattivo costume, non poteva rappresentare una giusta causa.Nel 1989 la Corte Popolare Suprema ha disciplinato 14 casi da considerarsi indicativi di感情破裂 (tra i quali per esempio i matrimoni per compravendita, i casi di abbandono e maltrattamento, la bigamia, etc.) e quindi tali da consentire l’approvazione di una richiesta di divorzio, una volta fallito il tentativo di mediazione.Gli artt. 33 e 34 della legge sul matrimonio della Repubblica Popolare Cinese prevedono due istituti assolutamente estranei all’ordinamento giuridico italiano: il primo a favore dei militari in servizio ed il secondo a favore delle donne in gravidanza o puerpere entro l’anno dalla nascita del figlio, ovvero delle donne che hanno abortito entro sei mesi dall’aborto.Infatti recita testualmente l’art. 33: “se il coniuge di un militare in servizio chiede il divorzio, deve prima ottenere il consenso da quest’ultimo, salvo il caso di grave colpa del militare stesso”.Questa particolare protezione dei membri dell’Esercito Popolare risale alla legislazione del periodo rivoluzionario. Anche la Legge sul Matrimonio della Repubblica Sovietica Cinese del 1934 all’art. 11 stabiliva “se la moglie di un soldato dell’Esercito rosso chiede di divorziare, deve ottenere il consenso del marito”. Questa regola era prevista anche dall’art. 19 della legge sul matrimonio della RPC del 1950.L’emendamento del 2001, con l’aggiunta dell’ultima frase “salvo il caso di grave colpa del militare stesso”, rimedia ad una situazione che poteva essere in contrasto col principio della libertà di matrimonio, specialmente nei casi di violenza in famiglia esercitata dal militare o nei casi di sua colpa grave.L’art. 34 della legge sul Matrimonio della Repubblica Popolare Cinese recita testualmente: “l’uomo non può chiedere il divorzio mentre la donna è in stato di gravidanza o prima che sia trascorso un anno dal parto, oppure nei sei mesi successivi all’interruzione della gravidanza. Tali limitazioni non si applicano se sia la donna a chiedere il divorzio o se il Tribunale Popolare ritenga che sia effettivamente necessario esaminare nel merito la richiesta di divorzio dell’uomo”. Premesso che nell’ordinamento matrimoniale cinese non esiste l’istituto della separazione legale, confrontando il suddetto art. 34 con le norme sulla separazione personale dei coniugi nel diritto italiano, si osserva che nel nostro ordinamento non esistono analoghe norme di protezione della donna sposata.Di conseguenza, lo stato di gravidanza della moglie, il termine di un anno dal parto e di sei mesi dall’interruzione di una gravidanza, non sono nell’ordinamento giuridico italiano situazioni d’incapacità per il marito a presentare istanza di separazione giudiziale.

Il divorzio: in Italia ed in Cina

Articolo 05.02.09
Il divorzio nel diritto cinese: confronto con il divorzio italiano

Nell’ordinamento vigente nella Repubblica Popolare Cinese il diritto di famiglia è in massima parte contenuto nelle leggi sul matrimonio, sull’adozione e sulle successioni.La legge sul matrimonio della Repubblica Popolare Cinese è stata approvata il 10 Settembre 1980, emendata il 28 Aprile 2001 sulla base della “Risoluzione sulla riforma della Legge sul matrimonio della Repubblica Popolare Cinese” ed è entrata in vigore il 28 Aprile 2001. Questa legge ha abrogato quella precedente del 1950.In Italia non esiste il divorzio consensuale, che si basi sul mero accordo dei coniugi, ma è necessario l’accertamento giudiziale dell’esistenza dei seguenti presupposti:
a) Impossibilità di mantenere e ricostruire la comunione materiale e spirituale tra i coniugi;
b) Esistenza di una delle cause tassativamente indicate all’art. 3 legge 898/70.
Nell’ordinamento giuridico cinese è previsto e disciplinato il divorzio consensuale. Infatti la suddetta legge sul matrimonio della Repubblica Popolare Cinese all’art. 31 recita espressamente: “Ai coniugi che volontariamente decidono entrambi di divorziare, può essere concesso il divorzio. Le parti devono recarsi all’Ufficio per la Registrazione del Matrimonio per presentare istanza di divorzio. L’Ufficio, verificata la loro effettiva volontà e l’esistenza di appropriate disposizioni in tema di figli e di beni, rilascia il certificato di divorzio.” E’ chiaro quindi, che il divorzio consensuale è concesso non dal Tribunale ma dall’ufficio competente in materia di divorzio consensuale, i cui compiti sono disciplinati dal Regolamento sulla registrazione dei Matrimoni negli artt. 14-19. I coniugi devono presentare, tra l’altro, la Convenzione di divorzio (离婚协议书) che deve contenere la dichiarazione della volontà di entrambe le parti di divorziare, le disposizioni sul mantenimento dei figli, sulle misure di sostegno economico per il coniuge in difficoltà economiche, sulla divisione dei beni di famiglia e sulle obbligazioni contratte.L’Ufficio non può entrare nel merito della Convenzione, ma l’art. 15 del Regolamento sulla registrazione dei matrimoni precisa che “il contenuto della convenzione deve essere a vantaggio della tutela dei legittimi diritti e interessi delle donne e dei figli” (协议的内容应当有利于保护妇女和子女的合法权益).Ai sensi dell’art. 17 del suddetto Regolamento, la mancanza di accordo tra le parti sul mantenimento dei figli o sulle misure di sostegno al coniuge in eventuale stato d’indigenza o sulle disposizioni patrimoniali o sull’adempimento di eventuali obbligazioni contratte durante la vita matrimoniale, è da annoverarsi tra le cause d’impedimento alla presa in esame del caso da parte dell’Ufficio.In caso di disaccordo dei coniugi, se il divorzio è chiesto da uno solo di essi, l’art. 32 della legge sul matrimonio della Repubblica Popolare Cinese, oltre alla possibilità di ricorrere direttamente al Tribunale Popolare, come avviene in Italia, dove la domanda di divorzio si propone mediante ricorso depositato presso la cancelleria del Tribunale territorialmente competente, prevede un istituto sconosciuto all’ordinamento giuridico italiano: la conciliazione extragiudiziale.
La conciliazione extragiudiziale, sebbene non obbligatoria, è estremamente diffusa a causa della tendenza alla composizione delle controversie che prescindono dall’intervento di un organo giudiziario pubblico.Uffici competenti per la conciliazione extragiudiziale possono essere le rispettive unità di lavoro dei coniugi, gli organismi collettivi di massa, gli organismi di conciliazione di base.Il tentativo di conciliazione può avere esito positivo oppure può fallire.In caso di esito positivo si può verificare:1) la riconciliazione dei coniugi con conseguente proseguimento del rapporto coniugale;2) il consenso di entrambe le parti al divorzio e quindi la stesura scritta della convenzione con le disposizioni riguardo ai figli ed alla divisione del patrimonio, per procedere poi al divorzio consensuale presso l’Ufficio per la Registrazione dei matrimoni.Se, invece, il tentativo di conciliazione fallisce, è necessario ricorrere al Tribunale per il divorzio giudiziale.Ai sensi dell’art. 32 della legge sul matrimonio della Repubblica Popolare Cinese, il Tribunale deve procedere al tentativo di conciliazione.La conciliazione in giudizio (诉讼调解) può avere esito positivo o negativo.Nel primo caso può avere per risultato o la riconciliazione dei coniugi o il pieno accordo sulle modalità di divorzio.In quest’ultima ipotesi viene stilato un documento che riporta il contenuto della conciliazione, controfirmato dalle parti, dal giudice e dal personale amministrativo addetto. Esso è vincolante per le parti ed ha efficacia dal momento della conclusione.Se il tentativo obbligatorio di conciliazione fallisce, il Tribunale prosegue il procedimento fino all’emanazione della sentenza che concede o nega il divorzio.L’art. 32 della legge sul matrimonio della Repubblica Popolare Cinese, che prevede che il deterioramento del rapporto affettivo tra i coniugi è causa di giustificazione della richiesta di divorzio, riconosce l’importanza dell’affetto tra i coniugi, rispetto al criterio della mera presenza di una giusta causa (正当理由) di divorzio. Prima dell’introduzione della locuzione 感情破裂 nella legge del 1980 all’art. 25, corrispondente all’attuale emendato art. 32, la giusta causa di divorzio prescindeva dalla dimensione affettiva e sovente poteva essere determinata da ragioni addirittura politiche. Infatti il divorzio poteva essere concesso a chi era costretto a ricorrervi per motivi politici, senza che fossero mutati i propri sentimenti nei confronti del coniuge e poteva, al contrario, essere negato, per esempio, a chi intendeva divorziare dal proprio coniuge avendo una relazione affettiva extraconiugale.Infatti quest’ultima condotta, considerata un cattivo costume, non poteva rappresentare una giusta causa.Nel 1989 la Corte Popolare Suprema ha disciplinato 14 casi da considerarsi indicativi di感情破裂 (tra i quali per esempio i matrimoni per compravendita, i casi di abbandono e maltrattamento, la bigamia, etc.) e quindi tali da consentire l’approvazione di una richiesta di divorzio, una volta fallito il tentativo di mediazione.Gli artt. 33 e 34 della legge sul matrimonio della Repubblica Popolare Cinese prevedono due istituti assolutamente estranei all’ordinamento giuridico italiano: il primo a favore dei militari in servizio ed il secondo a favore delle donne in gravidanza o puerpere entro l’anno dalla nascita del figlio, ovvero delle donne che hanno abortito entro sei mesi dall’aborto.Infatti recita testualmente l’art. 33: “se il coniuge di un militare in servizio chiede il divorzio, deve prima ottenere il consenso da quest’ultimo, salvo il caso di grave colpa del militare stesso”.Questa particolare protezione dei membri dell’Esercito Popolare risale alla legislazione del periodo rivoluzionario. Anche la Legge sul Matrimonio della Repubblica Sovietica Cinese del 1934 all’art. 11 stabiliva “se la moglie di un soldato dell’Esercito rosso chiede di divorziare, deve ottenere il consenso del marito”. Questa regola era prevista anche dall’art. 19 della legge sul matrimonio della RPC del 1950.L’emendamento del 2001, con l’aggiunta dell’ultima frase “salvo il caso di grave colpa del militare stesso”, rimedia ad una situazione che poteva essere in contrasto col principio della libertà di matrimonio, specialmente nei casi di violenza in famiglia esercitata dal militare o nei casi di sua colpa grave.L’art. 34 della legge sul Matrimonio della Repubblica Popolare Cinese recita testualmente: “l’uomo non può chiedere il divorzio mentre la donna è in stato di gravidanza o prima che sia trascorso un anno dal parto, oppure nei sei mesi successivi all’interruzione della gravidanza. Tali limitazioni non si applicano se sia la donna a chiedere il divorzio o se il Tribunale Popolare ritenga che sia effettivamente necessario esaminare nel merito la richiesta di divorzio dell’uomo”. Premesso che nell’ordinamento matrimoniale cinese non esiste l’istituto della separazione legale, confrontando il suddetto art. 34 con le norme sulla separazione personale dei coniugi nel diritto italiano, si osserva che nel nostro ordinamento non esistono analoghe norme di protezione della donna sposata.Di conseguenza, lo stato di gravidanza della moglie, il termine di un anno dal parto e di sei mesi dall’interruzione di una gravidanza, non sono nell’ordinamento giuridico italiano situazioni d’incapacità per il marito a presentare istanza di separazione giudiziale.

Il danno esistenziale ... esiste! (revirement della S.C. dopo le SS.UU. 26973 e 26974 del 2008)

Cassazione, Sezione Terza Civile, sentenza n.1343/2009 - (111)
Lavoro,domestico,risarcimento, danni
Commento alla fonte:
http://www.aziendalex.kataweb.it/article_view.jsp?idArt=87378&idCat=457
"il risarcimento del danno non patrimoniale (ora nell'ampia accezione definita dalle Ss UU del 2008 nella parte introduttiva e sistematica) non richiede che la responsabilità dell'autore del fatto illecito sia stata accertata in un procedimento penale o sia stata accertata con una imputabilità soggettiva in esclusiva, ma comprende tutte le fattispecie (inclusa quella del concorso di colpa anche in via di presunzione) corrispondenti alla astratta previsione di una figura di reato (nella specie lesioni colpose da fatto delle circolazioni)."

LA CORTE SUPREMA DI CASSAZIONE
Terza Sezione Civile

Composta dagli Ill.mi Sigg.ri Magistrati:
Dott. Michele Varrone -Presidente-
Dott. Giovanni Battisti Petti - Rel. Consigliere-
Dott. Camillo Filadoro - Consigliere-
Dott. Maurizio Massera - Consigliere-
Dott. Roberta Vivaldi . Consigliere-
Ha pronunciato la seguente
SENTENZA
Sul ricorso 19736-2004 proposto da:
M. S. , elettivamente domiciliato in ROMA, Via Riccardo Grazioli Lante 76, presso lo studio dell'avvocato Iasonna Stefania, rappresentato e difeso dagli avvocati Procaccino Ernesto, Bevilacqua Alfredo, Ferraro Ermanno giusta procura a margine del ricorso;
-ricorrente-
Contro
Sas Pontecorvo di P. V. & C. Assitalia Spa -:
-intimate-
Avverso la sentenza n. 699/2004 della Corte d'appello di Napoli, quarta sezione civile, emessa il 12/02/2004, depositata iil24/02/2004, R.G. 4807/01;
udita la relazione della causa svolta nella pubblica udienza del 03/11/2008 dal Consigliere dott . Giovanni Battista Petti;
udito l'avvocato Giovanni Attingenti (per delega Avv. Ernesto Procaccino, depositata in udienza);
udito il P.M. in persona del Sostituto Procuratore Generale dott. Carlo Destro, che ha concluso per l'accoglimento del ricorso.
SVOLGIMENTO DEL PROCESSO
M. S. , nella veste di conducente di un motociclo, era investita in quel di Anacapri il 2 agosto 1994 da un motofurgone che usciva in retromarcia da uno stretto vicolo per immettersi sulla strada provinciale. Con citazione del 15 aprile 1995 la S. conveniva dinanzi al Tribunale di Napoli la s.a.s. P. V. (proprietaria del veicolo ) e la assicuratrice Assitalia e ne chiedeva la condanna in solido al risarcimento dei danni conseguiti all'incidente provocato dalla imprudenza del conducente del motofurgone.
Il Tribunale, con sentenza del 16 giugno2001, nel contraddittorio tra le parti, condannava le parti convenute in solido al pagamento dei danni, in misura inferiore al chiesto, ma accertava il pari concorso di colpe e poneva le spese di lite nella misura della metà a carico delle convenute.
Contro la decisione proponeva appello la S. sia per l'an che per il quantum debeatur; resistevano le controparti chiedendo il rigetto del gravame.
La Corte di appello di Napoli, con sentenza del 24 febbraio 2004, così decideva: rigetta l'appello conferma la sentenza impugnata e compensa tra le parti le spese del giudizio. Contro la decisione ricorre la S. deducendo tre censure illustrate da memorie; non hanno svolto difese le controparti.
MOTIVI DELLA DECISIONE
Il ricorso merita accoglimento quanto al primo motivo e nei sensi di cui alla presente motivazione devono accogliersi anche il secondo ed il terzo, per le seguenti considerazioni.
Nel primo motivo si deduce «violazione e falsa applicazione degli artt. 2043, 2054, 2697, 2729 c.c., degli artt. 99, 112, 115, 116, 232, 246 c.p.c., e degli artt. 40 e 41 cod. pen. in relazione all'art. 360 n. 3 c.p.c. ed il vizio della motivazione su punto decisivo della controversia, successivamente argomentato (ff 10, 11 del ricorso) con la ricostruzione del fatto dannoso e del nesso causale con le lesioni, tenendo conto del valore della dichiarazione confessoria resa dal conducente del motofurgoncino, delal mancata risposta all'interrogatorio formale del legale rappresentante della società proprietaria di detto automezzo e del deferimento del giuramento decisorio (ud.14 novembre 2002) non valutato dai giudici dello appello, nonché della documentazione medica non contestata.
Il motivo è fondato in punto di vizio della motivazione ed in punto di corretta valutazione del quadro probatorio, da cui emerge chiaramente la responsabilità esclusiva del conducente del motofurgone: ed in verso da un lato F. F. , conducente del moto furgoncino, descrive la propria condotta imprudente di uscite in retromarcia da uno stretto veicolo senza poter controllare il traffico della provinciale,d'altro lato il proprietario del mezzo informato sui fatti evita di rendere l'interrogatorio formale,circostanziato in ordine alle modalità del fatto. Tali elementi, liberamente apprezzabili, in relazione alle circostanze descritte dalla parte danneggiata, concorrono da un lato ad evidenziare l'elevato grado della colpa di chi effettua una manovra a visuale cieca e senza dare la precedenza, e d'altro lato la impossibilità del conducente che sopravviene trovandosi l'improvviso ostacolo da evitare, ed è nella impossibilità di effettuare una manovra adeguata per evitare o ridurre il danno. La corte di appello, per contestare tale quadro, è costretta a sottovalutare il rilievo della mancata risposta all'interrogatorio formale, ad omettere la valutazione del giuramento decisorio, ed infine a considerare inidonea una dichiarazione stragiudiziale chiaramente confessoria, perché proveniente dal conducente, non parte in lite, ma in evidente incapacità ad essere escusso quale teste. Non senza rilevare che tale dichiarazione non risulta contestata dall'impresa, per il suo contenuto descrittivo, ma solo con il rilievo formale che non si tratta di testimonianza asseverata da un giuramento. Resta poi da valutare la documentazione medica non contestata, sulle lesioni conseguenti allo scontro.
L'accoglimento del ricorso, per il vizio della motivazione e per la valutazione delle prove (ai sensi degli artt. 116 e 117 c.p.c) esige dunque un nuovo esame, da parte del giudice del merito che tenga conto di un quadro probatorio che riguarda l'illecito della circolazione e le regole di cuiall'art. 2054 cod. civ. piu' volte precisate da questa Corte, nel senso che la presunzione stabilita dal secondo comma dall'art. 2054 c.c. non configura a carico dei conducenti antagonisti una ipotesi di responsabilità oggettiva, ma una responsabilità presunta da cui essi possono liberarsi dando la prova di aver fatto tutto il possibile per evitare il danno secondale circostanze del caso concreto (cfr. Cass. 29 aprile 2006 n. 10031, cass. 4 febbraio 2002 n. 1432).
Nel secondo motivo si deduce error in iudicando e in procedendo (per la violazione degli artt. 1321, 1322, 2043, 2697 c.c., 99, 112, 115, 116 c.p.c., 35 e 36 della Costituzione, nonché il vizio della motivazione su punto decisivo.
La tesi è che la Corte di appello (ff 11 a 13 della sentenza) non considera la circostanza a prova scientifica della perdita della funzione deambulativi, con conseguente perdita di chances patrimoniali, come documentato in relazione alla vicenda della mancata assunzione quale contabile, da parte della società Nappo.
Sul punto il motivo è fondato per la difettosa motivazione. Ed in vero, il danno per la perdita di chances, sotto il profilo risarcitorio dev'essere ricondotto nell'ambito della bipolarità prevista dal codice vigente, tra danno patrimoniale (2043 cc) e danno non patrimoniale (2059 cc), con la puntualizzazione, ormai acquisita (v. cass. SSUU 11 novembre 2008 n. 6973 che concerne anche deduzione di danno futuro per perdita di chances ff.57 e 58) che il danno non patrimoniale va risarcito non solo nei casi previsti dalla legge , ma anche nei casi di lesione dei valori della persona umana costituzionalmente protetti, tra cui va ricompreso il danno da chance perduta la cui tutela è apprestata dal combinato disposto degli artt. 2, 3, 4, 32, 35 e 36 della Costituzione, tra di loro correlati, posto che nella specie il danno è inerente alla perdita rilevante della capacità lavorativa per la riduzione funzionale della deambulazione.
Il principio che consente di risarcire un danno futuro ed incerto deve essere individuato nel diritto delle vittime al risarcimento totale dei danni, patrimoniali e non patrimoniali, conseguenti alla lesione dei diritti umani fondamentali (tra cui la salute ed il diritto al lavoro,che compete anche alla casalinga) ed in base all'artt. 1223 c.c. interpretato nel senso (accettato dalla migliore dottrina e dalla giurisprudenza cfr. Cass. 1987 n.495; 1985 n. 318 e Cons. stato 20 dicembre 2002) della sua risarcibilità non solo nel caso di assoluta certezza del danno, ma in base ad una fondata e ragionevole previsione del suo prodursi futuro (come è accaduto nell'immediato futuro nel caso di specie).
Il giudice del rinvio è pertanto vincolato al principio di diritto come sopra enunciato.
NEL TERZO MOTIVO si deduce l'error in iudicando ed il vizio della motivazione con riferimento a quattro voci che compongono un complesso danno non patrimoniale (secondo la ricostruzione sistematica unitaria data dalle SS UU civili nelle quattro sentenze del 11 novembre 2008 nn 26972 a nn 26975, cui questa sezione semplice è vincolata e così il giudice di rinvio).
Una prima censura contesta la valutazione del danno biologico nei limiti del 12% , mentre vi era perdita elevata dalla capacità lavorativa in relazione alla deambulazione (ff 28 del ricorso).
Una seconda censura contesta la mancata considerazione della perdita della vita di relazione; una terza contesta la mancata considerazione della claudicanza come danno estetico; una censura prospetta la omessa pronuncia in punto di liquidazione del danno morale che spetta anche in ipotesi di concorso di colpe.
Dette censure sono fondate ad eccezione della seconda che è priva di specificità.
Quanto alla prima censura, occorre ormai fare riferimento alla motivazione sistematica ed unitaria delle citate SS UU del 2008, che confermano la definizione complessa del danno biologico e considerano universale la definizione analitica, proposta dal legislatore negli articoli 138 e 139 del codice delle assicurazioni.
Ovviamente le circostanze relative alle quattro componenti (fisica psichica, interrelazionale interna, relazionale sociale) devono essere provate, le prime due con valutazione medica o medico legale, le seconde due, con prova libera ed anche in via di presunzione.
La corte di appello (ff 13 a 15 della motivazione) non spiega le ragioni del contenimento della valutazione globale del danno biologico, senza tener conto della perdita elevata dalla capacità lavorativa e della perdita della deambulazione. Si tratta di valutazioni scientifiche, che dovevano essere considerate dalla CTU di ufficio o dalla documentazione medica ritualmente prodotta. La motivazione è oscura e la valutazione riduttiva. In relazione alla prima censura, vale dunque il principio affermato dalle SS Unite nella prima parte della motivazione unitaria, secondo cui nella valutazione analitica del danno biologico tutte e quattro le componenti devono essere considerate al fine della stima del valore statico e dinamico (per il danno permanente e le concrete possibilità di aggravamento) e ciò ai sensi dello art. 2059 c.c. costituzionalmente orientato ed inglobante il danno biologico.
In relazione alla seconda censura, si osserva che essa è inclusa, come componente del danno biologico, nella definizione generale contenuta nel codice delle assicurazioni (art. 138 secondo comma e art. 139 secondo comma) ed applicabile al caso di specie (fatto illecito da circolazione) e sul punto è ora vincolante il dictum delle SSUU civili nn.26973 e 26974 del 2008; si tratta tuttavia di una componente che deve essere oggetto di prova, anche in via presuntiva, con deduzione di specifiche circostanze circa la vita di relazione compromessa.
Il motivo di censura è invece del tutto generico e come tale privo di specificità.
La terza censura attiene alla considerazione del danno estetico, che per consolidata giurisprudenza (condivisa dalle citate SU) è da includere nel danno biologico (salvo la ulteriore prova di un danno patrimoniale per talune categorie di persone che utilizzano l'aspetto fisico per ragioni di lavoro); come tale la componente parrebbe essere inclusa nella stima (già insufficiente ed errata) del danno biologico. Sussiste sul punto difetto di adeguata motivazione (cfr. ff 14 della motivazione) e pertanto tale componente dovrà essere riconsiderata nella nuova stima analitica secondo i sopraricordati principi.
La quarta censura attiene infine alla mancata liquidazione del danno morale,che è stata esclusa per effetto della presunzione di colpa.
Anche sul punto, questa Corte, a partire dalle sentenze nn. 7281, 7282 e 7283 del 2003 e successive conformi, afferma un principio generale, applicabile anche alla fattispecie di cui all'art. 2054 c.c. secondo cui il risarcimento del danno non patrimoniale (ora nell'ampia accezione definita dalle Ss UU del 2008 nella parte introduttiva e sistematica) non richiede che la responsabilità dell'autore del fatto illecito sia stata accertata in un procedimento penale o sia stata accertata con una imputabilità soggettiva in esclusiva, ma comprende tutte le fattispecie (inclusa quella del concorso di colpa anche in via di presunzione) corrispondenti alla astratta previsione di una figura di reato (nella specie lesioni colpose da fatto delle circolazioni).
(Cfr. da ultimo Cass. 24 aprile 2007 n. 13953; cass. 6 agosto 2007 n. 17180 e vedi SU n. 6973 del2008 punto 3.4.1).
Si tratta di una omessa pronuncia, come tale correttamente denunciata, e la valutazione del danno morale dovrà essere esaminata e valutata, sulla base delle circostanze di fatto dedotte e non contestate.
In conclusione il giudice del rinvio,corte di appello di Napoli, in relazione ai motivi accolti ed ai principi di diritto come sopra enunciati, che si attestano sulle statuizioni vincolanti delle sezioni unite civili del2008, dovrà riesaminare la materia del contendere e sull'an e sul quantum debeatur e provvedere anche alla liquidazione delle spese di questo giudizio di cassazione.
P.Q.M
Accoglie il primo motivo e nei limiti della motivazione il secondo ed il terzo , e rinvia anche per le spese, alla corte di appello di Napoli, in diversa composizione.
Roma 3 novembre 2008.
Il Presidente M. Varrone
Il relatore G.B. Petti.
DEPOSITATO IN CANCELLERIA
IL 20 GENNAIO 2009.

Decreto flussi: le istruzioni per le domande di nulla osta per il lavoro in somministrazione

Le agenzie per il lavoro possono fare domanda di nulla osta per l’ingresso di lavoratori non comunitari per motivi di lavoro in somministraz...