Il caso Vierika - una nota di commento
di Paola Scardino
Nota a Sentenza Trib. Penale di Bologna, I Sez. Giudice Monocratico, Sent. 21.07.05
La Sentenza emessa dal Tribunale di Bologna merita particolare attenzione in quanto, per la prima volta, è stata posta all’attenzione di un Giudice un caso di “Virus Informatico”.
Il provvedimento, per chi nutre interesse verso la materia del diritto informatico, è particolarmente interessante, non tanto per la decisione in sé, ma perché il linguaggio tecnico utilizzato sia dalla difesa che dal Giudicante lascia trasparire una buona conoscenza dell’informatica e ciò, nel contesto giudiziario in cui si versa, dà contezza del fatto che sia in corso un adeguamento ai tempi anche nella preparazione degli operatori di Giustizia.
Dopo il punto 1, in cui si analizzano il fatto e le fonti di prova, il Giudice dedica il punto 2 alla descrizione del worm Vierika.
In primo luogo occorre chiarire che per virus informatico si intende quel programma avente per effetto l’alterazione del funzionamento di un sistema informatico.
L’imputato del procedimento instaurato dinanzi il Tribunale di Bologna, è stato ritenuto colpevole dei reati previsti agli artt. 615 ter e quinquies c.p. perché, dopo aver creato un programma informatico rientrante nella categoria “virus”, da lui denominato “Vereika”, lo trasmetteva via internet al provider “Tiscali” e tramite questo a numerosi utilizzatori del provider stesso.
La conseguenza del “contagio” era un abbassamento delle difese di protezione del computer, che avrebbe poi consentito ad un secondo elemento del virus di prodorre delle differenti conseguenze.
Il virus Vierika fa parte della famiglia dei “worm” ed era programmato in Visual Basic Script, ma i suoi effetti derivavano dall’interazione di due script differenti: il primo, era allegato come attachment ad una e-mail e, una volta eseguito, agiva sul registro di configurazione di Windows, abbassando al minimo livello le impostazioni di protezione del browser Internet Explorer e impostando come home page del browser una determinata pagina web.
Il secondo script, invece, era contenuto in un documento html e, come puntualmente descritto dal Giudice, si attivava quando l’utente, collegandosi ad internet, veniva automaticamente indirizzato dal browser alla pagina web che il primo script aveva precedentemente impostato come home page.
Lo script contenuto nel documento html aveva poi il compito di creare nel disco rigido un file contenente la prima parte del codice e produrre un effetto di mass-mailing. La conseguenza era che tutti gli indirizzi contenuti in Outlook Express avrebbero ricevuto una mail contenente l’allegato sopra descritto e, dunque, il virus Vierika.
Ampio spazio viene poi dedicato, dal Giudice, gli accertamenti tecnici ed al metodo utilizzato per l’acclaramento e l’accertamento della verità.
Nella fattispecie concreta, è da chiarirlo, vi è stata un’ampia collaborazione dell’imputato. Egli stesso, non solo ha fornito copia del programma, ma ne ha spiegati gli effetti e riconosciuto la paternità.
Quanto asserito dall’imputato in sede di interrogatorio ha trovato pieno riscontro negli accertamenti compiuti dalla p.g. anche sulla base dei dati ad essa forniti dai provider Fiscali ed Infostrada.
Non sbaglia, dunque, il Giudice quando, in sentenza, dice che è puro esercizio accademico affrontare la problematica del metodo utilizzato per svolgere le indagini.
Bisogna però, di contro, rilevare che,data la giovinezza della materia, occorrerebbe svecchiare la metodologia di investigazione.
Il Giudice opera un’approfondita digressione sulla valenza della perizia tecnica, ponendo come premessa che “Non è compito di questo Tribunale determinare un protocollo relativo alle procedure informatiche forensi, ma semmai verificare se il metodo utilizzato dalla p.g. nel caso in esame abbia concretamente alterato alcuni dei dati ricercati”.
È bene ricordare che la perizia è un mezzo di prova definito “neutro”, utilizzato dal Giudice come strumento di valutazione in ambiti specialistici. Il perito svolge il suo compito attraverso delle attività che necessitano di conoscenze specifiche e di particolare tecnica, oppure valuta, in base alla sua preparazione, dati già acquisiti.
Delle perizia si occupa l’art. 220 c.p.p., che testualmente recita: “Oggetto della perizia. — 1. La perizia è ammessa quando occorre svolgere indagini o acquisire dati o valutazioni che richiedono specifiche competenze tecniche, scientifiche o artistiche.
2. Salvo quanto previsto ai fini dell’esecuzione della pena o della misura di sicurezza, non sono ammesse perizie per stabilire l’abitualità o la professionalità nel reato, la tendenza a delinquere, il carattere e la personalità dell’imputato e in genere le qualità psichiche indipendenti da cause patologiche”.
Il Tribunale, nel chiarire la propria posizione, fa riferimento a due correnti giurisprudenziali sviluppatesi circa il valore dalla perizia.
In particolare, secondo un primo più recente ma meno consolidato orientamento, è possibile parlare di cogenza della perizia. Essa sarebbe configurabile ogni qual volta, ai fini della ricognizione del reato, siano necessari degli accertamenti di tipo tecnico (Cass. Pen. 4686/05; 5672/05).
Vale a dire che esisterebbe un dovere del Giudice di disporre un accertamento tecnico in tutti i casi in cui si riscontrino le condizioni di ammissibilità prevista nel citato art. 220c.p.p.
Il secondo orientamento, invece, definisce la perizia “Un mezzo di prova essenzialmente discrezionale, essendo rimessa al giudice di merito, anche in presenza di pareri tecnici e documenti prodotti dalla difesa, la valutazione della necessità di disporre indagini specifiche. Ne consegue che non è sindacabile in sede di legittimità, sempre che sia sorretto da adeguata motivazione, il convincimento del giudice circa l'esistenza di elementi tali da escludere la situazione che l'accertamento peritale richiesto dovrebbe dimostrare (Cass. VI, sent. 34089 del 8-8-2003)”.
Precedentemente è stato altresì sostenuto che “La perizia è mezzo di prova neutro ed è sottratta al potere dispositivo delle parti, che possono attuare il diritto alla prova anche attraverso proprie consulenze. La sua assunzione è pertanto rimessa al potere discrezionale del giudice e non è riconducibile al concetto di prova decisiva (Cass. V, sent. 12027 del 21-10-99)”.
In questo caso, “La tutela delle parti, si esplicherebbe a livello motivazionale, dovendo l’organo giudicante dare compiuta contezza dei risultati raggiunti: qualora ritenga di aderire alla prospettazione tecnica di una delle parti, non è peraltro gravato dall’obbligo di fornire autonoma dimostrazione dell’esattezza scientifica delle conclusioni raggiunte e dell’erroneità di tutte quelle espresse, dovendosi considerare sufficiente che egli dimostri di avere comunque valutato le conclusioni e le argomentazioni delle parti (si veda Cass. Pen. N. 34379/04)”.
Più risalente, ma di analogo tenore: “In tema di valutazione delle risultanze peritali, quando le conclusioni del perito d’ufficio non siano condivise da consulenti di parte, ed il giudice ritenga di aderire alle prime, non dovrà per ciò necessariamente fornire, in motivazione, la dimostrazione autonoma della loro esattezza scientifica e della erroneità, per converso, delle altre, dovendosi al contrario considerare sufficiente che egli dimostri di aver comunque criticamente valutato le conclusioni del perito d’ufficio, senza ignorare le argomentazioni dei consulenti; ragione per cui potrà configurarsi vizio di motivazione solo quando risulti che queste ultime fossero tali da dimostrare in modo assolutamente lampante ed inconfutabile la fallacia di quanto affermato dal suddetto perito; e ciò avuto anche riguardo alla diversa posizione processuale dei consulenti di parte rispetto ai periti, essendo i primi, a differenza degli altri, chiamati a prestare la loro opera nel solo interesse della parte che li ha nominati, senza assunzione, quindi, dell’impegno di obiettività previsto, per i soli periti, dall’art. 226 c.p.p. (Cass. I, sent. 11706 del 22-12-93).
Il Tribunale di Bologna sembra abbracciare il secondo orientamento ed evidenzia il fatto che il primo “Non consente un agevole coordinamento tra il libero convincimento del giudice e quello del contraddittorio tra le parti”.
E che il Tribunale di Bologna aderisca a detto orientamento, lo dimostra quanto asserito, in motivazione, circa la condotta difensiva tenuta dall’avvocato dell’imputato.
Viene dal Giudice precisato come “La difesa si sia limitata ad allegare che i metodi utilizzati, (…), conducono a risultati che non possono essere ritenuti ab origine attendibili (…)”.
In merito all’accennata disputa, non è intenzione di chi scrive assumere alcuna posizione. Invero, preme maggiormente dissentire dalla premessa effettuata dal Giudice di Bologna.
Se non è compito del Tribunale determinare un protocollo relativo alle procedure informatiche forensi, il Giudice, forte di quella discrezionalità attribuitagli dal legislatore e tanto valorizzata anche da quella corrente giurisprudenziale, cui peraltro sembrerebbe aderire, ben potrebbe tentare di svecchiare, innovandolo, il sistema di indagine ed acquisizione delle prove nei casi di violazione del diritto informatico.
E ciò potrebbe avvenire, anche e specialmente, dando ampio spazio a periti tecnici (siano essi della difesa o dell’accusa), altamente specializzati ed inseriti in un contesto tecnologico di avanguardia, limitandosi ad assicurare una validità scientifica dei metodi.
Ma non solo: occorre la forza di osare ed andare oltre quello che è il nostro bagaglio, sfociando nello sperimentale.
Ed, a proposito, vale la pena di riportare questa pronuncia della Cassazione: “In tema di valutazione dei risultati peritali, il giudice deve verificare la validità scientifica dei criteri e dei metodi di indagine utilizzati dal perito, allorché essi si presentino come nuovi e sperimentali e perciò non sottoposti al vaglio di una pluralità di casi ed al confronto critico tra gli esperti del settore, sì da non potersi considerare ancora acquisiti al patrimonio della comunità scientifica (Cass. II, sent. 834 del 14-1-2004)”.
Al punto 6 della sentenza, infine, il Giudice analizza il reato previsto all’art. 615 ter c.p. e verifica, in riferimento al caso concreto, l’esistenza di tutti i requisiti necessari per ascrivere, in capo all’imputato, il reato paventato.
È bene ricordare che i c.d. Computer crimes sono stati introdotti nel Codice Penale dalla Legge n. 547/93. Secondo detta legge si deve ritenere “Sistema informatico” un complesso di apparecchiature destinate a compiere una qualsiasi funzione utile all’uomo, attraverso l’utilizzazione (anche parziale) di tecnologie informatiche, che sono caratterizzate per mezzo di un’attività di «codificazione» e «decodificazione» dalla «registrazione» o «memorizzazione», per mezzo di impulsi elettronici, su supporti adeguati, di «dati», cioé di rappresentazioni elementari di un fatto, effettuata attraverso simboli (bit), in combinazione diverse, e dalla elaborazione automatica di tali dati, in modo da generare «informazioni», costituite da un insieme più o meno vasto di dati organizzati secondo una logica che consenta loro di esprimere un particolare significato per l’utente. La valutazione circa il funzionamento di apparecchiature a mezzo di tali tecnologie costituisce giudizio di fatto insindacabile in cassazione ove sorretto da motivazione adeguata e immune da errori logici (Cass. Pen. VI, sent. 3067/99).
In particolare, poi, l’art. 615 ter è rubricato “Accesso abusivo ad un sistema informatico o telematico”. Esso è inserito nel Libro II, Titolo XII, Capo III, Sez. IV, del Codice Penale.
Già dalla collocazione di detto articolo all’interno del Titolo XII (“Delitti contro la persona”), si evince l’intenzione del legislatore, che è quella di paragonare ed equiparare il domicilio informatico al concetto della privata dimora, così come tutelata dall’art. 614 c.p.
In questo modo “Il legislatore ha assicurato la protezione del domicilio informatico quale spazio ideale (ma anche fisico in cui sono contenuti i dati informatici) di pertinenza della persona, ad esso estendendo la tutela della riservatezza della sfera individuale, quale bene anche costituzionalmente protetto. Tuttavia l’art. 615 ter non si limita a tutelare solamente i contenuti personalissimi dei dati raccolti nei sistemi informatici protetti, ma offre una tutela più ampia che si concreta nello jus excludendi alios, quale che sia il contenuto dei dati racchiusi in esso, purchè attinente alla sfera di pensiero o all’attività, lavorativa o non, dell’utente; con la conseguenza che la tutela della legge si estende anche agli aspetti economici-patrimoniali dei dati, sia che tutelare dello jus excludendi sia persona fisica, sia giuridica, privata o pubblica o altro ente (Cass. Pen. sent. n. 3067/99)”.
Il Tribunale di Bologna ha ben posto in evidenza tutti gli elementi che costituiscono l’articolo, analizzandoli e verificandone la sussistenza nel caso di specie.
L’art. 615 ter, testualmente, cita: “Chiunque abusivamente si introduce in un sistema informatico o telematico protetto da misure di sicurezza ovvero vi si mantiene contro la volontà espressa o tacita di chi ha il diritto di escluderlo, è punito con la reclusione fino a tre anni.
La pena è della reclusione da uno a cinque anni:
1)(…);
2) se il colpevole per commettere il fatto usa violenza sulle cose o alle persone, (…)
3) se dal fatto deriva la distruzione o il danneggiamento del sistema o l’interruzione totale o parziale del suo funzionamento, ovvero la distruzione o il danneggiamento dei dati, delle informazioni o dei programmi in esso contenuti”.
L’ “introduzione” nel sistema informatico, così come chiarito in motivazione, “Sussiste ogni volta che vengano sorpassati gli ostacoli che presidiano l’accesso al sistema e che non presuppone necessariamente che il reo sia in grado di poter richiamare e disporre dei dati e programmi contenuti nel computer violato”.
Ciò è ancor più vero se si tiene conto degli intenti del legislatore del ’93, che ha equiparato il domicilio informatico a quello fisico. Infatti, dall’art. 614 c.p., viene punito chi, contro la volontà di chi ha il diritto di escluderlo, si introduca nell’abitazione altrui.
Non è dunque rilevante la potenziale lesività dell’accesso abusivo al sistema informatico, per la norma, la condotta viene punita a prescindere, solo per il fatto di essere avvenuta abusivamente.
Ed infatti, le misure poste a salvaguardia di un sistema informatico, qualunque sia il loro grado di efficacia e/o superabilità, secondo la norma in oggetto, hanno la sola funzione di manifestazione dello jus excludendi. Del resto “L’illecito non si sostanzia nell’effrazione dei mezzi di protezione, ma nella violazione delle disposizioni del titolare”.
Al fine di valutare l’abusività, poi, il Giudice di Bologna ha considerato la natura, le finalità e le modalità della condotta dell’imputato che sono state volte ad aggirare il diritto di esclusione dei titolari.
L’ “Abusività” viene correttamente fatta discendere dalla “Fraudolenta induzione in errore dell’utente che riceveva l’e-mail (…) integrata anche dal sistema occulto con il quale agiva il secondo script, posto che l’abbassamento delle impostazioni di protezione del browser comportava l’esecuzione della seconda parte del codice senza che l’utente ne avesse alcuna consapevolezza”.
Come sintomi di fraudolenza il Tribunale identifica due particolari circostanze: la prima è la scelta come attachment, da parte dell’imputato, di un oggetto che stimolasse la curiosità dell’utente (con l’ovvio fine di aggirarne la volontà); la seconda è il nascondere la paternità dell’e-mail. Infatti, lo stesso worm, si autoreplicava sfruttando gli indirizzi contenuti nella rubrica di Outlook e, dunque, il destinatario cadeva nell’errore di attribuire l’e-mail ad un mittente differente, con la conseguenza di ritenere sicura la posta ricevuta.
Il Giudice di Bologna ha poi ritenuto di poter configurare, a carico dell’imputato, anche l’aggravante prevista al co. II n. 2 e 3.
In particolare, si è ritenuto che la condotta posta in essere dall’imputato si sia verificata operando violenza sulle cose ed inoltre, che il virus Vierika abbia comportato effetti pregiudizievoli ai sistemi informatici colpiti.
E, in effetti, l’ingresso nei sistemi informatici era avvenuto mediante l’alterazione del funzionamento degli stessi, condotta che può farsi ricomprendere nella previsione del co II n. 2 dell’art. 615 ter.
Non si trova difficoltà nemmeno nella possibilità di configurare l’ulteriore aggravante contestata.
Ciò che, a parere di chi scrive, sembra un po’ eccessivo, è la prospettazione, da parte del Giudice di primo grado, di una “pregiudizievole veicolazione di informazioni” in quanto “l’invio di una e-mail a tutti gli indirizzi presenti nella rubrica di Outlook, rende edotto il destinatario di informazioni che l’apparente mittente potrebbe volere non rilevare (quali, ad esempio, la sua avvenuta connessione ad internet; la conoscenza del suo recapito e-mail che il destinatario può ricavare dal messaggio ricevuto; il fatto, che può essere ignoto al destinatario, che il mittente abbia la disponibilità del suo indirizzo e-mail)”.
Sull’elemento soggettivo, infine, c’è poco da discutere. La condotta dell’imputato, anche per sua ammissione, era assolutamente volta ad ottenere i risultati raggiunti, nella piena consapevolezza delle proprie azioni e con la prospettazione dell’evento lesivo.
La Sentenza del Tribunale di Bologna, concludendo, è degna di nota, non tanto per la decisione in sé, che non va a dirimere grosse o annose questioni giurisprudenziali, ma perché dimostra che è in corso un adeguamento ai tempi da parte degli operatori di giustizia, che, poco alla volta, anche gli utenti dei sistemi informatici stanno prendendo coscienza dei propri diritti e stanno imparando a difendersi dalle più frequenti violazioni di essi.
Ciò che, invece, emerge con vigore, è l’esigenza di un adeguamento ai tempi anche dei mezzi di ricerca della verità, in quanto appare necessario che i Giudici, forti di quella discrezionalità assicuratagli dal legislatore, si spoglino delle vecchie concezioni e guardino, in modo giovane, verso nuove ed inesplorate modalità di indagine.
Inserito il 25/02/2006 | Cybercrimes