Articolo 12.02.09
Privacy e sicurezza delle reti wireless
1. Introduzione
Negli ultimi anni si sono diffusi e si stanno viepiù diffondendo, grazie anche alla diminuzione del loro prezzo, i dispositivi cc.dd. “wireless” (lett. “senza fili”), in grado di mettere in comunicazione computer, calcolatori e altri tipi di strumenti elettronici, senza che si renda necessario l’uso dei tradizionali cavi per la trasmissione di energia elettrica. La trasmissione di dati e informazioni avviene così attraverso “onde-radio”, di potenza non elevata (da 2,4 GHz a 5 GHz).I protocolli standard per i dispositivi e le reti wireless sono definiti dal c.d. “IEEE” (acronimo per “Institute of Electrical and Electronic Engineers”; in italiano “Istituto degli ingegneri elettrici ed elettronici”), con sede a New York (U.S.A.). Si riferiscono specificamente alle tecnologie wireless gli standard “802” e di essi si occupa un comitato dell’IEEE denominato “IEEE 802 LAN/MAN Standards Committee”, ove LAN sta per “Local Area Network” e MAN per “Metropolitan Area Network”. Pertanto il comitato è preposto a sviluppare protocolli sia per reti locali (come quelle presenti in aziende, università, biblioteche, aeroporti, parchi pubblici, centri commerciali, alberghi ovvero negli edifici e nelle abitazioni), sia per le reti metropolitane o cittadine. Quest’ultime sono in crescita grazie agli investimenti fatti di recente da enti pubblici per la diffusione della tecnologia “WiMAX” (sorta di acronimo per “Worldwide Interoperability for Microwave Access”), che consente l'accesso a reti di telecomunicazioni senza fili a banda larga.Per quel che concerne gli standard 802, ne esistono di vari tipi a seconda della frequenza e della velocità massima di trasmissione. I protocolli 802.11b, 802.11g e 802.11n hanno una frequenza di 2,4 GHz, mentre il protocollo 802.11a può arrivare fino 5,8 GHz. Quanto alla velocità della trasmissione (che può variare a seconda che ci si trovi in ambienti “aperti” o “chiusi”), essa può arrivare generalmente a circa 54 megabyte/secondo (lo standard 802.11b arriva fino a un massimo di 11 mb/sec., mentre lo standard 802.11n fino a un massimo di 125 mb/sec.) [1]. La WiMAX si basa invece sullo standard 802.16, evoluzione di quello 802.11.In informatica si utilizza solitamente il termine “Wireless Local Area Network” (abbreviato normalmente in “WLAN”) per indicare una rete locale senza fili, che può essere quella della propria abitazione come quella dell’azienda nella quale si lavora. Per il funzionamento delle WLAN è necessario istallare un’antenna capace di garantire una certa “copertura”, che può variare da pochi metri ad addirittura chilometri (in caso di banda larga), ma si devono pur sempre considerare eventuali ostacoli (muri, alberi, barriere, interferenze causate da apparecchiature come forni a micro-onde o lavastoviglie etc.). Le differenze di copertura dipendono dalla tipologia di antenna adottata e precisamente:- se si istallano antenne cc.dd. “omnidirezionali”, sarà possibile distribuire la connettività all’interno di zone private, a livello aziendale e talora in aree pubbliche o aperte al pubblico;- se si istallano antenne cc.dd. “direttive” o unidirezionali, allora sarà possibile ottenere la copertura di vari chilometri: infatti attraverso l’aggregazione di più reti, si costituisce una rete più grande, portando la banda in zone non cablate o altrimenti scollegate[2].Se si possiede un pc portatile, come un notebook, un laptop o un PDA, è dunque possibile collegarsi a una rete wireless e navigare online “agganciandosi” ad un’antenna, che riceverà e invierà un segnale radio al client. L’antenna, munita del proprio scatolotto e della strumentazione necessaria, viene chiamata “access point”, punto d’accesso dunque, proprio perché consente a chiunque disponga degli idonei dispositivi software-hardware di entrare in rete. Senza dimenticare che, grazie allo sviluppo tecnologico della telefonia mobile e all’introduzione delle reti UMTS[3], oggi si può navigare in Internet e visionare e/o scaricare la propria posta elettronica anche con un semplice telefonino (tanto per citare alcuni esempi, si pensi al BlackBerry o all’iPhone), per finalità sia “private” che di business, oppure si possono sfruttare altre funzionalità come il VOIP (acronimo per “Voice Over Internet Protocol”[4]).
2. Rischi connessi all’utilizzo di reti wireless
A differenza di una comune LAN (Local Area Network), e cioè una rete locale cablata e fisicamente identificabile, la rete wireless è una rete “aperta”, laddove il mezzo di trasmissione delle comunicazioni è l’aria. Il che comporta notevoli rischi per la sicurezza delle reti wireless, sia sotto il profilo del controllo degli accessi, sia sotto quello della riservatezza, integrità e autenticità delle trasmissioni.E’ ovvio che in una rete LAN si è innanzi a uno spazio “chiuso”, territorialmente ben delimitato e definito. Pertanto risulta implementabile un controllo “perimetrale”: controllo anzitutto “fisico”, ma anche “logico”. In un’organizzazione il primo anello della sicurezza è costituito proprio dal controllo degli accessi ai sistemi informatici e alle risorse del settore ICT, ormai asset “critici” e “vitali” per imprese, pubbliche amministrazioni, enti e studi professionali. Dal punto di vista strettamente materiale, esso viene effettuato avvalendosi di vari mezzi (anche di tipo tecnologico) e risorse, non ultime quelle umane: porte blindate, vetri anti-sfondamento, serrature elettroniche, memory-card (badge) o smart-card (munite di micro-chip, veri e propri mini-sistemi) per azionare i tornelli d’ingresso, video-camere di sorveglianza (in genere a circuito chiuso), personale di vigilanza (per es. guardie giurate), dispositivi di allarme anti-furto o anti-intrusione. Tutte siffatte misure vengono spesso predisposte per proteggere aree “critiche” e “sensibili” come i locali che ospitano il server-CED o gli archivi di backup.A un primo controllo di tipo fisico segue poi un controllo di tipo “logico”, attraverso la procedura di “autenticazione”, da intendersi qui come autenticazione informatica, ossia come quella procedura che consente a un utente (cioè a una persona) di farsi riconoscere da un computer[5]. Autenticazione è sinonimo pertanto di riconoscimento. L’autenticazione costituisce il presupposto indispensabile per poter accedere alla memoria di un elaboratore e per poter compiere le operazioni che l’utente desidera e che gli risultino utili di volta in volta. E ordinariamente (nella maggior parte dei casi), per accedere al computer (procedura di log-in o log-on), ogni utente avrà a disposizione una “credenziale di autenticazione”[6], costituita dall’associazione logica di un identificativo con una parola-chiave, e precisamente dalla combinazione di uno userID con una password.Stante il fatto che il mezzo “fisico” (se così lo si vuol, seppur impropriamente, definire) di trasmissione di una rete wireless è l’aria, niente di tutto ciò sopra descritto può avvenire in una rete wireless, soprattutto se “aperta”, laddove non esistono mura o spazi delimitati. Rispetto a una rete cablata, è dunque più facile per chiunque avesse cattive intenzioni introdursi in una rete wireless e commettere vari tipi di illeciti, salvo ovviamente che il titolare di una rete siffatta adotti determinati accorgimenti, che saranno spiegati nel paragrafo dedicato alle contromisure.Ma se tali precauzioni e cautele non fossero predisposte, allora sarà facile sentir parlare sempre più spesso di “wardriving”, pratica consistente nell’intercettare reti wireless con un semplice pc portatile, sia che ci si trovi in automobile, sia che si proceda con altro mezzo di locomozione (es. motorino o bicicletta), sia che si cammini a piedi. E’ sufficiente che il portatile sia abbinato a un ricevitore GPS[7] in grado di localizzare l’esatta posizione dell’access point. Il meccanismo è semplice: infatti, secondo la tipica modalità di comunicazione client-server (ove il client è qui rappresentato dal portatile e il server dall’access point), il client “interroga” l’access point, che fornirà a sua volta una risposta al primo. Una volta localizzato l’access point e dopo esser penetrato in rete, il wardriver potrà fare ciò che vuole, in primis navigare gratis e ad alta velocità di trasmissione.In effetti, tramite il wardriving e pratiche similari, è possibile realizzare tutta una serie di comportamenti anche penalmente rilevanti e che di seguito verranno analizzati. Deve essere cionondimeno premesso che è bene distinguere l’attività del wardriver che abbia la semplice curiosità di vedere se ci siano reti wireless in un determinato luogo e se queste siano protette o meno, da quella di ricerca di una rete wireless non protetta, al fine di utilizzarne le risorse di connessione per i propri scopi, il più delle volte, illeciti. Nella prima ipotesi, nulla quaestio[8]. Nella seconda invece, a seconda dell’attività posta in essere, potrebbero esser commessi taluni reati previsti sia dal codice penale, sia da normative speciali. Ma ciò che è peggio è che il legittimo proprietario/utilizzatore di una rete wireless rischia di subire un procedimento penale per reati in realtà non compiuti da lui, bensì da un attacker, che potrebbe invece restare ignoto alle Autorità. E ciò sol perché (lo si ribadisce fortemente) non sono state adottate (per negligenza, incuria, superficialità, eccesso di sicurezza, sottovalutazione del rischio o semplice ignoranza) adeguate e preventive contromisure di protezione. Nel paragrafo successivo si tenterà di individuare talune delle minacce e delle fattispecie criminose più rilevanti e frequenti.
3. Reati realizzabili tramite reti wireless
Premesso dunque che molteplici possono essere gli attacchi alle reti wireless, attacchi che, come sopra specificato, potrebbero avere quale complice inconsapevole e involontario il legittimo proprietario o gestore di una WLAN, è opportuno ora valutare attentamente quali reati potrebbero essere posti in essere. E può trattarsi dei reati più svariati: contro la fede pubblica, contro la persona oppure contro il patrimonio.Orbene cronologicamente e logicamente la prima fattispecie criminosa che corre alla mente è non a caso quella dell’intercettazione abusiva di comunicazioni telematiche previsto dall’art. 617-quater c.p. Si è già detto che non è poi così difficile localizzare reti wireless e access point non adeguatamente protetti (per es. nel caso in cui non fossero usate chiavi crittografiche efficaci): bastano infatti un portatile e un dispositivo GPS. Intercettare vuol dire prendere conoscenza totalmente o parzialmente della comunicazione, senza che essa venga nemmeno parzialmente alterata o distolta dal suo destinatario naturale. L’intercettazione deve peraltro essere “fraudolenta” nel senso che essa deve avvenire in modo occulto, id est all’insaputa del soggetto che trasmette la comunicazione ovvero con strumenti tali da trarre in inganno sulla fonte o sulle modalità dell’interferenza. Si ricordi che l’intercettazione telematica non prevede una comunicazione tra persone, come nel caso di comunicazione telefonica; pertanto l’illecita interferenza avviene intromettendosi in una comunicazione riferita direttamente a un sistema o intercorrente tra più sistemi. Ergo l’intercettazione telematica sarà fraudolenta quando l’agente mira a ingannare il sistema o chi è preposto al suo controllo, attraverso una sostituzione con il soggetto autorizzato o mediante la simulazione delle caratteristiche del sistema intercomunicante o dell’impianto ricevente, etc.[9] In effetti ciò è proprio quel che compie il wardriver. Anzi in via preliminare quest’ultimo potrebbe incorrere anche nel compimento di un'altra fattispecie criminosa e precisamente quella di cui all’art. 615-quinquies c.p., che sanziona il reato di “Installazione di apparecchiature atte ad intercettare, impedire o interrompere comunicazioni informatiche o telematiche”. Trattasi di reato di pericolo, con funzione di tutela anticipata rispetto al bene protetto dalle norme in esame (la riservatezza delle comunicazioni). Tale disposizione punisce non già l’intercettazione in sé e per sé, ma la semplice istallazione, id est la predisposizione di particolari tecnologie idonee allo scopo captativo. “Istallare” significa quindi porre le apparecchiature nelle reali e concrete condizioni di svolgere le funzioni richieste, non bastando la semplice detenzione e/o possesso ovvero la materiale disponibilità (onde evitare un “processo all’intenzione”)[10].Tornando al delitto di intercettazione telematica abusiva, deve esser evidenziato che trattasi di reato a dolo generico e pertanto non rilevano le specifiche finalità della condotta[11]. Ai fini della configurabilità del reato di cui all’art. 617-quater c.p. è sufficiente realizzare la condotta captativa accompagnata dalla consapevolezza e dalla volontà di intercettare. Vero è però che la condotta di intercettazione è generalmente prodromica rispetto a quella di altre attività, che potrebbero costituire di per sé autonome fattispecie criminose. Si applicherebbe allora la disciplina del concorso di reati.Rilevata la rete, il wardriver la potrebbe usare per navigare gratis ovvero per effettuare il c.d. ping sweep oppure il fingerprinting. Con la tecnica del ping sweep, l’attacker lancia programmi cc.dd. ping sugli indirizzi IP per verificare quali sistemi in una rete, LAN o WLAN, siano attivi. Trattasi di un tipo di attacco che ne anticipa un altro, e cioè lo sniffing, che altro non è (anch’esso) che un’intercettazione telematica abusiva. Pingati i sistemi, ossia verificati quali tra essi siano attivi, se ne potrà monitorare, attraverso appositi programmi (appunto gli sniffer), l’attività attraverso l’analisi dei pacchetti in entrata e in uscita allo scopo di carpire password, codici d’accesso etc. In tal senso ad una intercettazione preliminare (per captare la rete WLAN) se ne aggiunge una successiva (una volta che la rete sia stata penetrata) per compiere altre attività illecite, come il procurarsi codici riservati utilizzabili per es. per l’accesso a siti-web o ad account bancari o alla mail-box. Il wardriver potrebbe così compiere un vero e proprio “furto d’identità”, sostituendosi al legittimo utilizzatore e realizzare i reati di sostituzione di persona (art. 495 c.p.) e, a seconda dei casi, di detenzione abusiva di codici d’accesso (art. 615-quater) o di violazione della corrispondenza (art. 616 c.p.[12]) o ancora di frode informatica (art. 640-ter c.p.), eventualmente in concorso (materiale o formale) sia tra loro che con il delitto di cui all’art. 617-quater c.p. Con la tecnica del fingerprinting, invece, l’attaccante potrebbe eseguire l’analisi e la scansione delle porte (c.d. portscanning) dei sistemi presenti nella rete WLAN, onde verificare quali di esse siano aperte in modo da ottenere l’accesso agli elaboratori. Una volta ottenuto quest’ultimo, l’attacker cercherà (o creerà lui stesso) una backdoor per avere privilegi di amministratore di rete o di sistema o, peggio ancora, di root sulla macchina: in tal modo potrà controllarla e ridurla, se volesse, a “computer-zombie” (concetto sul quale si tornerà in seguito).Ove poi i computer connessi alla rete wireless fossero protetti da misure di sicurezza logiche (per es. da firewall), si configurerebbe altresì il delitto di accesso abusivo a sistema informatico (art. 615-ter c.p.)[13], che dunque potrebbe concorrere con il delitto di intercettazione abusiva. Sembrerebbe chiaro in tal caso il modus operandi del wardriver: egli capta, cioè localizza, la rete, vi penetra e la analizza alla ricerca di sistemi attivi e di archivi contenenti dati e informazioni.Penetrato nei sistemi, l’attaccante potrebbe quindi copiare, modificare, alterare, falsificare o cancellare file, directory, dati e informazioni presenti nel disco rigido[14]. Si potrebbero così realizzare, a seconda delle condotte concretamente poste in essere, le seguenti fattispecie:- accesso abusivo aggravato ai sensi del comma 2, n° 3) dell’art. 615-ter c.p.[15];- accesso abusivo in concorso con frode informatica[16];- accesso abusivo in concorso con i delitti di cui agli artt. 621 (rivelazione del contenuto di documenti segreti) e 623 (rivelazione di segreti scientifici e industriali) c.p.[17];- accesso abusivo in concorso con il delitto di cui all’art. 491-bis c.p. (falso informatico)[18].Inoltre si pensi anche a chi ricevesse l’incarico, ben retribuito, di accedere agli archivi elettronici presenti nei sistemi non efficacemente protetti (firewall mal configurati, crittografia debole) di una WLAN ospedaliera o di una ASL, per poterli visionare e duplicare. L’attaccante fornirebbe al proprio “mandante” tutta una serie di informazioni super-sensibili (dati sulla salute o su orientamenti sessuali), sfruttabili dal mandante medesimo a scopo discriminatorio. Si ponga il caso che siffatto mandante sia un datore di lavoro o un’impresa assicurativa: il primo potrebbe licenziare un proprio dipendente dopo esser venuto a sapere che quest’ultimo fosse affetto da HIV o da altra malattia incurabile; la seconda, nella medesime ipotesi, potrebbe risolvere una polizza-vita o, con maggior probabilità, aumentarne sensibilmente il premio[19].Devono però esser fatte talune precisazioni. Se l’agente, introdottosi nel sistema, si limitasse a copiare (ossia a duplicare) files, tale condotta, successiva all’intrusione, non sarebbe di per sé punibile, restando così assorbita nel delitto di cui all’art. 615-ter c.p., purché ne sussistano tutti gli elementi soggettivi e oggettivi[20]. Per altro verso è inconfigurabile un concorso tra l’art. 615-ter c.p. e l’art. 624 c.p., non essendo penalisticamente realizzbile un “furto di files” o un “furto di dati” e da tal punto di vista vale quanto appena spiegato sulla duplicazione[21].Il wardriver potrebbe comunque commettere già di per sé il delitto di accesso abusivo a sistema telematico penetrando sic et simpliciter nella WLAN, laddove l’accesso ad essa fosse protetto per es. da sistemi crittografici, poi crackati o forzati o elusi dal wardriver stesso. Non v’è dubbio che una rete wireless costituisca un sistema telematico, id est un insieme combinato di apparecchiature idoneo alla trasmissione a distanza di dati e informazioni, attraverso l’impiego di tecnologie dedicate alle comunicazioni[22].Ma v’è di più. Penetrato nella WLAN e nei sistemi ad essa collegati, l’attacker potrebbe addirittura diffondere malware di qualsiasi tipo. Per es., egli potrebbe introdursi in un sistema e inserire un trojan, un worm o uno spyware. In tal modo riuscirebbe, a seconda dei suoi desiderata, a distruggere dati, files e programmi oppure, attraverso l’inserimento nel sistema dei programmi (anch’essi maligni) cc.dd. keylogger (lett. “tracciatori di chiavi”[23]), a carpire password e altri codici riservati oppure ancora a violare la privacy e “profilare” illecitamente l’utente legittimo (analizzandone, rectius “spiandone”, per es. le abitudini di navigazione, i siti e le pagine web più ricercate o gli acquisti online per inviargli spam mirato). Si potrebbe configurare un concorso di reati tra l’art. 615-ter c.p. (anche aggravato dal danneggiamento e/o distruzione di files: v. comma 2, n° 3, del medesimo art.) e l’art. 615-quinquies c.p.[24] ovvero, laddove fossero utilizzati i keylogger, un concorso tra l’art. 615-quater c.p. e pur sempre l’art. 615-quinquies c.p.Allo stesso modo il malintenzionato potrebbe introdurre un bot o un rootkit all’interno del sistema, prendendone letteralmente possesso: si è infatti accennato ai cc.dd. “computer-zombies”. L’attacker avrebbe il completo controllo dell’elaboratore e potrebbe utilizzarlo per vari scopi illeciti. Innanzitutto egli avrebbe il potere di monitorare e gestire ad libitum tutto il traffico di rete e tutti i sistemi infettati, ponendosi in posizione tale da minacciare e ricattare il legittimo gestore della WLAN: in tale ipotesi sarebbero ravvisabili gli estremi del delitto di estorsione (art. 629 c.p.) in concorso con l’art. 615-quinquies c.p. E ancora, l’ “untore” potrebbe utilizzare un pc come piattaforma per il lancio di attacchi DoS[25] oppure per lo spamming o per il mail-bombing[26]. Tali attacchi possono in primis essere scagliati contro gli altri computer della WLAN presa di mira, realizzando addirittura il blocco totale della stessa e giungendosi così ad un vero e proprio “netstriking”. Il DoS riguarderebbe cioè non un singolo o singoli sistemi, ma tutti quelli connessi alla medesima rete WLAN (e anche LAN), come nel caso di una rete aziendale. Ovvia conseguenza sarebbe il blocco delle comunicazioni all’interno e verso l’esterno di siffatta rete, con configurabilità del reato di impedimento e/o interruzione di comunicazioni telematiche ex art. 617-quater, considerando che tale disposizione contempla, oltre alla condotta captativa (intercettazione), anche codeste altre tipologie di delitti. “Impedire” vuol dire interdire radicalmente la possibilità di inviare, di inoltrare, di far partire la comunicazione (rendendola così impossibile), mentre l’uso del verbo “interrompere” presuppone che la comunicazione sia stata iniziata, ma non sia giunta a destinazione. Per entrambe le condotte può dirsi che non è necessario che esse avvengano in modo fraudolento, sia per una ragione letterale (essendo l’avverbio “fraudolentemente” riferito solo all’intercettazione), sia per una ragione squisitamente logico-giuridica, dacché l’impedire e l’interrompere concretano già di per sé fatti più gravi dell’intercettare. Non a caso è ravvisabile nella repressione penale delle condotte da ultimo analizzate una diversa ratio rispetto a quella sottesa alla condotta captativa: punendo l’intercettazione, si tutela il bene della riservatezza delle comunicazioni, mentre sanzionando interruzione e impedimento si protegge il diverso bene del buon funzionamento e della regolarità delle tecnologie telematiche. Si parla in tal caso anche di “sicurezza del sistema telematico”, dovendosi intendere per essa l’attitudine o la capacità o l’idoneità tecnica a diffondere e veicolare comunicazioni tra più soggetti non solo in condizioni di effettiva affidabilità e di sostanziale fedeltà quanto ai contenuti e alla destinazione dei messaggi, ma anche secondo modalità tali da precludere che il circuito liberamente attivato e controllato dai soggetti, che di tale sistema si avvalgono, possa essere in qualche modo alterato, violando il rapporto fiduciario con il gestore della rete[27]. Senza dimenticare che, anche se ogni singolo sistema non disponesse affatto di misure di sicurezza contro intrusioni umane o contro quelle di programmi maliziosi (controllati da remoto), pur non essendovi gli estremi dell’art. 615-ter aggravato, potrebbe ciononostante configurarsi il reato di danneggiamento informatico di cui all’art. 635-bis (danneggiamento di informazioni, dati e programmi informatici) e 635-quater c.p. (danneggiamento di sistemi informatici o telematici), sempre in concorso con il delitto di cui all’art. 615-quinquies c.p.[28]Per quel che concerne poi la protezione dei dati personali (privacy), è opportuno aggiungere che, in via del tutto residuale, quale delitto configurabile solo ove non fossero realizzate le fattispecie criminose più gravi sopra analizzate (cosa però molto difficile da ipotizzare), si potrebbe pensare al trattamento illecito di dati personali previsto dall’art. 167 del D.lgs. 196/2003 e succ. modif. (recante il “Codice in materia di protezione dei dati personali”), purché ne ricorrano tutti gli elementi di tipo oggettivo e soggettivo e cioè:Ø in virtù del principio di sussidiarietà (stante la clausola di riserva “salvo che il fatto costituisca più grave reato”), non devono esser stati realizzati, come già anticipato, reati più gravi;Ø violazione di specifiche disposizioni del D.lgs. 196 cit. (“etero-integrazione” normativa), per es. dell’art. 23, che prevede la liceità del trattamento dei dati solo in caso di consenso preventivo, espresso e informato al trattamento da parte dell’interessato;Ø dolo “specifico” (scopo di profitto, proprio o altrui, o di altrui danno);Ø verificazione del “nocumento” quale condizione obbiettiva di punibilità (v. art. 44 c.p.) e da considerarsi come apprezzabile vulnus (lesione ingiusta) di tipo patrimoniale o non patrimoniale arrecato alla vittima dell’illecito trattamento[29].Per certi aspetti, sempre in materia di privacy, potrebbe assumere precipua rilevanza il reato contravvenzionale di cui all’art. 169 del D.Lgs. 196 cit., che punisce chiunque omette di adottare le “misure minime di sicurezza” (v. nota 5, ult. periodo della presente trattazione) per la protezione dei dati personali. Stavolta però la disposizione mira a stigmatizzare e dunque a punire la condotta del legittimo gestore/proprietario della WLAN, che non abbia adottato o abbia adottato malamente (in spregio alla legge) le cautele strettamente necessarie per ridurre al minimo i rischi di perdita e/o distruzione di dati personali ovvero di accesso abusivo agli stessi ovvero ancora di trattamento illecito e/o non conforme dei medesimi.Infine meritano un cenno altre condotte che non si concretano propriamente in attacchi alla rete, ai sistemi presenti in essa e ai dati che essi trattano, elaborano e conservano in memoria. Ci si riferisce in particolar modo alle ipotesi in cui l’attacker sfrutti le potenzialità della WLAN per effettuare lo “scarico” (download) o il “carico” (upload) e quindi la messa a disposizione (o in condivisione) di materiale protetto da copyright attraverso i programmi e le piattaforme digitali di file-sharing (es. eMule, eDonkey, Kazaa etc.). Possono ravvisarsi, a seconda delle attività concretamente poste in essere, gli estremi dei seguenti reati:- art. 171, comma 1, lett. a-bis), della l. 633/1941 e succ. modif., che punisce con la multa chiunque senza averne diritto, a qualsiasi scopo e in qualsiasi forma “mette a disposizione del pubblico, immettendola in un sistema di reti telematiche, mediante connessioni di qualsiasi genere, un'opera dell'ingegno protetta, o parte di essa”;- art. 171-ter, comma 2, lett. a-bis), della l. 633 cit., che punisce con la reclusione e con la multa chiunque a fini di lucro[30] “comunica al pubblico immettendola in un sistema di reti telematiche, mediante connessioni di qualsiasi genere, un'opera dell'ingegno protetta dal diritto d'autore, o parte di essa”.Per siffatti reati, ferme le sanzioni penali, sono altresì applicabili le sanzioni amministrative pecuniarie previste ex art. 174-bis della l. 633 cit., cui si rinvia.Le sanzioni previste nei delitti di cui sopra si applicano quando il fatto non costituisce reato più grave previsto dal codice penale o da altre leggi (v. art. 173 della l. 633 cit.). Ci si riferisce in particolar modo al reato previsto dall’art. 600-ter, comma 3, che punisce chiunque per via telematica distribuisce, divulga, diffonde o pubblicizza materiale pedo-pornografico ovvero distribuisce o divulga notizie o informazioni finalizzate all'adescamento o allo sfruttamento sessuale di minori degli anni diciotto. Trattasi di delitto contro la personalità individuale, ove bene/valore giuridico protetto è la dignità, la libertà personale e il normale sviluppo psico-fisico ed etico del minore degli anni diciotto.Ex art. 600-quater c.p. è punibile anche, quale reato “ostativo”, l’attività di mero download di materiale pedo-pornografico, trattandosi di attività prodromica rispetto alle più gravi condotte di distribuzione, divulgazione, diffusione e pubblicizzazione online di materiale pornografico minorile. L’art. 600-quater c.p. si applica al di fuori delle ipotesi previste dall’art. 600-ter c.p. E’ esclusa dunque qualsivoglia forma di concorso di reati, restando la condotta sanzionata ex art. 600-quater c.p. assorbita nella più grave prevista ex art. 600-ter c.p.
4. Contromisure
A fronte delle minacce e delle vulnerabilità che un rete wireless presenta e a fronte altresì del rischio che il legittimo proprietario/gestore della medesima venga scambiato per “pirata” informatico o spammer o pedofilo telematico etc., è per forza di cose indispensabile adottare determinate contromisure sia di tipo logico-informatico, sia di tipo “fisico”, per mettere in sicurezza la rete, i sistemi ad essa connessi e i dati che essi gestiscono.
Di seguito una sorta di policy (seppur senza la pretesa di esser esaustiva) per un corretto e sicuro utilizzo di una rete wireless[31].·
E’ buona norma (anche se a prima vista risulta un po’ banale) disattivare i dispositivi senza fili dopo l’orario di lavoro o d’ufficio ovvero in tutti i casi in cui la rete wireless non serva più. Se la rete è spenta, l’attacker non avrà modo di penetrarvi.· E’ assolutamente necessario cambiare le password di default dell’access point, soprattutto la password di amministratore (talora essa è “admin” oppure “wireless”!), inserendone una più robusta e dunque più lunga e complessa. Va cambiato anche l’indirizzo IP dell’access point, in genere predefinito dalla casa costruttrice e, come tale, facilmente, individuabile.· Si ricordi che la rete wireless ha un proprio identificativo, che viene denominato SSID (acronimo per “Service Set IDentifier”). Ogni scheda wireless deve poter “riconoscere” tale codice per potersi collegare alla rete. Tuttavia riconoscerlo è relativamente semplice in quanto esso, anche in tal caso, è impostato di default ed è costituito dalla denominazione o ditta dell’impresa costruttrice! Di conseguenza il SSID è facilmente reperibile dal wardriver e pertanto va cambiato, personalizzandolo, pur sempre senza utilizzare le proprie generalità o la denominazione della propria azienda.· Fondamentale è il controllo degli accessi alla rete attraverso il codice MAC (acronimo per “Media Access Control”). Gli access point possono infatti essere impostati in modo tale da accettare connessioni esclusivamente da schede di rete che hanno un certo MAC address. Trattasi di un vero e proprio indirizzo hardware e quindi fisico e anzi il sistema di controllo può essere reso più efficiente creando una vera e propria lista di indirizzi IP “statici” predeterminati e autorizzati. A ciò si aggiunga, come ulteriore ostacolo per il wardriver, la disabilitazione del DHCP (acronimo per “Dynamic Host Configuration Protocol”), protocollo di assegnazione di indirizzi IP ai sistemi che interagiscono in una rete. Certo trattasi di un sistema snello e che semplifica notevolmente gli adempimenti dell’amministratore di rete (che pertanto non è costretto a operare “manualmente”), però è al contempo molto rischioso per una WLAN. Pertanto esso potrebbe essere lasciato per la LAN, ma disabilitato per la wireless e per quest’ultima si dovrebbe tornare all’assegnazione manuale degli IP.· Seppur non costituisca il massimo della protezione, bisogna quanto meno tutelare i dispositivi wireless e le comunicazioni con il protocollo crittografico WEP (acronimo per “Wired Equivalent Privacy”), che rappresenta comunque un ostacolo per i malintenzionati e che va settato al massimo livello di cifratura possibile (di solito a 128 bit). Meglio sarebbe utilizzare il protocollo WPA (acronimo per “Wi-Fi Protected Access”). Anche tale standard, perché possa esser sempre più sicuro, sta però subendo un’evoluzione. Attualmente viene implementata la versione WPA-2 in grado di supportare algoritmi di cifratura a livello AES (acronimo per “Advanced Encryption Standard”[32]). Esistono due importanti varianti del WPA-2 e precisamente: il WPA(2)-Personal, che utilizza il metodo PSK (acronimo per Pre Shared Key) a chiave condivisa[33] e il WPA(2)-Enterprise, in cui è presente un server di autenticazione dei singoli client connessi e abilitati ed è dunque preferibile per WLAN di medio-grandi dimensioni.· Misure di sicurezza logiche vanno istallate e ben configurate anche sui singoli client della WLAN, sia per adempiere a specifici obblighi di legge (per es. agli obblighi di sicurezza in materia di data-protection, v. art. 169 del D.lgs. 196/2003 cit.), sia per rendere più sicuri rete e sistemi dai rischi, dalle minacce e dagli attacchi analizzati nel paragrafo precedente. Quindi devono sempre esser presenti e aggiornati i firewall, gli anti-virus, gli anti-spyware e possibilmente gli IDS e gli IPS. La crittografia dei files e degli archivi del disco rigido (filesystem) è certamente buona cosa, anche se le prestazioni degli elaboratori potrebbero subire sensibili rallentamenti. Inoltre un apposito firewall può essere adottato per separare la rete LAN da quella WLAN· Non è da sottovalutare nemmeno qualche accorgimento di tipo “fisico”. Per es. è utile collocare l'access point il più lontano possibile dai muri esterni e, se possibile, “schermarlo” almeno verso la direzione (orizzontale, ma anche verticale), che al gestore della rete non interessa coprire[34].·
Non concerne molto la tematica della sicurezza delle reti wireless, ma va fatto un accenno agli obblighi di legge prescritti per i gestori dei cc.dd “hotspot”, ossia di quegli access point offerti al pubblico in strutture quali aeroporti, biblioteche, parchi pubblici o anche alberghi. Si allude ovviamente alla l. 155/2005, rubricata come “Misure urgenti per il contrasto al terrorismo internazionale”.
Orbene il Decreto del Ministro dell'interno del 16 agosto 2005 (recante le “Misure di preventiva acquisizione di dati anagrafici dei soggetti che utilizzano postazioni pubbliche non vigilate per comunicazioni telematiche ovvero punti di accesso ad Internet utilizzando tecnologia senza fili, ai sensi dell'articolo 7, comma 4, del decreto-legge 27 luglio 2005, n. 144, convertito, con modificazioni, dalla legge 31 luglio 2005, n. 155”), all’art. 4 stabilisce che «I soggetti che offrono accesso alle reti telematiche utilizzando tecnologia senza fili in aree messe a disposizione del pubblico sono tenuti ad adottare le misure fisiche o tecnologiche occorrenti per impedire l'uso di apparecchi terminali che non consentono l'identificazione dell'utente, ovvero ad utenti che non siano identificati secondo le modalità di cui all'art. 1». E l’art. 1 obbliga i titolari o gestori di un esercizio pubblico o di un circolo privato di qualsiasi specie nel quale sono poste a disposizione del pubblico, dei clienti o dei soci, apparecchi terminali utilizzabili per le comunicazioni, anche telematiche, esclusi i telefoni pubblici a pagamento abilitati esclusivamente alla telefonia vocale, a:
a) adottare le misure fisiche o tecnologiche occorrenti per impedire l'accesso agli apparecchi terminali a persone che non siano preventivamente identificate con le modalità di cui alla successiva lettera b);
b) identificare chi accede ai servizi telefonici e telematici offerti, prima dell'accesso stesso o dell'offerta di credenziali di accesso, acquisendo i dati anagrafici riportati su un documento di identità, nonché il tipo, il numero e la riproduzione del documento presentato dall'utente.Il gestore deve dunque preventivamente identificare il cliente e fotocopiarne un documento d’identità, salvo sempre l’obbligo di impedire l’accesso a clienti non identificati.
Trattasi di una prescrizione particolarmente gravosa e di difficile realizzazione, soprattutto in spazi ampi e aperti come aeroporti e parchi pubblici. Più facile realizzare quanto richiesto dalla legge nelle attività ricettive come gli alberghi[35].5. ConclusioniNon v’è dubbio che la tecnologia wireless presenti oggi enormi vantaggi sia per le persone che per le imprese e le istituzioni pubbliche: semplicità di installazione, qualità del servizio, interoperabilità (grazie a protocolli standard, che rendono indifferente il tipo di apparato o il fornitore del servizio), mobilità (possibilità di agire in nome e/o per conto di un’azienda da remoto grazie alle MAN e alla WiMAX, con annessa facoltà di controllare, in qualsiasi luogo ci si trovi, il proprio account di posta elettronica), alternativa alla tecnologia ADSL e riduzione del “digital divide”, servizi e connessione ad alta velocità anche per apparecchi mobili diversi dai laptop o dai notebook (per es. cellulari e PDA), graduale riduzione dei costi. Non va però dimenticato il rovescio della medaglia: la sicurezza e la privacy all’interno di una rete wireless costituiscono sempre beni “esposti”, molto più che non in una rete cablata e conseguentemente devono essere adeguatamente protetti, al fine di evitare:- intrusioni nella WLAN da parte di soggetti non autenticati o non autorizzati;- violazione della riservatezza dei dati personali e di altri dati “critici” di un’organizzazione (segreti industriali, progetti di marketing, piani di business, progetti di fusione tra società o di acquisizione di quote azionarie etc.);- cancellazione, distruzione, alterazione, modificazione, falsificazione di file e documenti contenuti in archivi e banche-dati informatici;- istallazione di malware d’ogni tipo, come keylogger, trojan, rootkit, bot-zombies da sfruttare per attacchi DoS (dentro e fuori la WLAN);- l’uso più in generale per scopi illegali, immorali e discutibili: dowload/upload di file audio e video coperti da copyright o, peggio, di materiale pedo-pornografico; azioni verso l’esterno della rete come invio di messaggi spamming;Infine non va dimenticato che il proprietario legittimo rischia seriamente di subire procedimenti penali (o civili per danni) per fatti che in realtà egli non ha commesso o non ha consapevolmente agevolato o favorito. Per fare un esempio che fa comprendere ictu oculi quanto testé (e anche in precedenza) asserito, si pensi allo spamming. Orbene l’intruso, una volta penetrato nella WLAN, potrebbe non trovare ostacoli o soverchie difficoltà ad accedere abusivamente nei sistemi ad essa connessi. Una volta penetrato in essi, potrebbe violare gli archivi di Outlook o di Outlook Express o del WAB (acronimo di “Windows Address Book”) e recuperare tutti gli account dei principali interlocutori del gestore della WLAN (si pensi ad amici, parenti, clienti, fornitori etc.). Recuperati gli indirizzi mail, diviene poi facile inondare le rispettive mail-box di messaggi spam oppure di Hoax, falsi allarmi o “catene di sant’Antonio”. A prima vista però lo spammer risulterà il legittimo utilizzatore, che potrebbe subire una denunzia per trattamento illecito di dati personali[36] o una citazione in giudizio per risarcimento del danno patrimoniale e morale (v. art. 15 del D.lgs. 196/2003). Non solo. In caso di richiesta di registrazione del nome a dominio da parte di un’azienda, la Registration Authority italiana sottopone al titolare, tra i moduli che egli deve compilare e firmare, anche una “lettera di assunzione di responsabilità” e alla Regola 8 dell’Allegato 1 alla lettera di assunzione di responsabilità (rubricato come “Netiquette”) è espressamente previsto il divieto di “inviare tramite posta elettronica messaggi pubblicitari o comunicazioni che non siano state sollecitate in modo esplicito”[37]. Aggiungasi che sono valide pleno iure le clausole che molti ISP e società di gestione di servizi telefonici e telematici inseriscono nei contratti di utenza per la fornitura di servizi online (accesso alla rete, contratti di hosting o di housing, posta elettronica…), con le quali i suddetti si riservano il diritto potestativo di recedere dal contratto o comunque di risolverlo unilateralmente in caso di invio di comunicazioni a carattere commerciale senza preventivo consenso. La dottrina prevalente non qualifica tali clausole come vessatorie (e dunque sono sottratte alla disciplina di cui all’art. 1342 c.c. per i rapporti tra pari), né abusive (e dunque sono sottratte alla disciplina di cui all’art. 1469-bis e ss. c.c. per i rapporti in cui sia parte un “consumatore”). Tale prassi a oggi risulta avallata anche dal legislatore: infatti l’art. 70, comma 5, del D.Lgs. 259/2003 (cd. “Codice delle comunicazioni elettroniche”) stabilisce che “l’utente finale che utilizzi, o dia modo ad altri di utilizzare il servizio per effettuare comunicazioni o attività contro la morale o l’ordine pubblico o arrecare molestia o disturbo alla quiete privata, decade dal contratto di fornitura del servizio, fatta salva ogni altra responsabilità prevista dalle leggi vigenti”. Insomma un ignaro proprietario di una WLAN rischia sul serio di restare senza connessione, senza rete, senza possibilità di esercitare la propria attività commerciale! Salvo poi dimostrare in giudizio che è assolutamente estraneo agli illeciti posti in essere, pur tuttavia accusando una certa qual perdita di immagine e di reputazione.Diviene così vitale adottare accorgimenti, cautele e misure di sicurezza, che da una parte aiutano a tutelare il proprio lavoro, la propria attività, il proprio patrimonio, la propria privacy, dall’altra consentono di adempiere a specifici obblighi di legge e di evitare travisamenti e processi di kafkiana memoria, nei quali ci si troverebbe coinvolti senza sapere il perché. D’altronde prevenire è sempre meglio che curare, ma per prevenire è necessario un continuo e tenace sforzo verso la scienza, l’esperienza, la conoscenza, l’applicazione: «Nihil sine magno labore vita dedit mortalibus»[38].
SOME RIGHTS RESERVED
Opera coperta da licenza CC:
http://creativecommons.org/licenses/by-nc-sa/2.5/it/-->
[1] Per avere una visione più completa degli standard e delle tecnologie wireless, cfr. http://it.wikipedia.org/wiki/IEEE_802.11, con le relative tabelle e i link di riferimento.Si ricordi che esistono (sebbene siano meno diffusi) dispositivi wireless a “raggi infrarossi” e al “laser”. La radiazione infrarossa (IR) è una radiazione elettromagnetica dotata di una frequenza inferiore a quella della luce visibile, ma superiore a quella delle onde-radio. “LASER” è invece l’acronimo di “Light Amplification by the Stimulated Emission of Radiation” (in italiano “Amplificazione di Luce tramite Emissione Stimolata di Radiazione”) e siffatta tecnologia si basa su dispositivi in grado di emanare un fascio di luce monocromatico, coerente e notevolmente luminoso, nonché molto potente e unidirezionale. Per saperne di più, cfr. http://it.wikipedia.org/wiki/Laser[2] Non a caso la WiMAX rappresenta un ottimo strumento per ridurre il “digital divide” in un Paese come il nostro, ricco di montagne e colline. A causa di tale particolare conformazione territoriale, l’arrivo della banda larga tradizionale (diffusa attraverso i cavi ADSL) è stato ritardato e, in molti Comuni, addirittura esso non è stato possibile. Secondo i dati forniti dal Ministero delle Comunicazioni al momento dell’assegnazione delle frequenze nel febbraio del 2008, circa 4 milioni di italiani, residenti in oltre 2.000 comuni, non avevano accesso alla banda larga (fonte: http://canali.kataweb.it/kataweb-guide-internetmobile/2008/12/03/regole/). Per ricevere il segnale WiMAX è necessario l’uso di speciali modem radio, in alcuni casi collegati ad antenne presenti sui tetti degli edifici oppure sui campanili o appositi tralicci o torrette (più si trovano in alto e più le antenne, come è ovvio che sia, garantiscono una ricezione chiara e “pulita” del segnale).Tuttavia, se da una parte la WiMAX dimostra la sua evidente utilità per la società civile, dall’altra è esposta, come tutte le reti wireless (lo si analizzerà meglio di seguito) a notevoli rischi per gli abusi che potrebbe comportare il suo utilizzo, con grave compromissione della sicurezza delle trasmissioni di dati e informazioni da essa consentite.[3] Acronimo per “Universal Mobile Telecommunications System”, tecnologia di telefonia mobile di “terza generazione”, che ha sostituito il GSM (cfr. http://it.wikipedia.org/wiki/Umts).[4] Il VOIP è un particolare protocollo di comunicazione che consente di effettuare chiamate attraverso Internet, spendendo unicamente il costo della connessione. In buona sostanza, la voce di chi chiama viene elaborata come una qualsiasi altra informazione e trasferita via cavo al computer del destinatario. Pertanto due o più computer connessi possono comunicare tra loro in modo assolutamente “gratuito”, ma si possono effettuare anche chiamate a telefoni fissi godendo di tariffe agevolate, soprattutto nel caso di chiamate internazionali. In tal senso uno dei software più diffusi è Skype, che conta ormai circa 400 milioni di iscritti (fonte: http://canali.kataweb.it/kataweb-guide-internetmobile/2008/11/24/myspace/).[5] Nel nostro ordinamento esiste una definizione di autenticazione. Precisamente essa è presente nell’art. 4, comma 3, lett. c), del D.Lgs. 196/2003 (“Codice in materia di protezione dei dati personali”), ove per autenticazione si intende “quell’insieme di strumenti elettronici e di procedure per la verifica anche indiretta dell’identità”. Un’altra definizione di autenticazione è offerta dall’art. 1, lett. b) del D.Lgs. 82/2005 e succ. modif., c.d. “Codice delle amministrazioni digitali”, ai sensi del quale l’autenticazione consiste nella “validazione dell’insieme di dati attribuiti in modo esclusivo ed univoco ad un soggetto, che ne distinguono l’identità nei sistemi informativi, effettuata attraverso opportune tecnologie anche al fine di garantire la sicurezza dell’accesso”. Modi diversi per descrivere un procedimento automatico di riconoscimento o identificazione del soggetto che accede a un sistema, computer o elaboratore, per effettuare un trattamento di dati e cioè per porre in essere concrete operazioni sugli stessi, in virtù dei privilegi o diritti attribuitigli. In materia di data-protection, l’autenticazione costituisce “misura minima di sicurezza” ai sensi e per gli effetti di cui agli artt. 33, 34 e 169 del D.Lgs. 196/2003 cit., cui si rinvia.[6] Ai sensi dell’art. 4, comma 3, lett. d) del D.Lgs. 196/2003, per "credenziali di autenticazione" si devono intendere i dati ed i dispositivi, in possesso di una persona, da questa conosciuti o ad essa univocamente correlati, utilizzati per l'autenticazione informatica. Le credenziali possono essere di vari tipi e comunque raggruppabili in talune grandi categorie:- credenziali basate su “qualcosa che si sa”, come per es. una password, un codice d’accesso, un PIN etc.;- credenziali basate su “qualcosa che si ha”, vale a dire su dispositivi “fisici” quali smart-card e token, eventualmente associati a password o codici di attivazione, ovvero (più recentemente) dispositivi RFId, che consentono la localizzazione e l’identificazione di un soggetto attraverso le radio-frequenze;- credenziali basate su “qualcosa che si è”, in particolare le informazioni biometriche (impronta digitale, retina, iride, geometria della mano o del volto, riconoscimento vocale etc.), raccolte attraverso la procedura di enrollment (registrazione) e poi trattate opportunamente con strumenti elettronici e tradotte, grazie a speciali algoritmi, in template (rappresentazione “compressa” in forma matematica del dato grezzo), quindi archiviate su smart-card o su banche-dati centralizzate, che permetteranno l’identificazione attraverso il confronto tra dato grezzo e dato registrato (matching).Si ricordi che anche le credenziali biometriche possono essere associate a password e altri codici identificativi. Esse offrono certamente un elevato livello di sicurezza per il controllo degli accessi logici e fisici, soprattutto in aree ad alto rischio (per es.: archivi militari o nei quali è custodita documentazione coperta da segreto di Stato o da segreto industriale e/o scientifico; locali in cui sono ricoverati backup aziendali o si trovano i CED; magazzini aeroportuali; banche-dati genetiche; casellario giudiziale; luoghi “sensibili” esposti a pericolo di attentati). Tuttavia il trattamento di dati biometrici pone seri problemi di privacy (furti d’identità, continua localizzazione e/o tracciamento dei movimenti) e non a caso il Garante per la protezione dei dati personali è intervenuto più volte in materia, sia con provvedimenti a carattere generale, che con provvedimenti mirati, emanati anche a seguito di interpello da parte di Titolari del trattamento. Certo è che si tratta di trattamenti di dati personali che comportano rischi specifici per i diritti e le libertà fondamentali, nonché per la dignità dell'interessato. Come tali sono soggetti, tra gli altri, agli obblighi di verifica preliminare e di notificazione ai sensi rispettivamente degli artt. 17, comma 2, e 37, comma 1, lett. a), del D.lgs. 196/2003 cit. Ex plurimis, cfr. i provvedimenti del 21 luglio 2005 (http://www.garanteprivacy.it/garante/doc.jsp?ID=1150679), del 27 ottobre 2005 (http://www.garanteprivacy.it/garante/doc.jsp?ID=1185160) e del 23 novembre 2005 (http://www.garanteprivacy.it/garante/doc.jsp?ID=1150679). Più di recente, cfr. i provvedimenti dell’8 novembre 2007 (http://www.garanteprivacy.it/garante/doc.jsp?ID=1461908) e del 19 giugno 2008 (http://www.garanteprivacy.it/garante/doc.jsp?ID=1532480). Interessante anche la Newsletter del 12 febbraio 2008 (http://www.garanteprivacy.it/garante/doc.jsp?ID=1487892). Senza dimenticare il c.d. “Decalogo sul corpo” (http://www.garanteprivacy.it/garante/doc.jsp?ID=1277433). Problemi simili esistono anche per l’identificazione a radio-frequenza (cfr. il provvedimento a carattere generale del 9 marzo 2005 sulle garanzie per l’uso delle “etichette intelligenti”).[7] Acronimo per “Global Positioning System”, sistema di posizionamento satellitare.[8] Cfr. in tal senso “Wardriving: cos’è?” di A.D’Agostini, reperibile all’URL http://consulentelegaleinformatico.it/approfondimentidett.asp?id=162. L’Aut. fa giustamente notare che il wardriving a volte è del tutto involontario e a maggior ragione privo di rilevanza penale: infatti spesso quando si accende un computer portatile che supporti tecnologia wireless, questo automaticamente riconosce e avverte l’utente che nella zona ci sono una o più reti wireless e indica se le stesse reti sono libere o protette. Di conseguenza, in siffatte ipotesi, nessun soggetto umano interagisce con la rete wireless e le informazioni che si ricevono sono il risultato di un colloquio fra macchine. A volte, continua l’Aut., succede che le reti wireless aperte, quando interrogate da un computer, assegnino addirittura automaticamente un numero IP alla macchina, accreditandola così presso di sé: anche in tal caso la responsabilità penale non sussiste.[9] In tal senso cfr. P.GALDIERI, “Teoria e pratica nell’interpretazione del reato informatico”, p. 116[10] Cfr. in tal senso P.SCOGNAMIGLIO, “Criminalità informatica (Commento organico alla Legge 18 marzo 2008, n. 48)”, Edizioni Giuridiche Simone, 2008, p. 64.[11] Considerazioni analoghe sul profilo soggettivo valgono anche per il delitto di accesso abusivo a sistema informatico e telematico, previsto dall’art. 615-ter c.p. (anche di ciò si darà conto nel prosieguo della trattazione).[12] Si ricordi che l’art. 5 della legge 547/1993 (recante le “Modificazioni ed integrazioni alle norme del codice penale e del codice di procedura penale in tema di criminalità informatica”) ha sostituito il comma 4 dell’art. 616 c.p., ai sensi del quale oggi, ai fini della configurabilità dei reati contro la riservatezza della corrispondenza e delle comunicazioni, per “corrispondenza” si intende quella epistolare, telegrafica, telefonica, informatica o telematica, ovvero effettuata con ogni altra forma di comunicazione a distanza.[13] Si ricordi che il reato di accesso abusivo a sistema informatico postula che il sistema sia “protetto da misure di sicurezza” e che l'agente, per accedervi, abbia in qualche modo neutralizzato tali misure (es. qualora abbia bypassato o forzato il firewall, tipico software anti-intrusione). In tal senso cfr. Cass., Sez. V Pen., sent. 4 dicembre 2006 (dep. 15 febbraio 2007), n. 6459/2007 (2122/2007), consultabile all’URL http://www.penale.it/page.asp?mode=1&IDPag=429. Conforme a Cass., Sez. VI. Pen., sent. 27 ottobre 2004 (dep. 30 novembre 2004), n. 46509, consultabile all’URL http://www.penale.it/page.asp?mode=1&IDPag=174.[14] Si è già accennato al fatto che nel delitto di accesso abusivo sono del tutto irrilevanti le finalità per le quali esso è stato perpetrato, trattandosi di reato a dolo generico. Di per sé allora anche la semplice curiosità dovrebbe esser sufficiente ai fini della configurabilità della fattispecie, ma in senso contrario cfr. Tribunale Penale di Nola, sentenza del 11.12.2007, consultabile all’URL http://www.iussit.eu/index.php?option=com_content&task=view&id=329&Itemid=28.[15] La pena prevista per il delitto di accesso abusivo semplice è la reclusione da uno a tre anni. Il massimo edittale è portato a cinque se ricorrono le aggravanti di cui al secondo comma dell’art. 615-ter c.p., tra le quali quella di cui al n° 3, ravvisabile nei casi in cui dal fatto derivi la distruzione o il danneggiamento del sistema o l'interruzione totale o parziale del suo funzionamento, ovvero la distruzione o il danneggiamento dei dati, delle informazioni o dei programmi in esso contenuti.[16] Sull’ammissibilità del concorso tra i due reati, cfr. Cassazione, Sez. VI Pen., sent. 4 ottobre - 14 dicembre 1999, n. 3067, consultabile all’URL http://www.ictlex.net/?p=883. L’art. 640-ter c.p. punisce “Chiunque, alterando in qualsiasi modo il funzionamento di un sistema informatico o telematico o intervenendo senza diritto con qualsiasi modalità su dati, informazioni o programmi contenuti in un sistema informatico o telematico o ad esso pertinenti, procura a sé o ad altri un ingiusto profitto con altrui danno”. L’agente, dopo essere acceduto al sistema e dopo averne violato gli archivi, in cui fossero memorizzate, senza cifratura, informazioni estremamente delicate (password o codici PIN oppure codici dispositivi per effettuare pagamenti online) può per es. appropriarsi dei codici d’accesso all’account bancario della vittima e procedere così al trasferimento online, con bonifico a proprio favore (il meccanismo è simile a quello degli attacchi phishing): fin troppo chiaro un intervento senza diritto (cioè non autorizzato) su dati e programmi, con profitto di chi opera e con danno di chi subisce l’intervento medesimo.[17] Il concorso di reati potrebbe verificarsi soprattutto nei casi di spionaggio di tipo commerciale e/o industriale: si pensi a un accesso abusivo finalizzato a prender visione e conoscenza degli archivi informatici contenenti dati e informazioni sugli elenchi dei clienti e dei fornitori, sui dipendenti (record medici, cedolini stipendiali…), sulla contabilità, sui know-how (invenzioni non brevettabili), su formule e su particolari procedimenti di produzione o ancora sui segreti industriali. L’attacker potrebbe utilizzare tutto ciò a proprio vantaggio (per es. qualora fosse un imprenditore concorrente dell’azienda i cui database fossero violati oppure in caso di insider o dipendente infedele che “vendesse”, ossia rivelasse dietro compenso, i segreti dell’impresa cui appartiene a imprese concorrenti) o potrebbe farlo per vendetta personale (per es. nel caso di ex-dipendente licenziato), etc. I file o documenti informatici sono pienamente parificati a quelli cartacei in virtù del comma 2 dell’art. 621 c.p., che, ai fini della configurabilità del reato di rivelazione del contenuto di documenti segreti non costituenti corrispondenza, considera “documento” anche qualunque supporto informatico contenente dati, informazioni o programmi. Così come non v’è dubbio che, ai fini della tutela di cui all’art. 623 c.p., anche i segreti scientifici e industriali possono esser contenuti in file e archivi informatici.Sul concetto di “segretezza” delle informazioni aziendali, cfr. l’art. 99 del D.Lgs. 30/2005 e succ. modif. (c.d.“Codice della proprietà industriale”), laddove viene offerta una tutela civilistica (oltre a quella già prevista nel codice penale), con particolare riferimento all’art. 2598 c.c. (concorrenza sleale), sempre che la violazione o lo scorretto e/o illecito comportamento sia stato posto in essere da un altro imprenditore. Senza approfondire troppo la problematica, è qui il caso di ricordare semplicemente che le informazioni aziendali intanto sono oggetto di tutela ai sensi dell’art. 99 cit., in quanto esse siano:Ø segrete, cioè ignote o non facilmente accessibili agli esperti ed operatori del settore;Ø suscettibili di valutazione in termini economici;Ø siano sottoposte a misure di protezione adeguate.Quest’ultimo requisito sembra oltremodo rilevante in relazione a quanto detto sulla possibilità di realizzazione di un concorso tra il reato di cui all’art. 615-ter e quello di cui all’art. 621 (o 623) c.p.[18] Per quel che concerne i delitti contro la fede pubblica, in particolare i delitti di falso, materiale o ideologico, in atto pubblico o scrittura privata, commessi da pubblici ufficiali o incaricati di pubblico servizio e, a certe condizioni e ricorrendo determinati presupposti, anche dai privati, si ricordi che v’è ormai equiparazione tra un documento cartaceo e un documento informatico. Se quest’ultimo ha efficacia probatoria, allora si applicheranno le disposizioni sui delitti di falso concernenti gli atti pubblici o le scritture private, a seconda della natura del file. Il testo attualmente vigente dell’art. 491-bis c.p. è quello derivato dalle modifiche apportate dalla l. 48/2008, che ha ratificato e dato attuazione alla Convenzione del Consiglio d’Europa sulla criminalità informatica (c.d. Convenzione di Budapest) del 23 novembre 2001.[19] Non v’è dubbio che la descritta attività si colora degli estremi di un trattamento illecito di dati personali, consistendo in una rivelazione non autorizzata (senza consenso) di informazioni riservate. Tuttavia è quanto mai opportuno precisare fin da subito che il delitto de quo può aversi solo laddove non sia ravvisabile una fattispecie più grave. A parere di chi scrive il delitto di accesso abusivo, ove il sistema fosse protetto da misure di sicurezza, sarebbe fattispecie prevalente e il trattamento illecito cederebbe in virtù del principio di sussidiarietà. Su tali concetti si tornerà nel prosieguo della trattazione.[20] In tal senso cfr. Cass. Pen. 6459/2007 cit.[21] Cfr. in tal senso Cass., Sez. IV Pen., 13 novembre 2003 (dep. 29 gennaio 2004), n. 3449 (2110/2003), consultabile all’URL http://www.penale.it/page.asp?mode=1&IDPag=24. In effetti, stanti i principi di tassatività e di divieto di analogia vigenti in diritto penale, un dato o un file non costituisce una “res”, ossia una cosa in senso materiale, dotata di corporeità e fisicità.[22] Cfr. in tal senso A.CALICE, “I ‘computer crimes’ nell’ordinamento giuridico italiano: inquadramento sistematico ed efficacia della risposta sanzionatoria”, p. 5 (intervento all’Incontro di studio, organizzato dal C.S.M., sul tema “Criminalità informatica e protocolli investigativi” – Roma, 23-25 gennaio 2006).[23] Il keylogger è un malware particolarmente subdolo (ne esistono anche versioni hardware) capace, una volta introdotto nel sistema (l’infezione avviene in genere attraverso la tecnica “troiana”), di controllare, salvare e trasmettere all’attacker remoto la sequenza di tasti che viene digitata si di una tastiera da un utente. In tal modo è possibile “tracciare” e quindi appropriarsi delle password usate e di altri codici riservati.[24] L’art. 615-quinquies, nella nuova formulazione (come cioè modificato dalla l. 48/2008 cit.), punisce “chiunque, allo scopo di danneggiare illecitamente un sistema informatico o telematico, le informazioni, i dati o i programmi in esso contenuti o ad esso pertinenti ovvero di favorire l’interruzione, totale o parziale, o l’alterazione del suo funzionamento, si procura, produce, riproduce, importa, diffonde, comunica, consegna o, comunque, mette a disposizione di altri apparecchiature, dispositivi o programmi informatici”.[25] DoS è l’acronimo di “denial of service”, lett. “negazione di servizio”. Trattasi di un tipico attacco distruttivo consistente nell’inviare da remoto, attraverso il protocollo di comunicazione TCP/IP, un messaggio artificiale (es. Hello) per stabilire una connessione e istaurare un dialogo col sistema target. Il problema è che viene inviato di continuo un numero elevatissimo di messaggi dello stesso tenore. Pertanto, una volta che il sistema attaccato risponde e si istaura il dialogo, esso è costretto a rispondere contemporaneamente a più messaggi inviati: è costretto cioè a sincronizzarsi con più computer remoti. In realtà però tali computer sono inesistenti perché l’attacker ha modificato l’indirizzo IP di ritorno (tecnica di spoofing). Tuttavia il computer non sa che i sistemi che gli inviano quel messaggio in realtà non esistono e cerca di gestire la comunicazione contemporaneamente con tutti: tenta cioè di rispondere a tutti o quanto meno di fare una scelta tra il dare una risposta o rinunciare. Il sistema target però impiega qualche secondo per effettuare tale scelta e se nel frattempo continuano ad arrivare messaggi (per es., se ne vengono inviati una cinquantina al secondo), esso non sarà più in grado di gestirli, fino a crashare o collassare. Questo tipo di attacco è noto anche come “SYN Flooding”, laddove SYN è l’abbreviazione di “synchronization” (lett. “sincronizzazione”, riferita per l’appunto alle risposte che il sistema target prova a dare ai messaggi che riceve) e “flooding” (lett. “inondare”).[26] Forma di attacco DoS consistente nell’invio di un numero elevatissimo di messaggi di posta elettronica, tale da far collassare la mail-box del destinatario.[27] Cfr. G.CORASANITI, in “Profili penali dell’informatica”, di R.BORRUSO, G.BUONOMO, G.CORASANITI, G.D’AIETTI, Giuffré, Milano, 1994, p. 120.[28] L’art. 635-bis, nella nuova formulazione, così come introdotta dal D.Lgs. 48/2008 cit., punisce chiunque “distrugge, deteriora, cancella, altera o sopprime informazioni, dati o programmi informatici altrui”, mentre l’art. 615-quater c.p. (anch’esso nella nuova formulazione) sanziona la condotta di chi “mediante le condotte di cui all’articolo 635-bis, ovvero attraverso l’introduzione o la trasmissione di dati, informazioni o programmi, distrugge, danneggia, rende, in tutto o in parte, inservibili sistemi informatici o telematici altrui o ne ostacola gravemente il funzionamento”. Esistono anche parallele fattispecie di delitti contro informazioni, dati, programmi e sistemi informatici e/o telematici utilizzati dallo Stato o da altro ente pubblico o comunque di pubblica utilità (v. artt. 635-ter e 635-quinquies c.p.). In ogni caso non può esservi il concorso tra 615-ter c.p. e tutti i sopra visti delitti di danneggiamento, stante per essi la clausola di riserva (“salvo che il fatto non costituisca più grave reato”). Si applicherebbe quindi quale unica norma (perché prevede una sanzione più grave) l’art. 615-ter, comma 2, n°3, c.p. per informazioni, dati, programmi e sistemi “privati” ovvero l’art. 615-ter, comma 3, per quelli “”pubblici” (salvo il difettoso coordinamento tra siffatta disposizione e il comma 2 dell’art. 635-quinquies c.p.).[29] Sul concetto di nocumento come apprezzabile vulnus ed elemento assolutamente necessario ai fini dell’integrazione della fattispecie criminosa di cui all’art. 167 cit., cfr. Cass., Sez. III Pen., sent. 9/7/2004 n. 30134, consultabile all’URL http://www.altalex.com/index.php?idnot=1140.[30] Tra le due fattispecie la differenza (con conseguente inasprimento di pena nella seconda ipotesi) sta nel profilo psicologico: nella prima lo scopo deve essere personale o di profitto latu sensu inteso (anche “morale”), mentre nella seconda è necessario il fine di lucro, da intendersi come guadagno netto, surplus o utile. Lo scopo di lucro è più ristretto dello scopo di profitto, del quale anzi rappresenta solo una particolare manifestazione. Per profitto può intendersi infatti anche il semplice risparmio di spesa o abbattimento di costi e non solo un effettivo guadagno (inteso come differenza netta o saldo “positivo” tra entrate ottenute e spese sostenute).[31] Si consiglia vivamente la lettura del saggio “Miniguida alle reti wireless” a cura di P.ATTIVISSIMO, consultabile all’URL http://www.attivissimo.net/howto/wlan/miniguida_al_wireless.htm.[32] Algoritmo crittografico basato sulla c.d. cifratura simmetrica a blocchi in grado si supportare chiavi da 128 a 256 bit. Per saperne di più, cfr. http://it.wikipedia.org/wiki/Advanced_Encryption_Standard.[33] Tale standard utilizza una chiave segreta condivisa che è stata scambiata precedentemente tra due utenti utilizzando un canale sicuro e si basa su di un algoritmo crittografico a chiave simmetrica (cfr. http://it.wikipedia.org/wiki/Pre-Shared_Key). Il sistema si rivela efficace in caso di numero limitato di utenti (due o poco più) e non è consigliabile per le WLAN aziendali, tanto meno per le MAN. Ad ogni buon conto è sempre meglio utilizzare chiavi ad almeno 16 caratteri alfa-numerici e possibilmente random, per evitare tentativi di “password guessing” (per es. “brute-force attacks” oppure “attacchi a dizionario”).[34] Nella “Miniguida alle reti wireless” cit., l’Aut. consiglia per es. di mettete un foglio metallico fra l'access point e il muro (anche vicino all'access point, a mo’ di paravento): rifletterà il segnale radio e gli impedirà di dirigersi verso l'esterno dell'edificio.[35] La Circolare del Ministero dell'interno n. 557/2005, in riferimento agli obblighi previsti dalla l. 155/2005 cit., nel paragrafo dedicato al D.M. 16 agosto 2005, chiarisce che «gli obblighi di identificazione e registrazione devono essere assolti anche dagli esercenti attività ricettive, laddove vengano offerti alle persone ospitate servizi di connessione alle reti telefoniche e telematiche, anche se gratuiti, ma ciò non esclude che l'identificazione avvenga contestualmente a quella richiesta a norma dell'art. 109 del T.U. delle leggi di P.S.». L’art. 109 T.U.L.P.S. impone l’obbligo di identificazione ai fini di pubblica sicurezza dei clienti delle strutture ricettive, ergo nel caso di uso di apparecchiature wireless da parte del cliente, l’albergatore dovrà procedere a un’ulteriore identificazione.Per ulteriori approfondimenti, si consiglia la lettura di “Internet point, istruzioni per l’uso”, a cura di C.GIUSTOZZI (http://www.interlex.it/attualit/corrado23.htm), e di “Quali obblighi per le attività ricettive?”, a cura di D.COLIVA (http://www.interlex.it/attualit/coliva36.htm).[36] In tal senso, cfr. Comunicato stampa del Garante del 3/09/2003, “Lo spamming a fini di profitto è reato”, consultabile all’URL http://www.garanteprivacy.it/garante/doc.jsp?ID=272444.[37] Per avere una visone completa della modulistica, v. http://www.nic.it/NA/modul.html.[38] Frase tratta dalle “Satire” di Orazio, poeta latino, e che lett. vuol dire: «nulla la vita concede agli uomini senza grande sforzo».
