Pubblicato il report 2020 di Verizon sui cybercrimes ai danni delle imprese: un occhio alla disciplina italiana

Pubblicato il report 2020 di Verizon sui cybercrimes ai danni delle imprese: un occhio alla disciplina italiana

di Cristian Mauro

Versione PDF del documento

Nei giorni scorsi è stato pubblicato il Data Breach Investigation Report 2020 di Verizon, vale a dire uno dei più autorevoli studi annuali sui pericoli per la sicurezza informatica delle imprese, realizzato dal reparto di ricerca del colosso americano delle telecomunicazioni. Il report è il risultato finale di una serie di questionari che vengono sottoposti ad aziende sparse nel mondo e punta a raccogliere tutte le informazioni utili a rappresentare la tenuta o, al contrario, la vulnerabilità dei sistemi di sicurezza online che le imprese adottano nel tempo.

Il sistema penale, anche italiano, negli ultimi trent’anni, ha dovuto affrontare minuziosamente la problematica delle condotte criminose commesse in rete, talvolta aggiornando la disciplina corrente alle nuove modalità di commissione od omissione, talaltra introducendo ex novo le fattispecie fattuali che si intendono perseguire. Questa regolamentazione può essere suddivisa in quattro macro-aree, ognuna delle quali include reati interessati dagli studi di Verizon sulle imprese: le frodi informatiche, le falsificazioni, i delitti contro l’integrità di dati e sistemi (soprattutto attraverso diffusone di virus), quelli contro la privacy.

Per il particolare momento che stiamo vivendo, infine, considerata la temporanea conversione di molti lavori attraverso l’utilizzo di sistemi da remoto o comunque nelle ipotesi di smart working e home working, quindi anche con l’utilizzo frequente di dispositivi personali o reti non sicure, la relazione di Verizon ha mostrato anche gli effetti del coronavirus sulla sicurezza informatica.

Proviamo allora ad analizzare i passaggi principali del DBIR 2020, aprendo una finestra sulla disciplina italiana.

Volume consigliato

La responsabilità nei nuovi reati informatici

La responsabilità nei nuovi reati informatici

Flaviano Peluso (a cura di), Cecilia Cavaceppi, Francesco Saverio Cavaceppi, Daniela Cavallaro, Raissa Coletti, Alfonso Contaldo, Alessandra Cortese, 2020, Maggioli Editore

L’opera si pone quale strumento di analisi dei nuovi reati informatici e delle metodologie investigative, analizzando i diversi mezzi di ricerca e di acquisizione della prova informatica. Attraverso un’analisi sistematica, il volume affronta le singole fattispecie, ponendo...



 

L’evoluzione dei reati informatici secondo il DBIR 2020

Senza particolari sorprese, la finalità finanziaria, vale a dire il guadagno che può ottenersi dalla condotta criminosa, ha rappresentato il principale scopo delle violazioni segnalate nell’ultimo anno, l’86% delle commonalities (caratteristiche comuni) analizzate da Verizon.

Una delle tipologie di attacchi in rete più frequenti riguarda certamente le operazioni ai danni di applicazioni web e software accessibili in internet: solo nell’ultimo anno, questo genere di violazioni ha interessato il 43% del totale, soprattutto rispetto ai settori dell’informatica, della finanza, delle assicurazioni e delle app utilizzate dai liberi professionisti.

Generalmente (il 67% delle volte) l’attacco avviene tramite l’appropriazione di credenziali o il raggiro di credenziali con deboli livelli di sicurezza: sono le tecniche di social engineering, vale a dire le metodologie adottate per entrare furtivamente in un sistema. Tra questi, il principale e più diffuso (più del 30% delle violazioni) dei fenomeni è il c.d. phishing: il fenomeno colpisce soprattutto le piccole e medie imprese, spesso approfittando di errori umani dei lavoratori dell’azienda che forniscono l’involontario benvenuto nel sistema. Ad esso si può aggiungere la compromissione dell’email aziendale.
Rilevati in aumento, inoltre, gli attacchi attraverso ransomware, quel particolare tipo di malware in grado di infettare un dispositivo al punto di renderlo inaccessibile se non dietro il pagamento di un riscatto.

Le violazioni sono quasi sempre esterne (70%) e ben il 55% di esse è frutto dell’azione della criminalità organizzata.

Lo studio di Verizon, che per principio vuole fornire alcune linee guida per l’attività futura delle piccole e grandi aziende in materia di cybersecurity, ha fornito anche informazioni utili rispetto ai settori economici maggiormente colpiti.  Detto che le vittime più comuni nel mondo sono le PMI, praticamente la gran parte del tessuto produttivo italiano, differenze importanti sono emerse anche tra il settore pubblico e quello privato. Nel primo caso, l’errore umano è una delle principali cause delle violazioni (33%), nel secondo caso, invece, il dato scende al 12%. Entrando nello specifico, ancora, emerge che: nel settore retail la quasi totalità delle minacce mira alla captazione di dati di pagamento; l’istruzione e la sanità sono soprattutto vittime di ransomware; il manifatturiero è principalmente vittima di malware per la captazione di password.

Infine, come anticipato, il report di Verizon mette in guardia sui rischi rappresentati dal lavoro da casa, soprattutto ora che questa modalità di impiego costituisce una necessità ai tempi della pandemia da coronavirus. Tami Erwin, il CEO della multinazionale, non a caso, ha precisato che «man mano che il lavoro da remoto aumenta, la sicurezza end-to-end abbraccia l’intero flusso di lavoro, dal cloud al laptop dei dipendenti, diventando fondamentale», e ha poi invitato le imprese a prestare maggiore attenzione: «oltre a proteggere i loro sistemi dagli attacchi, esortiamo tutte le aziende a continuare la formazione dei dipendenti man mano che gli schemi di phishing diventano sempre più sofisticati e dannosi».

La disciplina italiana in materia di computer crimes

La diffusione delle nuove tecnologie nel tempo, a ben vedere, ha favorito naturalmente la caratterizzazione di alcune classiche fattispecie criminose e la fioritura di alcune condotte del tutto sconosciute al diritto positivo. Ciò ha imposto a tutti gli impianti normativi di predisporre l’introduzione di nuovi strumenti di tutela e di sanzione, nonché l’individuazione di nuovi beni giuridici da tutelare – primi fra tutti la c.d. intangibilità informatica e la libertà informatica – senza contare le enormi implicazioni sul piano economico che certe condotte potrebbero addurre.

Fin dal 1978, infatti, l’Italia, con auspicabile tempismo, si è posta il problema della regolamentazione di certi comportamenti on line, nonché del “non spazio” di internet; con la L. n. 547/1993, poi modificata dalla L. n. 48/2008, in attuazione della Convenzione di Budapest del 2001, l’Italia mette a un punto il suo sistema normativo per combattere il crimine informatico, andando a modificare, capo per capo (rifiutandosi quindi di creare un autonomo microsistema), quelle fattispecie preesistenti che disciplinavano l’omologa condotta “fisica” delle nuove condotte online. All’interno di questo oceano di norme e delitti, possiamo però individuare chiaramente quelle fattispecie definite “reati informatici in senso stretto”, vale a dire quei casi che pur rappresentabili all’interno di uno schema classico, materiale, sono caratterizzati sostanzialmente dall’uso della tecnologia nella modalità della condotta, nei mezzi usati, ovvero ancora nell’evento realizzato. Da essi si differenziano, invece, quei reati informatici o, ancora meglio, cibernetici in senso ampio: sono quelle condotte nelle quali l’elemento tecnologico è solo un aspetto eventuale che non incide sulla fattispecie. I reati presi in esame dal report di Verizon sono ovviamente i primi, classificabili all’interno delle quattro categorie seguenti – seppur esse abbiano un mero scopo dottrinale – corrispondenti ai quattro principali capi del codice penale integrati e/o modificati negli anni dal legislatore italiano.

Le falsità informatiche

Queste condotte sono state equiparate alla disciplina delle falsificazioni dei documenti materiali tradizionali, con l’introduzione di una sorta di clausola generale, ben espressa all’interno dell’art. 491 bis c.p. Siamo nell’ambito dei delitti contro la fede pubblica: qui il legislatore ha esteso anche ai documenti informatici la tutela già accordata contro le falsificazioni di atti pubblici e scritture private. La disposizione in questione, sostanzialmente, rinvia alla disciplina prevista dal codice in questo capo. Resta, allo steso modo, valida, la differenza tra falsità materiale e ideologica, laddove nel primo caso si realizza una contraffazione del documento informatico, nel secondo caso un’alterazione od omissione a proposito del contenuto e dei fatti attestati dal documento informatico. Rientrano, infine, in questa particolare categoria di reati cibernetici, la falsificazione di carte di credito (art. 493 ter c.p.), che si prefigura anche con l’indebito utilizzo, e la sostituzione di persona (art. 494 c.p.). Quest’ultima fattispecie, che potremmo definire tradizionale, è emblematica di come, spesso, le nuove condotte informatiche riproducano perfettamente, attraverso l’utilizzo di un dispositivo tecnologico, quelle condotte già originariamente previste dal nostro sistema penale, seppur non tipicamente informatizzate e dematerializzate. In questo caso, pertanto, c’è una sovrapposizione totale, quindi anche nel grado di tutela, tra l’identità personale e la c.d. identità digitale.

 

I reati contro la riservatezza informatica

Questa categoria dottrinale ricomprende quelle disposizioni che disciplinano la tutela della riservatezza dei dati e ne puniscono le lesioni.  Il capo del codice nel quale ci troviamo è quello dei delitti contro l’inviolabilità del domicilio: la scelta del legislatore è indicativa di come si volessero riconoscere allo spazio virtuale tutelato, i gradi di un vero e proprio spazio vitale inaccessibile. Le condotte informatiche punite sono innanzitutto quelle degli artt. 615 ter, quater, quinquies c.p. Si tratta rispettivamente: dell’accesso abusivo a un sistema informatico-telematico, ripercorrendosi la struttura della violazione di domicilio (art. 614); della detenzione e diffusione abusiva di codici di accesso; della diffusione di apparecchiature, dispositivi, programmi informatici diretti a danneggiare o interrompere un sistema informatico-telematico. Quest’ultima disposizione però, quella cioè dell’art. 615 quinquies c.p., sarà approfondita a proposito della diffusione di virus informatici.

In relazione poi alla disciplina delle violazioni in materia di corrispondenza, all’art. 617 ter c.p., il legislatore ha accompagnato gli artt. 617 quater, quinquies e sexies c.p. Queste fattispecie disciplinano la tutela delle comunicazioni informatiche e telematiche e della loro integrità, contro le condotte illecite, rispettivamente, di: intercettazione, impedimento o interruzione; l’installazione di apparecchiature atte a intercettare o impedire comunicazioni; la falsificazione o alterazione o soppressione del contenuto delle comunicazioni.

I delitti contro l’integrità dei dati

Si tratta di una categoria più disarticolata che include tanto l’espansione del reato di danneggiamento sulle cose, quanto quelle condotte prodromiche al danneggiamento.  Il legislatore ha infatti accompagnato l’originaria disposizione dell’art. 635 c.p., che disciplina appunto l’ipotesi di danneggiamento, con quattro nuove disposizioni, gli art. 635 bis, ter, quater e quinquies c.p., per contrastare le condotte di danneggiamento, rispettivamente, avverso: dati e programmi informatici; informazioni e dati in uso dello Stato; sistemi informatici e telematici resi invisibili; sistemi informatici e telematici di pubblica utilità. L’oggetto delle condotte criminose tutelato dalla legge è dunque: talora il programma, inteso quale “espressione di istruzioni in linguaggio fruibile dall’elaboratore”; talaltra il dato, quale “rappresentazione di base di un fatto”; talaltra l’informazione, cioè “la rete di dati organizzati per l’utente”; infine il sistema, “il dispositivo che compie l’elaborazione”. Le condotte punite sono la distruzione, il deterioramento, l’alterazione, la cancellazione, la soppressione.

Capitolo a parte merita invece la diffusione di virus, intesa più generalmente quale “reato di diffusione di apparecchiature o dispositivi tesi a danneggiare un sistema informatico illecitamente”, una condotta quindi che in qualche modo precede l’evento del danneggiamento appena esaminato.  Questa condotta, punita dall’art. 615 quinquies c.p., impone una breve elencazione dei principali virus diffusi in rete. Generalmente, si tratta di “software capaci di introdursi in un programma per riprodursi e diffondersi”: sono malware quelli che “compiono azioni senza autorizzazione dell’utente”; i trojan horse sono quelli che attraverso l’utilizzo di codici dannosi, carpiscono dati tramite “software solo apparentemente autentici”; sono worm le “componenti software autonome che approfittano di difetti negli standard di sicurezza”; gli spyware sono i software che “raccolgono le informazioni”; gli adware sono “i software che si presentano sotto forma di banner promozionali”; infine si ricordino i ransomware, quei particolari malware menzionati dal rapporto Verizon. Le condotte punite sono: produrre, riprodurre, eventualmente procurare e importare, diffondere, consegnare, comunicare, mettere a disposizione.

Infine, il legislatore ha ampliato la nozione di violenza sulle cose a proposito dell’art. 392 c.p. (“esercizio arbitrario delle proprie ragioni con violenza sulle cose”), aggiungendovi un terzo comma con il quale aprire al riconoscimento della “violenza” su un programma informatico laddove esso sia alterato, modificato o cancellato.

Le frodi informatiche

Queste particolari fattispecie di frode si differenziano da quelle tradizionali, non solo, ovviamente, per l’utilizzo dello strumento informatico, quanto soprattutto per il soggetto passivo che non risulta qui essere tanto la vittima intesa quale persona fisica della frode, quanto il sistema informatico frodato. Non solo, dunque, vi è l’induzione in errore del soggetto, ma c’è soprattutto un abuso degli strumenti tecnici e dei dati ad essi relativi. È la condotta, punita dall’art. 640 ter c.p., di chi viola un sistema informatico/telematico per conseguire servizi o altri vantaggi. L’evento si realizza con il danno patrimoniale avverso la vittima e l’ingiusto profitto ottenuto. Data la difficoltà di inquadrare la condotta, condizione che rende l’art. 640 ter in qualche modo correlato con una serie di fattispecie ulteriori e diverse, va precisato che essa comprende tanto la fattispecie di alterazione del funzionamento di un sistema, quanto l’intervento non autorizzato su sistemi o programmi. Agli articoli 640 quater e quinquies, infine, sono disciplinate alcune fattispecie peculiari e aggravanti della frode informatica.

Capitolo a parte merita invece la condotta di phishing: è la captazione di dati bancari o postali mediante l’invio di email o sms che contengono link di collegamento a browser generalmente in grado di riprodurre l’interfaccia dei siti di home banking che si intendono simulare. La sua disciplina non è così scontata, anzi vacilla tra la frode informatica e la truffa semplice. Prima del 2013 si collocava all’interno dell’art. 615 ter, quale utilizzo abusivo di identità digitale. Con la L. n. 119/2013, l’art. 640 ter ha visto l’introduzione di un nuovo terzo comma, che aggiunge una specifica condotta di frode inglobando il phishing: “il fatto commesso con furto o indebito utilizzo dell’identità digitale in danno di uno o più soggetti”.

Volume consigliato

La responsabilità nei nuovi reati informatici

La responsabilità nei nuovi reati informatici

Flaviano Peluso (a cura di), Cecilia Cavaceppi, Francesco Saverio Cavaceppi, Daniela Cavallaro, Raissa Coletti, Alfonso Contaldo, Alessandra Cortese, 2020, Maggioli Editore

L’opera si pone quale strumento di analisi dei nuovi reati informatici e delle metodologie investigative, analizzando i diversi mezzi di ricerca e di acquisizione della prova informatica. Attraverso un’analisi sistematica, il volume affronta le singole fattispecie, ponendo...



 

Fonti: Enterprise.verizon.com; Agi.it; puntoinformatico.it; Dispensa Eipass “Cybercrimes”.

Diventa autore di Diritto.it

© RIPRODUZIONE RISERVATA


Per la tua pubblicità sui nostri Media:
maggioliadv@maggioli.it  |  www.maggioliadv.it

Gruppo Maggioli
www.maggioli.it

Ricevi tutte le novità di Diritto della settimana 
in una pratica email  direttamente nella tua casella di posta elettronica!

Non abbandonare Diritto.it
senza iscriverti alla newsletter!