Pagina pubblicata tra il 1995 e il 2013
Le informazioni potrebbero non essere più valide
Documenti e testi normativi non sono aggiornati

 

 Attualità

Spyware: quanti reati con i programmi "indiscreti"
di Simone Grisenti - 15.01.01

In tempi di grande attenzione per la privacy, la libertà personale e la tutela del lavoratore, la Rete si fa veicolo di pericolosi strumenti che permettono anche al più sprovveduto di eludere proprio tali forme di tutela.
Navigando attraverso alcuni dei più comuni siti dedicati al download di file (Volftp, Tucows, e molti altri), si possono reperire programmi specificamente dedicati a carpire, in maniera invisibile e drammaticamente efficiente, dati personali, password e ID dell'utente oppure a controllare ogni attività, ivi inclusa la corrispondenza e i dati personali, del dipendente.
Sembra impossibile, eppure l'impreparazione alle problematiche giuridiche che la Rete, con la sua ultraterritorialità, comporta, può avere anche queste conseguenze.

Ma andiamo per gradi.
I programmi in questione si trovano inseriti e recensiti di solito fra le utilità per la sicurezza, ed hanno nomi più o meno suggestivi: Spyagent, 007 S.T.A.R.R., Watchdog. Si tratta di utility che permettono di ottenere un log di tutto ciò che è stato fatto con la macchina sulla quale sono stati installati: i siti visitati, il contenuto delle finestre pop up, le user ID, password o e-mail digitate sulla tastiera.
Alcuni di questi software (tutti ben fatti, per il vero) permettono anche di ottenere delle screenshots del monitor a intervalli regolari e tutti sono studiati per girare in modalità stealth, cioè nascostamente dall'utente e non rilevabili dalla taskbar di sistema.
Tutti i problemi nascono, secondo chi scrive, dalla circostanza che tale software è per lo più di provenienza straniera (soprattutto americana) ed è quindi nato da e per un sistema giuridico diverso da quello italiano, comunque improntato a differenti principi giuridici, mentre chi lo distribuisce non opera alcun distinguo e dà per buoni questi contenuti a priori.

Pur dando per scontata la buona fede dei gestori dei vari siti, le conseguenze di questa superficialità e, anche, di una certa ignorantia legis, possono essere gravissime sia per chi scarica e utilizza i programmi, sia per chi li mette a disposizione.
I programmi sono descritti con frasi tipo "Are your employees wasting time on the internet? This application allows you to watch your employees real-time", oppure "e' un programma che va installato sul PC dell'utente (un familiare minorenne, un dipendente, ecc.) che si vuole "controllare" e "registrera' (totalmente non rilevabile per l'utilizzatore del PC) tutte le informazioni sull'utilizzo che l'utente "spiato" ha fatto del computer".
Proprio questo tipo di indicazioni potrebbe essere fuorviante, e foriero di gravi conseguenze, per chi decida di utilizzare i suddetti programmi senza una grande attenzione per la normativa italiana.

Innanzitutto, l'impiego indiscriminato di questi software potrebbe esporre l'incauto utilizzatore a gravi violazioni della legge sulla privacy: si considerino, ad esempio, i diversi obblighi di informativa previsti per chi raccoglie i dati e i connessi diritti del titolare degli stessi (artt. 10, 11 e 13), nonché le richieste cautele nel trattamento e nella conservazione dei dati acquisiti (art. 15).
E' ovvio che ben difficilmente la raccolta dei dati così operata potrebbe avvenire nel rispetto delle suddette norme, cosicché è prevedibile che chi utilizza alla leggera questi software possa prima o poi incorrere in violazioni dell'art. 35 (Trattamento illecito di dati personali) o, quasi sicuramente, in quella dell'art. 36 (Omessa adozione di misure necessarie alla sicurezza dei dati).
Se poi il log contenente i dati acquisiti dovesse anche essere trasmesso ad altri, ad esempio un collega o il capoufficio, l'autore potrebbe rischiare sanzioni più gravi e incorrere in obblighi di natura risarcitoria, soprattutto qualora ne derivasse nocumento all'interessato.

Si consideri, per avere un'idea della pericolosità di questi programmi), la possibilità che la persona spiata possa scrivere e-mail o collegarsi a siti dai quali si possano ricavare "dati sensibili" quali: "l'origine razziale ed etnica, le convinzioni religiose, filosofiche o di altro genere, le opinioni politiche, l'adesione a partiti, sindacati, associazioni od organizzazioni a carattere religioso, filosofico, politico o sindacale, nonché i dati personali idonei a rivelare lo stato di salute e la vita sessuale".
E' evidente, in questo caso, anche il vuoto legislativo lasciato dal legislatore nazionale, che non ha provveduto a limitare espressamente ed efficacemente la diffusione di tali programmi (il che, vista la parossistica attenzione dedicata alla protezione della privacy, è quantomeno paradossale).

Quanto al suggerimento di utilizzare il software per controllare, a sua insaputa, l'attività del dipendente, è evidente che non si è posta la dovuta attenzione alla normativa italiana, segnatamente a quella contenuta nella L. 300/70 (Statuto dei Lavoratori).
Controllare l'attività del dipendente, infatti, anche se attraverso il computer (si veda, in proposito, Pret. Milano del 5.12.84), comporta la violazione dell'art. 4 dello statuto dei lavoratori (divieto dell'uso di impianti audiovisivi e di altre apparecchiature per finalità di controllo a distanza dell'attività dei lavoratori). In tal caso l'art. 38 della legge 300/70 prevede, "salvo che il fatto costituisca più grave reato, l'ammenda da L. 300.000 a lire tre milioni o l'arresto da 15 giorni a un anno. Nei casi più gravi le pene dell'arresto e dell'ammenda sono applicate congiuntamente".
Come si vede, il suggerimento viene dato, quantomeno, con una certa superficialità.

Altre gravi conseguenze per l'utilizzatore, si possono facilmente prevedere, ancora, partendo dalla descrizione delle varie funzioni di tali software: "It logs keystrokes, user names, passwords, path names, access times, windows titles and visited Web sites in a password-protected and encrypted file".
Insomma, se impiegato secondo i suggerimenti di installazione contenuti nel pacchetto software, questi programmi consentono, di fatto, di acquisire codici e password di accesso alla macchina controllata o al sistema informatico (ad esempio, accesso ad una rete più ampia), ma proprio l'utilizzazione in tal senso concretizza la fattispecie di cui all'art. 615 quater c.p (detenzione e diffusione abusiva di codici di accesso a sistemi informatici o telematici).
E' bene precisare, infatti, che basta la sola "abusiva detenzione" del codice di accesso (in tal senso, Cassazione penale sent. del 2.7.98, n. 4389, in Studium Juris 2000, 91) perché si configuri il reato, ed è ben difficile sostenere la mancanza dell'elemento soggettivo dopo aver provveduto ad una installazione che si sapeva essere stealth.
Se tali codici, poi, venissero anche utilizzati per accedere al sistema informatico o alla Rete, il malcapitato incorrerebbe nel reato di cui all'art. 615 ter c.p., (accesso abusivo ad un sistema informatico), e ciò anche indipendentemente dalla volontà di arrecare danno o meno (si veda la sentenza del Tribunale di Torino del 7.2.98).

Quanto poi alla possibilità di catturare, con questi strumenti, il testo digitato nelle e-mail dalla persona controllata, è facile immaginare come si realizzi in tal modo una "violazione di corrispondenza" ai sensi dell'art. 616 c.p., visto che il contenuto della corrispondenza viene registrato per intero e all'insaputa dello scrivente.

Qualche dubbio, invece, non avendo chi scrive esplorato fino in fondo i programmi in oggetto, ed essendo scarsa la giurisprudenza sul punto, sussiste per la fattispecie di cui all'art. 617 quater c.p., ovvero l'intercettazione illecita di comunicazioni telematiche: i programmi, infatti, sono in grado di riferire il contenuto di molte finestre pop up aperte dall'utente e l'indirizzo di pagine web visitate, nonché eventuali dati e informazioni digitati dall'utente.
Ma già l'installazione del software in questione, in realtà, dovrebbe configurarsi come reato, potendosi, secondo chi scrive, interpretare in tal senso la dizione "apparecchiatura" di cui all'art. 617 quinquies c.p, che sanziona, appunto, l'"Installazione di apparecchiature atte ad intercettare .comunicazioni telegrafiche o telefoniche".
Ed ancora, un p.m. particolarmente zelante potrebbe ritenere che la cattura di una screeshot del monitor sul quale l'utente ha visionato immagini personali o di familiari o la registrazione nel log di un sito per incontri di coppie visitato da chi viene controllato, possa configurare il reato di cui all'art. 615 bis c.p., ovvero "interferenze illecite nella vita privata".

Insomma, i rischi per l'utente insiti nell'utilizzo di tali software sono, come si vede, numerosissimi e proprio la libera circolazione di questi programmi può indurre anche ad un uso ioci causa, per fare uno scherzo o per sfida, con gravissime conseguenze per vittima e colpevole.
Tuttavia, anche il portale che li diffonde o li mette a disposizione del pubblico, secondo chi scrive, corre, a ben vedere, qualche rischio.
Il già richiamato art. 615 quater c.p., sanziona anche chi "al fine di procurare a se o ad altri un profitto o di arrecare ad altri un danno, .fornisce indicazioni o istruzioni idonee al predetto scopo (procurarsi i codici di accesso a sistemi protetti, n.d.r.).
Proprio le didascalie con le quali i programmi vengono recensiti e spiegati, incentrate sulla segretezza e sull'accesso a dati personali (e-mail, ID, password.), accompagnate dalle istruzioni per un'installazione "invisibile", possono di fatto essere considerate "indicazioni atte a procurare i codici di accesso" della malcapitata vittima.

Si tratta, nuovamente, di vera e propria fattispecie penale, e ben difficilmente si potrà ritenere tale condotta scriminata dalla clausola di esclusione della responsabilità che, in alcuni casi, accompagna la distribuzione di tali software .
Altri rischi per il portale potrebbero essere l'imputazione di "istigazione a delinquere", ai sensi dell'art. 414 c.p., o addirittura di "associazione per delinquere" ex art 416 c.p.
Vorrei osservare che, in relazione alla prima fattispecie, la giurisprudenza ritiene sussistente l'istigazione quando "sia posta in essere pubblicamente la propalazione di propositi aventi ad oggetto comportamenti rientranti in specifiche previsioni delittuose, effettuata in maniera tale da poter indurre altri alla commissione di fatti analoghi" (Cass. Pen. N. 10641 del 3.11.97, in Riv. Polizia 1999, 580), ma, sul punto, non proseguo oltre, limitandomi a segnalare la questione come spunto di maggior approfondimento.

Ciò che mi pare importante notare, tuttavia, è il fatto che, a fronte della segnalazione di chi scrive, un portale italiano abbia risposto, candidamente, affermando che "Secondo il nostro giudizio il programma e' perfettamente distribuibile tanto e' vero che lo puo' trovare su Tucows, Simtel, Zdnet, Winfiles e tanti altri siti FTP del mondo", dimostrando così che il problema nasce proprio dalla scarsa conoscenza e sensibilità giuridica degli operatori: se è vero, infatti, che tale materiale si trova un po' ovunque sulla rete, è però altrettanto vero che un portale italiano ne deve valutare la proponibilità e la legalità alla luce delle leggi nazionali, non di un presunto ius gentium".

In realtà, a voler essere precisi, si dovrebbe rammentare che la Naming Autority italiana, nella propria netiquette (lo ius gentium della Rete, se vogliamo), definisce "comportamenti palesemente scorretti: - violare la sicurezza di archivi e computers della rete; violare la privacy di altri utenti della rete, leggendo o intercettando la posta elettronica loro destinata;".
Dunque, contribuire in maniera sostanziale all'efficace realizzazione di tali condotte, anche ammettendo che non sia reato, non è comunque buona politica né condotta in linea con i principi di correttezza stabiliti, in Italia, per chi utilizza la rete.
Alla luce di tutto ciò, dovremo allora prendere atto di una cosa: ormai non è più vero che non esistono leggi ad hoc per la Rete, piuttosto occorre prendere atto che tale normativa, seppure esigua, essenziale, e ancora poco corroborata dai distinguo della giurisprudenza, viene spesso ignorata, continuandosi, nonostante tutto, a ritenere la rete un luogo senza sceriffi, come il Far West.