.Diritto .
Informatica
11. I COSTI DEI CRIMINI INFORMATICI
Da quanto rilevato, le conseguenze negative per l’azienda possono es-
sere identificate essenzialmente in termini di: danno all’immagine ed
alla reputazione, costo di ripristino della situazione fisiologica del
servizio, perdita di clienti acquisiti e da acquisire ed ancora in termini di spese nec-
essarie per avvisare clienti, fornitori e pubblico in generale, perdita di produttività
del personale e spese legali. Tra i costi correlati al crimine informatico bisogna citare
anche quelli necessari per scoprire quanto è in realtà accaduto all’interno dell’azienda.
In numerosi casi, infatti, ciò che viene immediatamente rilevato è il danno men-
tre la causa è più difficile da determinare. Per questo motivo, le aziende vittime di
un crimine informatico devono investire delle risorse, a volte ingenti, per svolgere
delle indagini interne al fine di determinare l’entità del danno e la sua causa.
E’ interessante mettere in risalto la rilevanza di un altro dato: la diminuzione
della figura del singolo criminale e il sempre maggiore consolidamento di or-
ganizzazioni criminali dotate di competenze e strutture agili e moderne. ¬¬
Per dare una dimensione più concreta del fenomeno italiano dei crimini infor-
matici è opportuno estrapolare dai dati complessivi della citata indagine esclusi-
vamente quelli rilevati all’interno delle aziende italiane coinvolte nell’inchiesta :
a) il 23% delle aziende italiane ritiene il crimine informatico più perico-
loso rispetto al crimine tradizionale (a livello globale il valore è il 40%);
b) il 40% delle aziende italiane ritengono che le due tipol-
gie di crimine – informatico e tradizionale - rappresentino una
mnaccia di uguale gravità (a livello globale il valore è il 30%);
c) il 46% delle aziende italiane ritiene il crimine informatico più cos-
toso di quello tradizionale (a livello globale il valore è il 58%);
d) il 51% delle aziende italiane ritiene che le minacce alla sicurezza aziendale proven-
gano dall’interno delle rispettive organizzazioni (a livello globale il valore è il 66%).
La riflessione conclusiva coinvolge tutte le nuove tecnologie informatiche che ba-
sano la loro stessa esistenza sulla gestione di informazioni e dati: le tracce che tutti
noi lasciamo muovendoci ed operando fisicamente (percorrendo l’autostrada, uti-
lizzando la carta di credito, il bancomat e il telefono cellulare...) o “virtualmente”
nella rete (dando e ricevendo informazioni in modo volontario o involontario;
richiedendo e concedendo l’utilizzo di una serie di dati personali oppure semplice-
mente consultando determinate notizie piuttosto che altre...) potrebbero rappre-
sentare un terreno difficile da controllare per le organizzazioni giuridiche statali
ed internazionali. Per questo occorre formare e diffondere una nuova coscienza ed
una diversa concezione delle responsabilità legate alla gestione delle “informazi-
oni”. Tali realtà non dovranno essere limitate ai rigidi confini nazionali, troppo
stretti ed angusti per strumeti completamente slacciati dalla dimensione territoriale,
ma proiettate verso una visione globale della società umana.
Il legislatore, in quest’epoca di grandi sconvolgimenti tecnologici, deve pre-
pararsi ad un complesso ed affascinante lavoro di ricerca e di sperimentazi-
one. La necessità di adattare vecchie norme alle nuove esigenze e di pro-
gettare sistemi innovativi di regolamentazione, controllo e repressione
rappresentano le principali preoccupazioni dei legislatori di tutto il mondo.
Con Internet, in particolare, si riassapora la modernità di un vecchio inseg-
namento contenuto, come in una macchina del tempo che lo custodisce e lo
preserva sempre attuale, nella celebre frase « ubi societas, ibi ius».
Non comprendere, fino in fondo, la natura e le modalità operative dei rapporti che nas-
cono in questo nuovo tessuto sociale vuol dire, in realtà, abbandonare la società globale,
virtualmente già nata e operante in rete alla terribile e primordiale legge “di natura” dove
il più forte detta le regole che gli altri, più deboli, sono costretti ad osservare e subire.
Nel vuoto di tutela e di controllo, ad esempio, le organizzazioni criminali sem-
pre più attrezzate con supporti tecnici e conoscenze informatiche potrebbero in-
serirsi al fine di operare fuori da ogni possibile controllo, ricostituendo così vir-
tualmente quello che l’ordinamento giuridico statale gli ha sottratto fisicamente:
un territorio feudale dove poter liberamente ideare, progettare e realizzare i pro-
pri interessi. Il ruolo del territorio, un tempo scenario fisico necessario per qua-
lunque tipo di dinamica sociale ed economica, diviene sempre più marginale.
Come evidenziano i dati citati all’inizio del paragrafo appare ormai consolida-
ta, sia a livello globale e sia a livello nazionale, la consapevolezza che il costo del
crimine informatico ha assunto delle dimensioni di rilevanza allarmante e che,
per usare le parole di Corrado Giustozzi, «nell’era della “azienda connessa” ...
Internet e gli hacker sono un capro espiatorio, quando non uno specchio per le allodole,
mentre i veri problemi sono quasi sempre altrove: dentro le nostre aziende ed organiz-
zazioni, non fuori da esse» Alla luce dello scenario che questo breve scritto ha tentato di
illustrare, purtroppo necessariamente solo per punti, occorre, anche se a piccoli passi,.
prendere coscienza di un fenomeno destinato ad estendersi sempre più in pro-
fondità nella società, che entra nella vita di tutti non bussando delicatamente
alla porta e chiedendo il permesso di entrare ma sfondando ogni bar-
riera fisica posta davanti al suo cammino, coinvolgendo tutti e tutto.
Leo Stilo
Docente di Informatica 1 all’Università LUM (Libera Università del Medi-
terraneo- Jean Monnet), presso il “Campus degli Studi e delle Univer-
sità di Pomezia”. Direttore della rivista Il Nuovo Diritto, autore di pub-
blicazioni in materia di diritto penale e diritto delle nuove tecnologie
informatiche. Collabora, ponendosi come partner per la sicurezza in-
formatica e come consulente in diritto dell’internet, con aziende e liberi
professionisti . E’ docente in corsi di formazione in materia di tutela
dei dati personali ed informatica per aziende private ed enti pubblici.
EDITORIALE
Tutti coloro che affrontano un viaggio hanno bisogno di un vademecum, di un notes,
della bisaccia delle esperienze e delle conoscenze che raccolgono durante l’intero per-
corso. Le parole denotative, le espressioni connotative, i concetti, i simboli e i significati
diventano appunti, pensieri che si ammassano in ordine sparso dentro un conteni-
tore di fortuna. Quando si incontra un altro viandante, senza forma e senza arti-
colazione logica, quelle parole non riescono ad essere trasmesse, ad essere scambiate.
Non crescono, idee e concetti giacciono pigri, soffocati nel disordine di una sacca. È
il dramma della informazione che non riesce a diventare comunicazione, che non
passa, che non sa essere scambiata e staziona in un archivio in attesa di una sua
utilizzazione.
“La mia professione – diceva Ballard – è attraversare frontiere”. Anche la nostra; seb-
bene non nascondiamo una preferenza per il concetto gadameriano di orizzonte che
lo sguardo non trattiene, che si sposta dal passante al passo, dal viandante al cam-
mino, vincolo ed opportunità della strada, l’irraggiungibile oltre, un limite senza es-
sere limitato, la mèta che attrae il passo, il confine che non ha fine, il luogo dei mille
passaggi in una parte di mondo.
“L’intelligenza – scriveva Jean Piaget – organizza il mondo organizzando se stessa”.
Fare una rivista, anche semplicemente comporla, costruirla nella coerenza e nella
integrazione delle sue parti, è un modo per organizzare la nostra capacità di intus
legere, di leggere dentro le esperienze del mondo. Fare una rivista scientifica, intera-
mente costruita sul confronto critico tra analisti, protagonisti e problemi, poi, significa
produrre significati, dare linfa vitale al corpo della realtà, sangue alle membra dei
fatti ammassati dalla storia. La vita è una produzione di significati. La nostra rivista
è il luogo in cui questi significati crescono e maturano, è uno spazio di comunicazione
qualificata sui temi e problemi della complessità sociale che l’accademia universitaria
analizza, interpreta, discuta. La nostra rivista è il luogo in cui l’attività di comunica-
zione e confronto scientifico, che si mostra nei seminari e nei convegni, si dimostra,
prende forma, appare nella sua veste di coerenza epistemologica. L’ambizione è di re-
alizzare una rivista che, nei settori di nostra competenza, sia un riferimento per l’alta
affidabilità dei suoi contenuti. Per noi è anche una inderogabile esigenza di mettere
ordine in una materia che, in Italia, ha sparso e talvolta disperso contributi significa-
tivi nei reticoli della varia editoria. Il suo valore consiste nella opportunità che offre
nel trasformare le esperienze in conoscenze e le conoscenze in proposte, nella capacità
che saprà dimostrare nel tentativo infinito di organizzare il mondo organizzando la
sua intelligenza.
Alessandro Ceci
Febbraio 2011- 01 I quaderni del Campus 12
.Diritto .Informatica

IL CRIMINE INFORMATICO NELLA SOCIETA’ DELL’ INFORMAZIONE

Sommario: 1. La nuova era digitale tra vecchie e nuove storie; 2. Un vortice di dati persona-
li tra internet e nuove tendenze del mercato; 3. Il commercio nella società dell’informazione: una questione di fiducia e sicurezza;
4. L’insostenibile insicurezza della società dell’informazione: alla ricerca del bene giuridico da difendere; 5. Crimi-
ni informatici: dalle “liste nere” al codice penale italiano .6. Alla ricerca delle fonti del danno informatico in azienda;
7. Malware in azienda; 7.1. Virus; 7.2 worm; 7.3 trojan horse; 7.4 Spyware: un “parassita digitale” dai mille “untori”; 8. Attacchi informatici; 8.1 denial of
service; 8.2 sniffing; 8.3 hijacking; 8.4 spoofing; 8.5 blended threats; 9. Le truffe del www; 9.1 social engineering; 9.2 scam; 9.3 phishing; 9.4 dialer; 10. Le altre
fonti di danno nel web; 10.1 zombie: 10.2 cybersquatting; 10.3 hoax; 10.4 deeplinking e framing; 10.5 spamming; 11. Il costo dei crimini informatici in azienda

1. LA NUOVA ERA DIGITALE TRA VECCHIE E NUOVE STORIE.

C ollocare storicamente il fenomeno evolutivo delle tecnologie informatiche in un
quadro storico ben determinato è un tassello importante nel processo di compren-
sione dello stretto legame esistente tra tali innovazioni e la storia del secolo passato.
L’incubatrice culturale che ha determinato un’impennata evolutiva delle tecnolo-
gie elettroniche, supporto fisico necessario per il successivo sviluppo dell’era dig-
itale, trova origine in una dimensione spaziale e temporale ben determinata (1).
Lo scenario è quello del secondo dopoguerra: alla fine delle ostilità belli-
che, i nuovi dominatori della scena mondiale, grazie al prestigio politico,
militare ed economico conquistato sul campo di battaglia contro il nazifas-
cismo, iniziarono una lunga ed estenuante guerra “fredda” per l’egemonia
del Mondo che poneva a confronto, l’una contro l’altra, due ideologie e, con
esse, due complessi modelli di società. Il mondo appariva così diviso in due
blocchi contrapposti, separati simbolicamente, e in alcuni casi fisicamente,
da un muro di reciproca diffidenza e sospetto. Le sorti dell’umanità quo-
tidianamente venivano messe in gioco sul tavolo del mantenimento di un
terrificante equilibrio di armamenti tecnologici e sulla consapevolezza che un loro
impiego avrebbe determinato un serio rischio per la fine della vita sulla Terra. La
corsa verso nuove tecnologie belliche, offensive e difensive, determinò durante gli
anni del dopoguerra un incremento vertiginoso delle sovvenzioni pubbliche desti-
nate alla ricerca scientifica. I momenti più significativi della storia dell’elettronica,
informatica e telematica di questi ultimi 60/70 anni, infatti, affondano le radici
nel clima di sospetto glaciale in cui la politica mondiale si trovava impantanata
senza un’apparente possibilità d’uscita e che oggi, cambiati gli attori protago-
nisti della scena, sembra rivivere con il suo pesante carico d’angosce ed incubi.
I diversi binari di sviluppo seguiti dalla scienza moderna non devono essere analiz-
zati e valutati, quindi, come realtà a “compartimenti stagni”, ma come entità figlie
di scoperte ed invenzioni comuni che trovano nella sinergia della
ricerca il loro punto di forza e il loro massimo stimolo. I diversi campi della ricerca, così
intesi, hanno consentito nel corso degli ultimi decenni di oltrepassare sistematica-
mente con scadenze temporali sempre più ravvicinate i limiti umani che oggi appaiono,
terrificante equilibrio di armamenti tecnologici e sulla consapevolezza che un loro
impiego avrebbe determinato un serio rischio per la fine della vita sulla Terra. La
corsa verso nuove tecnologie belliche, offensive e difensive, determinò durante gli
anni del dopoguerra un incremento vertiginoso delle sovvenzioni pubbliche desti-
nate alla ricerca scientifica. I momenti più significativi della storia dell’elettronica,
informatica e telematica di questi ultimi 60/70 anni, infatti, affondano le radici
nel clima di sospetto glaciale in cui la politica mondiale si trovava impantanata
senza un’apparente possibilità d’uscita e che oggi, cambiati gli attori protago-
nisti della scena, sembra rivivere con il suo pesante carico d’angosce ed incubi.
I diversi binari di sviluppo seguiti dalla scienza moderna non devono essere analiz-
zati e valutati, quindi, come realtà a “compartimenti stagni”, ma come entità figlie
di scoperte ed invenzioni comuni che trovano nella sinergia della ricerca il loro
punto di forza e il loro massimo stimolo. I diversi campi della ricerca, così in-
tesi, hanno consentito nel corso degli ultimi decenni di oltrepassare sistemat-
icamente con scadenze temporali sempre più ravvicinate i limiti umani che oggi
appaiono,consapevolmente o inconsapevolmente, sempre più di natura contingente.
I momenti più significativi di questo sviluppo tecnologico, che non appare ancora
aver raggiunto la fase discendente della sua parabola evolutiva, sono rappresentati:
1) dalla microelettronica la cui nascita è collocabile, simbolicamente, nel 1947
nei Bell Laboratories di Murray Hill nel New Jersey dove venne inventato il
transistor (2) e con esso la possibilità di trasformare gli impulsi elettrici in
un codice binario (semiconduttori) utilizzabile, in estrema sintesi, per co-
municare con le macchine in modo rapido e sempre più complesso (3) ;
2) dal computer, anch’esso figlio della seconda guerra mondiale madre di tutte le tec-
nologie (4) ; 3) da Internet, la cui ideazione e realizzazione è frutto di una sinergica
commistione tra la classica strategia militare e l’innovazione imprenditoriale di una
nuova generazione di studiosi e ricercatori universitari (5). In questa necessariamente
breve e superficiale descrizione, utile ad incorniciare la situazione-madre dell’era del
Bit, particolare attenzione deve essere dedicata alla nascita del fenomeno Internet.
Le origini della Rete delle reti si possono rinvenire all’interno delle ricerche condotte
dall’ARPA (Advanced Research Projects Agency) del Dipartimento degli Stati Uniti.
In un momento storico di particolare frizione tra i due blocchi ideologici ed economici
che si dividevano il mondo, il lancio del primo Sputnik, l’America avvertì l’esigenza di
aumentare i fondi della ricerca per prevenire eventuali attacchi provenienti dallo spazio.
Tra le idee seguite e sviluppate dall’ARPA, di particolare interesse fu quella con-
cepita da Paul Baran alla Rand Corporation nel 1960-64, che aveva ad og-
getto «la progettazione di un sistema di comunicazioni invulnerabile agli attac-
chi nucleari. Basato sulla tecnologia di comunicazione della commutazione a
pacchetto, il sistema rese la rete indipendente da centri di comando e controllo,
affinché le unità di messaggio trovassero le proprie strade lungo la rete, venen-
do ricomposte nel messaggio originale in qualsiasi punto del sistema» (6) .
Accanto ai computer ed internet vi è un altro elemento da analiz-
zare per avere un quadro dello scenario entro cui ricostruire il fenom-
eno dei crimini informatici in azienda e della conseguente esigen-
za di una maggiore tutela dei dati e delle informazioni: il software.
Il software, quale bene in sé, acquista autonomia giuridica, distaccandosi dal cor-
done primordiale che lo legava indissolubilmente ad un ruolo di semplice ap-
pendice dell’hardware, in un tempo successivo alla diffusione e commercializ-
zazione degli elaboratori elettronici. Il tardivo riconoscimento di un’autonoma
valenza del programma è legato alla storia della diffusione delle nuove tecnolo
gie informatiche; per tale motivo, una breve analisi storica è utile al fine di individuare le
ragioni che hanno spinto i legislatori dei Paesi più industrializzati a dettare una puntu-
ale disciplina tesa a tutelare il software nella sua intrinseca valenza sociale e giuridica.
Accanto ai computer ed internet vi è un altro elemento da ana-
lizzare per avere un quadro dello scenario entro cui ricostruire il
fenomeno dei crimini informatici in azienda e della conseguente esi-
genza di una maggiore tutela dei dati e delle informazioni: il software.
Il software, quale bene in sé, acquista autonomia giuridica, distaccandosi dal cor-
done primordiale che lo legava indissolubilmente ad un ruolo di semplice appen-
dice dell’hardware, in un tempo successivo alla diffusione e commercializzazione
degli elaboratori elettronici. Il tardivo riconoscimento di un’autonoma valenza del
programma è legato alla storia della diffusione delle nuove tecnologie informatiche;
per tale motivo, una breve analisi storica è utile al fine di individuare le ragioni
che hanno spinto i legislatori dei Paesi più industrializzati a dettare una puntuale
disciplina tesa a tutelare il software nella sua intrinseca valenza sociale e giuridica.
Con l’avvento del microprocessore i rapporti uomo/lavoro, uomo/tempo libero si
avviarono verso un drastico mutamento di prospettiva in cui il computer divenne
sempre più “personal” e presente in tutte le quotidiane dinamiche di relazione sociale.
Nel 1975 ED ROBERTS, fondatore della MITS, una piccola soci-
età produttrice di calcolatori nel New Mexico diede alla luce “Altair”.
La novità che caratterizzava questa nuova macchina, dif-
ferenziandola da tutte le altre precedentemente realizzate,
trovava fondamento nella concezione di base con cui la stessa era stata ideata e suc-
cessivamente costruita: Altair era un computer creato attorno ad un microprocessore.
Le dimensioni e i costi degli elaboratori, col pas-
sare del tempo, divennero più contenuti e il loro impiego
si dimostrò appetibile per una tipologia di utenti le cui dimen-
sioni aumentarono esponenzialmente in rapporto alla maggiore

01 I quaderni del Campus 01 - Febbraio 2011


11. I COSTI DEI CRIMINI INFORMATICI
Da quanto rilevato, le conseguenze negative per l’azienda possono es-
sere identificate essenzialmente in termini di: danno all’immagine ed
alla reputazione, costo di ripristino della situazione fisiologica del
servizio, perdita di clienti acquisiti e da acquisire ed ancora in termini di spese nec-
essarie per avvisare clienti, fornitori e pubblico in generale, perdita di produttività
del personale e spese legali. Tra i costi correlati al crimine informatico bisogna citare
anche quelli necessari per scoprire quanto è in realtà accaduto all’interno dell’azienda.
In numerosi casi, infatti, ciò che viene immediatamente rilevato è il danno men-
tre la causa è più difficile da determinare. Per questo motivo, le aziende vittime di
un crimine informatico devono investire delle risorse, a volte ingenti, per svolgere
delle indagini interne al fine di determinare l’entità del danno e la sua causa.
E’ interessante mettere in risalto la rilevanza di un altro dato: la diminuzione
della figura del singolo criminale e il sempre maggiore consolidamento di or-
ganizzazioni criminali dotate di competenze e strutture agili e moderne. ¬¬
Per dare una dimensione più concreta del fenomeno italiano dei crimini infor-
matici è opportuno estrapolare dai dati complessivi della citata indagine esclusi-
vamente quelli rilevati all’interno delle aziende italiane coinvolte nell’inchiesta :
a) il 23% delle aziende italiane ritiene il crimine informatico più perico-
loso rispetto al crimine tradizionale (a livello globale il valore è il 40%);
b) il 40% delle aziende italiane ritengono che le due tipol-
gie di crimine – informatico e tradizionale - rappresentino una
mnaccia di uguale gravità (a livello globale il valore è il 30%);
c) il 46% delle aziende italiane ritiene il crimine informatico più cos-
toso di quello tradizionale (a livello globale il valore è il 58%);
d) il 51% delle aziende italiane ritiene che le minacce alla sicurezza aziendale proven-
gano dall’interno delle rispettive organizzazioni (a livello globale il valore è il 66%).
La riflessione conclusiva coinvolge tutte le nuove tecnologie informatiche che ba-
sano la loro stessa esistenza sulla gestione di informazioni e dati: le tracce che tutti
noi lasciamo muovendoci ed operando fisicamente (percorrendo l’autostrada, uti-
lizzando la carta di credito, il bancomat e il telefono cellulare...) o “virtualmente”
nella rete (dando e ricevendo informazioni in modo volontario o involontario;
richiedendo e concedendo l’utilizzo di una serie di dati personali oppure semplice-
mente consultando determinate notizie piuttosto che altre...) potrebbero rappre-
sentare un terreno difficile da controllare per le organizzazioni giuridiche statali
ed internazionali. Per questo occorre formare e diffondere una nuova coscienza ed
una diversa concezione delle responsabilità legate alla gestione delle “informazi-
oni”. Tali realtà non dovranno essere limitate ai rigidi confini nazionali, troppo
stretti ed angusti per strumeti completamente slacciati dalla dimensione territoriale,
ma proiettate verso una visione globale della società umana.
Il legislatore, in quest’epoca di grandi sconvolgimenti tecnologici, deve pre-
pararsi ad un complesso ed affascinante lavoro di ricerca e di sperimentazi-
one. La necessità di adattare vecchie norme alle nuove esigenze e di pro-
gettare sistemi innovativi di regolamentazione, controllo e repressione
rappresentano le principali preoccupazioni dei legislatori di tutto il mondo.
Con Internet, in particolare, si riassapora la modernità di un vecchio inseg-
namento contenuto, come in una macchina del tempo che lo custodisce e lo
preserva sempre attuale, nella celebre frase « ubi societas, ibi ius».
Non comprendere, fino in fondo, la natura e le modalità operative dei rapporti che nas-
cono in questo nuovo tessuto sociale vuol dire, in realtà, abbandonare la società globale,
virtualmente già nata e operante in rete alla terribile e primordiale legge “di natura” dove
il più forte detta le regole che gli altri, più deboli, sono costretti ad osservare e subire.
Nel vuoto di tutela e di controllo, ad esempio, le organizzazioni criminali sem-
pre più attrezzate con supporti tecnici e conoscenze informatiche potrebbero in-
serirsi al fine di operare fuori da ogni possibile controllo, ricostituendo così vir-
tualmente quello che l’ordinamento giuridico statale gli ha sottratto fisicamente:
un territorio feudale dove poter liberamente ideare, progettare e realizzare i pro-
pri interessi. Il ruolo del territorio, un tempo scenario fisico necessario per qua-
lunque tipo di dinamica sociale ed economica, diviene sempre più marginale.
Come evidenziano i dati citati all’inizio del paragrafo appare ormai consolida-
ta, sia a livello globale e sia a livello nazionale, la consapevolezza che il costo del
crimine informatico ha assunto delle dimensioni di rilevanza allarmante e che,
per usare le parole di Corrado Giustozzi, «nell’era della “azienda connessa” ...
Internet e gli hacker sono un capro espiatorio, quando non uno specchio per le allodole,
mentre i veri problemi sono quasi sempre altrove: dentro le nostre aziende ed organiz-
zazioni, non fuori da esse» Alla luce dello scenario che questo breve scritto ha tentato di
illustrare, purtroppo necessariamente solo per punti, occorre, anche se a piccoli passi,.
.Diritto .Informatica
prendere coscienza di un fenomeno destinato ad estendersi sempre più in pro-
fondità nella società, che entra nella vita di tutti non bussando delicatamente
alla porta e chiedendo il permesso di entrare ma sfondando ogni bar-
riera fisica posta davanti al suo cammino, coinvolgendo tutti e tutto.
Leo Stilo
Docente di Informatica 1 all’Università LUM (Libera Università del Medi-
terraneo- Jean Monnet), presso il “Campus degli Studi e delle Univer-
sità di Pomezia”. Direttore della rivista Il Nuovo Diritto, autore di pub-
blicazioni in materia di diritto penale e diritto delle nuove tecnologie
informatiche. Collabora, ponendosi come partner per la sicurezza in-
formatica e come consulente in diritto dell’internet, con aziende e liberi
professionisti . E’ docente in corsi di formazione in materia di tutela
dei dati personali ed informatica per aziende private ed enti pubblici.
EDITORIALE
Tutti coloro che affrontano un viaggio hanno bisogno di un vademecum, di un notes,
della bisaccia delle esperienze e delle conoscenze che raccolgono durante l’intero per-
corso. Le parole denotative, le espressioni connotative, i concetti, i simboli e i significati
diventano appunti, pensieri che si ammassano in ordine sparso dentro un conteni-
tore di fortuna. Quando si incontra un altro viandante, senza forma e senza arti-
colazione logica, quelle parole non riescono ad essere trasmesse, ad essere scambiate.
Non crescono, idee e concetti giacciono pigri, soffocati nel disordine di una sacca. È
il dramma della informazione che non riesce a diventare comunicazione, che non
passa, che non sa essere scambiata e staziona in un archivio in attesa di una sua
utilizzazione.
“La mia professione – diceva Ballard – è attraversare frontiere”. Anche la nostra; seb-
bene non nascondiamo una preferenza per il concetto gadameriano di orizzonte che
lo sguardo non trattiene, che si sposta dal passante al passo, dal viandante al cam-
mino, vincolo ed opportunità della strada, l’irraggiungibile oltre, un limite senza es-
sere limitato, la mèta che attrae il passo, il confine che non ha fine, il luogo dei mille
passaggi in una parte di mondo.
“L’intelligenza – scriveva Jean Piaget – organizza il mondo organizzando se stessa”.
Fare una rivista, anche semplicemente comporla, costruirla nella coerenza e nella
integrazione delle sue parti, è un modo per organizzare la nostra capacità di intus
legere, di leggere dentro le esperienze del mondo. Fare una rivista scientifica, intera-
mente costruita sul confronto critico tra analisti, protagonisti e problemi, poi, significa
produrre significati, dare linfa vitale al corpo della realtà, sangue alle membra dei
fatti ammassati dalla storia. La vita è una produzione di significati. La nostra rivista
è il luogo in cui questi significati crescono e maturano, è uno spazio di comunicazione
qualificata sui temi e problemi della complessità sociale che l’accademia universitaria
analizza, interpreta, discuta. La nostra rivista è il luogo in cui l’attività di comunica-
zione e confronto scientifico, che si mostra nei seminari e nei convegni, si dimostra,
prende forma, appare nella sua veste di coerenza epistemologica. L’ambizione è di re-
alizzare una rivista che, nei settori di nostra competenza, sia un riferimento per l’alta
affidabilità dei suoi contenuti. Per noi è anche una inderogabile esigenza di mettere
ordine in una materia che, in Italia, ha sparso e talvolta disperso contributi significa-
tivi nei reticoli della varia editoria. Il suo valore consiste nella opportunità che offre
nel trasformare le esperienze in conoscenze e le conoscenze in proposte, nella capacità
che saprà dimostrare nel tentativo infinito di organizzare il mondo organizzando la
sua intelligenza.
Alessandro Ceci
Febbraio 2011- 01 I quaderni del Campus 12
.Diritto .Informatica
popolarità/curiosità nata attorno al nuovo strumento elettronico.
Tale innovativa concezione della struttura del computer divenne, in breve tempo, il
modello e la fonte d’ispirazione per la realizzazione del progetto che prese il nome
di Apple (I e II): il primo computer che riuscì a riscuotere un successo commer-
ciale degno di nota. L’Apple venne progettato da STEVE WOZNIAK e STEVE JOBS,
nel garage dei genitori a Menlo Park (Silicon Valley). Queste due giovani menti,
fondatori della famosa “APPLE COMPUTERS”, in una storia che ormai si è tin-
ta di leggenda, costituiscono il “brodo primordiale” da cui prenderà forma, dopo
un rapido processo evolutivo di tipo selettivo, la futura “Età dell’Informazione”.
Alla proposta della “APPLE COMPUTERS”, reagì la possente industria IBM im-
mettendo nel mercato un proprio modello di microcomputer. Per testare la for-
tuna commerciale di tale prodotto è sufficiente evocare il nome che l’IBM scelse
di donargli: Personal Computer (PC). Chiaramente, il nome di questo prodotto in-
formatico ha oltrepassato le barriere del tempo per divenire il simbolo stesso di
un periodo storico di forte fermento culturale e di feconde ricerche scientifiche.
Il traguardo raggiunto, dall’APPLE e dall’IBM, fu quello di ridimensionare la struttu-
ra fisica del computer. Non più enormi apparati elettronici costituiti da migliaia di
valvole e transistor che richiedevano spazi enormi per l’installazione ed il loro uti-
lizzo, ma un computer da scrivania, di dimensioni e costi umanamente contenibili
Il salto tecnico e culturale fu enorme e i semi di tale innovazi-
one non tardarono a dare frutti in ogni campo dell’attività umana.
Bisogna rilevare che in questa prima fase il rapporto hardware/software è di tipo sim-
biotico con la netta prevalenza del primo sul secondo. Era inconcepibile, infatti, non
fornire assieme al computer un programma che consentisse allo stesso di funzionare.
Dopo qualche anno di ricerche APPLE riuscì a raggiungere un nuovo traguardo;
questa volta l’ingegno degli scienziati andò a colpire, modificandolo profonda-
mente, il difficile rapporto computer/utente. Tale rapporto venne identificato
come la chiave di volta per garantire il superamento del maggiore ostacolo alla
diffusione, capillare e trasversale all’interno della società, dell’uso del computer.
Le nascita del Macintosh della APPLE (1984) «rappresentò il pri-
mo passo verso il computer user-friendly, con l’introduzione di una tec-
nologia d’interfaccia utente, basata su icone…(omissis)(7)…»
E’ in questi anni che si solidifica, nella stessa coscienza dei produttori di com-
puter e degli utenti finali, l’importanza e il valore individuale del software (8).
L’idea di un valore intrinseco del programma/linguaggio necessario per far co-
municare l’utente con il computer, al fine di far svolgere a quest’ultimo operazio-
ni di vario tipo, era ben presente, sin dagli anni ‘70, nella mente di due giovani
studiosi: BILL GATES e PAUL ALLEN. I due giovani imprenditori/studiosi nel
giro di pochi anni, grazie all’idea vincente “Basic”contribuirono in modo de-
cisivo alla creazione del mercato del software, imponendosi (sotto l’egida del
marchio MICROSOFT) nel ramo dei sistemi operativi (Dos – Windows) e de-
gli applicativi (si pensi alla diffusione capillare e mondiale del pacchetto Office).
«E’ accaduto così che la “Cenerentola” software sia oggi divenuto il “mo-
tore” di un settore industriale che apporta contributi sempre più signifi-
cativi all’economia mondiale generando occupazione e gettiti fiscali e aumen-
tando la produttività, la capacità e la competitività dei più diversi settori.(9)»
La macchina, intesa come un insieme di componenti elettronici, senza un
opportuno programma idoneo a fornire le istruzioni per svolgere le di-
verse operazioni e risolvere i più disparati problemi non rappresentereb-
be un bene utilizzabile dall’utente. L’utente, infatti, acquista il computer per
svolgere determinate attività (ad esempio: videoscrittura, gestione della con-
tabilità, progettazione e per infiniti altri scopi) e non per la macchina in sé.
E’ il software che infonde, in un certo senso, la vita alla macchina; la quale, senza di esso,
non potrebbe apparire in alcun modo appetibile. Le diverse industrie del settore infor-
matico ben presto percepirono l’importanza di tale inscindibile legame e dedicarono
una parte sempre maggiore delle proprie risorse allo sviluppo di pacchetti, insieme di
programmi, idonei a risolvere le più svariate esigenze dei futuri e probabili acquirenti.
Per usare le parole di Borruso “… il computer non è solo una mac-
china, poiché come l’uomo, anch’esso è composto di un corpo e di un’
“anima”:l’hardware (ossia “la macchina”, il computer nella sua fisicità) e il soft-
ware (complesso di istruzioni attraverso cui l’uomo, mediante la parola scritta
o parlata, trasferisce nel computer il proprio pensiero e la propria volontà)…
Nel computer dobbiamo vedere l’imago mentis dell’uomo: il computer, invero, fa
quello, e solo quello, che l’uomo gli dice di fare, che l’uomo lo istruisce a fare. In al-
tre parole “l’intelligenza” del computer non è insita nell’hardware, ma è una proiezi-
one del pensiero umano che anima la macchina attraverso uno scritto: il software.
In tale prospettiva, allora, secondo Borruso risulta corretta la scelta del nostro
legislatore di tutelare il software con il diritto d’autore e non con il brevetto: il soft-
ware, infatti, come un’opera letteraria, è una forma che assume la parola umana”(10)
Da quanto affermato si riesce a percepire l’importanza strategica che.
02 I quaderni del Campus 01 - Febbraio 2011
il software oggi riveste nell’ambito di un mercato sempre più globale,
dove flussi ingenti di risorse economiche sono legati, in modo di-
retto ed indiretto, alle vicende di questo nuovo e particolare bene.
Quello descritto, con rapidi tratti, è solo un quadro generale di ciò che
ha determinato, assieme ad altre numerose concause, gli assetti econ-
omici e culturali di quella che viene comunemente definita l’era del BIT.
Oggi, in un periodo in cui il Mondo torna ad essere sconvolto da conflit-
ti politici, ideologici e religiosi, assistiamo ad una nuova corsa agli arma-
menti che probabilmente porterà nei prossimi anni a nuovi impulsi tec-
nologici capaci di modificare profondamente la nostra vita quotidiana.
Alle persone di buon senso, ancora una volta, l’obbligo morale di fare ac-
compagnare la corretta diffusione di tali innovazioni, tentando, gra-
zie all’aiuto indispensabile di studiosi di discipline informatiche e giu-
ridiche, di circondare le stesse con quell’anima di giustizia che spesso
manca a scoperte ed invenzioni che, nate ai piedi di un conflitto, rischiano di man-
tenere nel proprio DNA qualche carattere ereditario non proprio secundum ius.
(1) Per questa scoperta ai tre fisici che lo invitarono, Bardeen, Brattain, Shockley, venne attribuito il premio Nobel.
(2) CASTELLS, La nascita della società in rete, op.cit., 45.(3) CUNEGATTI – SCORZA, Multimedialità e diritto d’autore,
Napoli, 2001, 85:« Sul finire degli anni ’50 le industrie del settore informatico, che sino a quel momento avevano investito
ingenti capitali e risorse nello sviluppo dell’hardware, compresero l’importanza e l’utilità del software e, di conseguenza,
cominciarono a sviluppare programmi applicativi preconfezionati capaci di risolvere i più diversi problemi degli uten-
ti. Sino al 1969, però, il software rimase, di fatto, un bene accessorio all’hardware ed era, per lo più venduto con questo
in un unico pacchetto…(omissis)…dagli anni ’60 ad oggi il software ha radicalmente mutato la sua posizione nel mer-
cato informatico trasformandosi da semplice bene accessorio all’hardware ad indiscusso, e incontestato, protagonista.».
(4)CUNEGATTI– SCORZA, , op. cit. , 86.(5)Per un quadro maggiormente esplicativo della recente e complessa sto-
ria di Internet si rinvia a: Università degli Studi Roma Tre, Dipartimento di Informatica e Automazione, http://www.dia.
uniroma3.it/~necci/storia_internet.htm, Wikipedia, http://it.wikipedia.org/wiki/Storia_di_Internet .(6)M. CASTELLS,
La nascita della società in rete, Milano, 2002, 48. Per maggiori notizie sulla storia della Apple si rinvia a: Apple History,
http://www.apple-history.com/; Apple Museum, http://www.macitynet.it/applemuseum/ (7)CASTELLS, La nascita della
società in rete, op.cit., 45.(8)CUNEGATTI – SCORZA, Multimedialità e diritto d’autore, Napoli, 2001, 85:« Sul finire de-
gli anni ’50 le industrie del settore informatico, che sino a quel momento avevano investito ingenti capitali e risorse nello
sviluppo dell’hardware, compresero l’importanza e l’utilità del software e, di conseguenza, cominciarono a sviluppare pro-
grammi applicativi preconfezionati capaci di risolvere i più diversi problemi degli utenti. Sino al 1969, però, il software
rimase, di fatto, un bene accessorio all’hardware ed era, per lo più venduto con questo in un unico pacchetto…(omis-
sis)…dagli anni ’60 ad oggi il software ha radicalmente mutato la sua posizione nel mercato informatico trasformandosi
da semplice bene accessorio all’hardware ad indiscusso, e incontestato, protagonista.».(9)CUNEGATTI – SCORZA, , op.
cit. , 86. (10) Maurizio Di Masi, Riflessioni del Prof. Renato Borruso sull’uomo, il computer e il diritto. L’INFORMATICA
PER IL GIURISTA: DAL BIT A INTERNET, tratta dalla lectio magistralis24 giugno 2010 Scuola di Specializzazione per le
.
2. UN VORTICE DI DATI PERSONALI TRA INTERNET E
NUOVE TENDENZE DEL MERCATO.
La diffusione di Internet pone ai giuristi alcuni difficili quesiti che diventano en-
igmatici nel momento in cui si considera questa nuova espressione della tecnolo-
gia della gestione delle informazioni in rapporto alla tutela dei dati personali (11) .
Internet nasce come una struttura libera e si sviluppa con estrema capil-
larità, trovando sempre maggiori consensi, proprio grazie a questo suo
carattere di luogo dove poter condividere, gratuitamente, informazio-
ni di varia natura (… dalla ricerca scientifica a mere notizie e curiosità..).
Il problema nasce nel momento in cui questa estrema libertà si pone in rapporto
con il diritto a vedere tutelati i propri dati personali presenti in rete che, per vari
motivi, potrebbero essere utilizzati e sfruttati per scopi ignorati dall’interessato.
La diffusione di questa realtà rende evidente la difficoltà di segnare i confini tra
la libertà di inviare/ricevere e cercare/trovare informazioni, da un lato, e la tu-
tela della riservatezza della persona e dei dati ad essa appartenenti, dall’altro. La
vasta zona d’ombra è provocata dal conflitto, difficilmente risolvibile con gli at-
tuali strumenti giuridici, tra due contrapposte esigenze, entrambe meritevoli di
interesse e protezione da parte dell’ordinamento giuridico: a) l’estremo vantag-
gio economico, sociale e culturale che la libera circolazione delle informazioni
riesce a produrre; b) l’estremo rischio della riduzione del singolo individuo ad
un ritratto virtuale ottenuto dal rinvenimento e dal trattamento di dati persona-
li sparsi per la rete o ottenuti, in vario modo, dal soggetto che effettua la ricerca.
Il rischio di non poter controllare l’utilizzo dei dati persona-
li inseriti nella rete è congenito alla stessa natura dello strumento Internet.
Uno sguardo all’anatomia della “Rete delle reti” può aiu-
tare a comprendere la sua intrinseca insicurezza (12).
La caratteristica principale di Internet è quella di essere una rete aperta alla quale tut-
ti possono connettersi, per i fini più vari, introducendo e/o estraendo informazioni.
I dati personali inseriti per scopi determinati e conosciuti dall’utente, in tem-
pi e situazioni diverse, possono essere facilmente rintracciati grazie all’utilizzo
di numerosi e sempre più specializzati motori di ricerca. I dati, una volta in-
seriti nella rete, si distaccano dal fine per il quale sono stati inoltrati e ac-
quistano una vita propria, potendo essere richiamati ed ordinati in base
all’interrogazione che il procacciatore di informazioni propone, tramite i motori pre-
detti, alla rete. Inoltre, i legami ipertestuali, con cui è possibile passare da un sito web
all’altro, portano con sé un vassoio di dati ed informazioni sui nostri gusti ed interessi utili
ai gestori di servizi in rete ed utilizzabili per scopi ignorati dall’utente che li ha generati.
La “profilazione dell’utente”, ossia la messa in evidenza delle linee costituenti

10. LE ALTRE FONTI DI DANNO NEL WEB
Accanto alle suddette fonti di pericolo, in internet sono pre-
senti un’infinita serie di altre minacce. Tra le diverse nei suc-
cessi punti si prenderanno in considerazione quelle più diffuse.
10.1 ZOMBIE
«Se un PC non protetto si connette ad internet, esiste il 50% di proba-
bilità che diventi uno zombi in 12 minuti (72)» . Si definisce “zombie”
un computer colpito da un virus che viene controllato da remoto da un
utente malintenzionato e non autorizzato all’insaputa del legittimo titolare della mac-
china. Un computer zombie è uno strumento nelle mani dei soggetti che abusivamente
vi accedono e lo controllano. Normalmente l’obiettivo perseguito con tale tecnica è
quello di utilizzare tutti i computer divenuti zombie per inviare spam, malware, email
con contenuto fraudolento o materiale pornografico all’insaputa dei proprietari delle
macchine infette. Secondo alcune stime di Sophos (www.sophos.it) più del 60% dello
spamming deriva da computer zombie. Si tratta di cifre impressionanti in considerazi-
one dei danni che normalmente tali meccanismi arrecano ad un’azienda: interruzione
di attività, danni alla rete, perdita di dati e informazioni, danni all’immagine (73) .
(72)White paper Sophos, Siete forse degli spammer ? Per-
ché è essenziale bloccare i computer zombi, 2005, in www.sophos.it .
(73)White paper Sophos, Siete forse degli spammer ? Per-
ché è essenziale bloccare i computer zombi,2005, in www.sophos.it
10.2 CYBERSQUATTING
Viene definita “Cybersquatting” la tecnica di accaparramento di nomi di do-
minio al fine di rivendere gli stessi ai legittimi titolari o a soggetti, in partico-
lare imprese di grosse dimensioni e di chiara fama, che possano avere un in-
teresse a quel particolare indirizzo nel www che potrebbe rappresentare una
fonte di dirottamento dei possibili clienti. Con tale comportamento si vuole ten-
tare di instaurare con le aziende bersaglio una trattativa tesa a rivendere alle
stesse ad un prezzo notevolmente maggiorato gli spazzi oggetto di interesse.
10.3 HOAX
Con la denominazione hoax(74) si indicano quelle che volgarmente vengono defi-
nite “bufale” ossia dei messaggi contenenti notizie false ed ingannevoli. Alcuni di
essi sfruttano tecniche di ingegneria sociale per essere rispedite dai destinatari ad
altre persone implementando la diffusione del messaggio. Tra gli esempi ricorrenti
si ricordano tutti quei messaggi che fanno leva sul tasto della compassione e della
solidarietà umana chiedendo aiuto per risolvere casi umanitari (totalmente inventa-
ti o ispirati da fatti di cronaca) attraverso il coinvolgimento di quante più persone
possibili. In questi casi vengono normalmente costruite le storie utilizzando come
ingredienti abituali: bambini ammalati, gravi malattie, necessità d’aiuto. Si tratta di
argomenti che coinvolgono immediatamente ed in modo diretto l’immaginario e
l’emotività umana in modo da indurre il ricevente ad inviare ad altri conoscenti
il contenuto del messaggio. A questo tipo di email si affiancano quelli relativi
alla diffusione di pericolosi malware che potrebbero danneggiare in modo grave
i computer chiedendo di diffondere a tutti i conoscenti tali allarmi sulla sicurezza in
quanto provenienti da importanti enti di ricerca o da aziende leader del settore. Il
meccanismo utilizzato dai creatori di hoax è quello di far leva sui sentimenti delle
persone creando un enorme traffico di messaggi fasulli capace di occupare impor-
tanti spazi di memoria sui server di posta elettronica. In molti casi si tratta, quindi,
della versione informatica delle c.d. “catene di Sant’Antonio” dove regnano vec-
chie leggende metropolitane restaurate e vestite di nuovo per il www, un esempio:
«l’origine di questa lettera è sconosciuta, ma porta fortuna a chi la riceve. Chi rompe
la catena sarà sfortunato. Non tenere questa lettera. Fai dieci copie e mandale ai tuoi
amici, vedrai che ti accadrà qualcosa di piacevole entro quattro giorni se non rompe-
rai la catena». Anche in questo caso cambia il mezzo, dalla lettera all’ email, ma le
tecniche utilizzate sono quelle già utilizzate ben prima della diffusione di internet.
(74)Wikipedia encyclopedia (www.wikipedia.it) : voce “hoax”
10.4 DEEPLINKING E FRAMING.
E’ sufficiente collegarsi ad internet per rendersi conto di cosa sia
un link e della sua rilevanza strutturale, strategica ed economica.
Il link oggi può essere considerato, a buon titolo, l’insostituibile mattone di internet
poiché è il collegamento ipertestuale a permettere l’acquisizione di quel particolare
.Diritto .Informatica
valore aggiunto che caratterizza in modo univoco la rete delle reti rispetto agli al-
tri mezzi di comunicazione e diffusione della conoscenza. La possibilità di poter
passare, quasi dialogando con il testo, da un argomento all’altro cercando appro-
fondimenti e creando nuovi collegamenti logici ed intuitivi rende di particolare in-
teresse questa realtà. In qualche modo, è lo stesso approccio al “Sapere” che muta
favorendo un’acquisizione di tipo “dinamico”, grazie alla quale i diversi livelli e le
diverse fonti aumentano all’aumentare dei link aperti. La rete internet, nel tempo,
da inesauribile pozzo di informazioni si è trasformata nel motore propulsore di
una nuova economia che in essa trova la sua simbologia e la sua stessa ragione
d’esistere. Bisogna ricercare, quindi, nel suddetto passaggio storico la data di nascita
della dimensione economica del link e della conseguente esigenza di tutela giuridica
delle realtà in esame. Se da un lato non creano particolari problemi (economici e
giuridici) i collegamenti che rinviano semplicemente alla home-page di un al-
tro sito, essendo interesse dello stesso titolare aumentarne il più possibile la
visibilità, da un altro punto di vista sollevano seri dubbi alcune tecniche di col-
legamento tra siti. Tra le tecniche più utilizzate, due appaiono di singolare in-
teresse: deep-linking (collegamento con la pagina interna di un altro sito
senza passare per l’home-page); framing (collegamento al contenuto di un al-
tro sito visualizzato generalmente all’interno della cornice del sito linkante).
Per capire le problematiche legate alle predette tecniche di collegamento si deve
considerare la fonte primaria del valore/potere economico di un sito: il nu-
mero dei visitatori. In Italia le tesi circa la liceità o meno delle modalità di col-
legamento citate sono numerose e generalmente tese a ricondurre tali fenom-
eni, nelle espressioni più esasperate, all’interno delle categorie giuridiche
classiche, ad esempio si è parlato di fenomeni di concorren-
za sleale, di attività confusoria diretta a colpire il valore dei segni dis-
tintivi dell’azienda e in alcuni casi di violazione del diritto d’autore.
Tuttavia, queste ultime tesi non mettono in evidenza il bene che costituisce la base
dell’integrità del sito e delle attività che esso veicola: il traffico di “visite” generate e la
sua visibilità nel web. Naturalmente, la tecnica di collegamento denominata “deep-
linking” non deve essere aprioristicamente condannata come mette in evidenza
parte della dottrina (C. ERCOLANO). Tuttavia, se oltre al semplice collegamento si
mettono in piedi meccanismi atti a modificare il contenuto del sito linkato o idonei
a creare confusione sull’origine del materiale i presupposti per definire “lecito” tale
condotta mutano radicalmente. Considerazioni in parte diverse devono essere fatte
per il framing, visto che la probabilità di commettere un illecito per coloro che utiliz-
zano tale tecnica è molto più alta. Un approccio “soft” a tali strumenti è il più idoneo
ad analizzare e comprendere la realtà quotidiana del web, in cui sono gli stessi motori
di ricerca a produrre una straordinaria quantità di “traffico” diretto alle pagine in-
terne dei siti. In ogni caso, sia che si tratti di deep-linking che di framing è opportuno
esaminare la situazione in concreto (caso per caso) per verificare se e in quale misura
queste attività arrechino un danno giuridicamente rilevante al sito linkato. Ancora
una volta è il buon senso a dover indirizzare il professionista del web in mancanza
di regole certe ed attualizzate ad un contesto dinamico e in continua evoluzione.
10.5 SPAMMING
Si definisce spamming (75) uno dei fenomeni più gravi ed allarmanti legati
all’utilizzo di Internet, in particolare si tratta dell’invio non sollecitato e richiesto
di messaggi pubblicitari reiterato nel tempo. Le radici dello spamming devono
rintracciarsi in tecniche commerciali particolarmente invasive utilizzate per pub-
blicizzare un prodotto e/o servizio. Si ritiene che una porzione estremamente
consistente del traffico di informazioni veicolato dalla rete attraverso la posta
elettronica sia rappresentato dallo spamming. Questa tecnica pubblicitaria oltre a
rappresentare un comportamento illecito in sè, rappresenta un danno consistente
per i sistemi informatici aziendali che si devono preoccupare di gestire ed elimin-
are un numero elevatissimo di email spazzatura con dispendio di ingenti risorse.
(75)Wikipedia encyclopedia (www.wikipedia.it) : voce “hoax”
Febbraio 2011- 01 I quaderni del Campus 11
.Diritto .Informatica
gli interessi di ogni singolo utilizzatore della rete, induce a compiere alcune ri-
flessioni. «Tuttavia, è soprattutto nell’ambito delle indagini di mercato che la
tecnica dei profili conosce una delle più significative e proficue applicazio-
ni. L’elaborazione delle strategie di marketing registra anzi uno dei suoi mo-
menti cruciali proprio nella definizione di profili di consumatori-tipo.» (13) .
In estrema sintesi, la profilazione consente un duplice vantaggio:
1. tramite l’elaborazione di alcuni dati (ad esempio: età, sesso, titolo di studio,
professione, gusti personali) il produttore riesce ad orientare la produzione sulla
base del risultato scaturente da tali indagini, ottenendo una migliore allocazi-
one delle proprie risorse conoscendo in anticipo i gusti, gli interessi e le proba-
bili reazioni al prodotto dei consumatori “bersaglio” a cui quest’ultimo è diretto
tolo di studio, professione, gusti personali) il produttore riesce ad orientare la pro-
duzione sulla base del risultato scaturente da tali indagini, ottenendo una migliore
allocazione delle proprie risorse conoscendo in anticipo i gusti, gli interessi e le prob-
abili reazioni al prodotto dei consumatori “bersaglio” a cui quest’ultimo è diretto;
2. ottenere un incremento delle vendite tramite una pubblicità mira-
ta e quanto più “personale” possibile, ritagliando i messaggi promozion-
ali dei prodotti sul profilo del destinatario, futuro e probabile acquirente.
La profilazione dell’utente telematico «sembra rispondere all’attuale trasformazione
del sistema di produzione e distribuzione delle merci, da sistema prevalentemente
di produzione di massa a sistema di personalizzazione di massa (14)» . Le nuove
dinamiche del mercato sono sempre più dirette alla ricerca di beni corrispondenti
alle esigenze dei singoli e sempre meno segnate dall’analisi dei gusti di una massa
informe e non definita. L’incisività di questi nuovi approcci commerciali è diret-
tamente collegato al grado di pianificazione utilizzato nell’elaborazione del piano
pubblicitario di attacco vs i possibili/probabili clienti. L’ elemento necessario e dis-
criminante in tali pianificazioni è rappresentato dal numero e dalla qualità delle op-
erazioni di archiviazione, elaborazione e catalogazione di dati utili. Internet, assieme
ad altre espressioni delle nuove tecnologie, ha notevolmente contribuito a rendere
meno onerose le operazioni di raccolta e gestione delle informazioni necessarie alla
creazione di un profilo del consumatore “tipo” del prodotto da commercializzare.
Una seconda caratteristica dela rete è data dalla sua congen-
ita indole interattiva. Internet necessita, a differenza della radio o della
televisione, di una partecipazione dell’utente che ne solleciti l’attivazione
e ne provochi la produzione di notizie. E’ l’utilizzatore del servizio
a scegliere l’indirizzo dei propri interessi e della propria curi-
osità interagendo con la rete e con le informazioni in essa contenute.
Questo rapporto biunivoco navigatore / Internet e Internet / navigatore pro-
duce esso stesso delle nuove informazioni che vengono archiviate ed elaborate..
Un soggetto che visita quotidianamente, ad una determinata ora del giorno, un par-
ticolare sito richiedendo la visualizzazione di un certo tipo di informazioni è una
fonte preziosa di dati. Queste comuni e frequenti situazioni possono rappresentare,
per un fornitore di servizi, una proficua serie di informazioni utili al fine di model-
lare ed integrare la propria attività sul cliente bersaglio ed eventualmente rendere la
pagina web, estrinsecazione virtuale della sua attività, una vetrina appeti-
bile ad altre e diverse attività commerciali che si rivelano, dall’elaborazione dei
dati così ottenuti, interessanti per quel tipo, determinato, d’utente. In questa
breve panoramica introduttiva al difficile rapporto tra la tutela dei dati per-
sonali ed Internet si deve ricordare il carattere internazionale della rete.
Non solo non ci sono frontiere, ma la stessa distanza fisica da un luogo all’ altro del
mondo non rappresenta più un problema perché è virtualmente superata dalle nuove
tecnologie. Per questo motivo, nella rete, spesso la scelta della via idonea a congiungere
due punti non è quella fisicamente più breve; è probabile, infatti, che un messaggio inol-
trato da Roma e diretto a Firenze transiti per un vettore che si trovi a Parigi o a Londra..
L’ultima caratteristica che viene sottolineata come rilevante da uno studioso
del fenomeno, POULLET, è la molteplicità di operatori che operano nella rete.
Un esempio concreto, ancora una volta, può essere utile per far percepire lo sce-
nario: su Internet una attività relativamente semplice, si pensi all’acquisto di
un bene, coinvolge un numero di soggetti generalmente superiore alla nor-
ma; infatti, si possono aggiungere al venditore e ai normali vettori: la società
di marketing, il fornitore dell’accesso e quello del servizio Internet e molti al-
tri. Si ricordi, infine, che ogni singolo soggetto coinvolto in questa semplice,
ed allo stesso tempo complessa, transazione commerciale può raccogliere, ar-
chiviare ed eventualmente elaborare e cedere dati relativi agli utenti coinvolti.
Appare chiaro a questo punto che la rete può generare dei dati anche all’insaputa
dell’utente attraverso lo studio dei suoi spostamenti. Oltre a ciò, accanto a
queste fonti di raccolta più o meno visibili ve ne sono altre totalmente in-
visibili alle persone meno esperte , legate in particolare all’esistenza dei c.d.
cookies, briciole di informazione che inviate al nostro mezzo di navigazione
consentono ad un certo sito web di riconoscere l’utente e i suoi
03 I quaderni del Campus 01 - Febbraio 2011
pensi all’acquisto di un bene, coinvolge un numero di soggetti generalmente su-
periore alla norma; infatti, si possono aggiungere al venditore e ai normali vet-
tori: la società di marketing, il fornitore dell’accesso e quello del servizio Internet
e molti altri. Si ricordi, infine, che ogni singolo soggetto coinvolto in questa sem-
plice, ed allo stesso tempo complessa, transazione commerciale può raccogliere,
archiviare ed eventualmente elaborare e cedere dati relativi agli utenti coinvolti.
Appare chiaro a questo punto che la rete può generare dei dati anche all’insaputa
dell’utente attraverso lo studio dei suoi spostamenti. Oltre a ciò, accanto a queste fonti
di raccolta più o meno visibili ve ne sono altre totalmente invisibili alle persone meno
esperte (15), legate in particolare all’esistenza dei c.d. cookies, briciole di informazione
che inviate al nostro mezzo di navigazione consentono ad un certo sito web di ricon-
oscere l’utente e i suoi movimenti registrandone costantemente gusti ed abitudini.
I cookies svolgono una funzione importante, ed in alcuni casi insostituibile, nel
rapporto che si instaura tra utente e un determinato sito; si pensi, ad esempio, ad
un collegamento-dialogo che si trovi già ad un punto avanzato e che venga in-
terrotto per un calo di tensione elettrica o semplice caduta della linea. Grazie a
questi strumenti il sito, nei casi in cui tenga memoria delle operazioni predette,
riconosce l’utente e le operazioni possono riprendere dal punto interrotto.
Per concludere questo breve ed incompleto discorso introduttivo
si vuole tentare di delineare, solo per punti, la fenomenologia dei
dati personali potenzialmente presenti e generati in Internet (16)
I primi dati personali che sono consegnati, in alcuni casi “ceduti” come prezzo per
il servizio, da un “navigatore della rete” sono quelli relativi agli abbonamenti ai
diversi servizi di accesso ad Internet che vengono dai gestori ordinati in banche
dati. L’elenco degli abbonati contiene, normalmente, i dati anagrafici e username,
un codice di identificazione assegnato al singolo utente in cui non vi sono par-
ticolari restrizioni, almeno per le notizie di carattere generale, al suo accesso.
Questo secondo archivio o livello di informazioni non è accessibile al pubblico, perché
è proprio grazie alla combinazione dell’inserimento contestuale di username e pass-
word che il gestore del sistema consente all’utente di accedere ad Internet o ai servizi
di cui è fornitore. Agli archivi, o livelli di informazioni, predetti se ne aggiunge un
altro: quello dei log, registrazione automatiche dei principali dati relativi ai collega-
menti ed alle attività svolte durante la connessione/navigazione. I log generati posso-
no essere anche molto minuziosi e per questo è necessario un attento controllo ed una
forte limitazione dell’utilizzo degli archivi in cui tali informazioni vengono custodite.
«Viene comunemente chiamato data log il registro elettronico tenuto dagli In-
ternet provider e dal quale è possibile risalire…all’identità dei soggetti che uti-
lizzano la rete soprattutto nel caso, in cui, attraverso la rete, siano consumati
fatti illeciti (sia sotto il profilo civilistico sia sotto quello penalistico), onde trasmet-
tere tali informazioni all’autorità giudiziaria o, comunque, per es-
imersi da responsabilità civile nei confronti dei terzi» (17).
Una seconda serie di dati è quella relativa alle informazioni personali conte-
nute all’interno della posta elettronica. «La posta elettronica consiste nella tr-
asmissione di messaggi asincroni ad personam. Ogni soggetto dotato di una
casella elettronica ha un indirizzo al quale i vari computer servitori delle reti
(server), dopo aver fatto rimbalzare il messaggio da un punto all’altro della rete,
fanno arrivare, in modo automatico, i messaggi indirizzati a tale utente (18)» .
Altri dati personali sono contenuti all’interno del world wide
web, newsgroup, blog, facebook ed altri social network...
(11) Per comprendere la dimensione del problema della gestione sicura dei dati persona-
li all’interno delle strutture aziendali si rinvia a: LUCA SANDRI, La tutela del dato personale in azien-
da, in AA.VV., Sicurezza e privacy: dalla carta ai bit (a cura di G. COSTABILE), Forlì, 2005, 25 e ss.
Per approfondimenti sul punto si suggerisce la lettura di: POULLET, Riservatez-
za e sicurezza delle reti, in supplemento n.1 al bollettino n.5 della Presid. del Consiglio dei ministri.
(13) MACCABONI, La profilazione dell’utente telematico fra tecniche pubblici-
tarie ondine e tutela della privacy, in Il diritto dell’informazione e dell’informatica, 2001, 425.
(14) MACCABONI, La profilazione dell’utente telematico fra tecniche pubblicitarie ondine e tu-
tela della privacy, op.cit., 426; SAMARAJIVA, Interactivity as though privacy matterei, in AGRE
– ROTEMBERG, Technology and Privacy: The new Landescape, Massachusetts, 1997, 277.
(15) ROSSI, Lo spyware e la privacy, in Diritto delle nuove tecnologie informatiche e dell’internet (a cura di GIUSEPPE
CASSANO), IPSOA, 2002, 184: « Ad oltre trent’anni di distanza dalla nascita di Internet, con il consolidarsi di pratiche.
universalmente adottate dal popolo dei “navigatori” su cui gli ordinamenti statali di tutto il mondo sono intervenuti nel tentativo
di tutelare la riservatezza…(omissis)… si verifica una serie indefinita di situazioni e di occasioni in cui la privacy viene non solo
violata, ma in alcuni casi anche messa al servizio di imprese che, nella migliore delle ipotesi, sono pubblicitarie e di marketing. ».
universalmente adottate dal popolo dei “navigatori” su cui gli ordinamenti statali di tutto il mondo sono intervenuti nel tentativo
di tutelare la riservatezza…(omissis)… si verifica una serie indefinita di situazioni e di occasioni in cui la privacy viene non solo
violata, ma in alcuni casi anche messa al servizio di imprese che, nella migliore delle ipotesi, sono pubblicitarie e di marketing. ».
(16)SCALISI, Il diritto alla riservatezza, Milano, 2002, 307: « possiamo distinguere, essenzialmente, quattro categorie di in-
formazioni: a) dati personali relativi agli abbonati normalmente ordinati in banche dati…b)dati e informazioni personali
relativi alla posta elettronica…c) le notizie sul world wide e newsgroup…d) dati relativi agli spostamenti sul world wide web».
(17)MONDUCCI, Il trattamento dei dati personali nei contratti on line, in Diritto delle nuove tec-
nologie informatiche e dell’internet ( a cura di GIUSEPPE CASSANO), IPSOA, 2002, 593.
(16) GRIPPO, Intenert e dati personali, in Privacy,op.cit., 296.

trojan horse assieme alle vulnerabilità dei server e di internet. La carat-
teristica di tale tecnica risiede nella combinazione di più minacce per
la realizzazione di un fine illecito. In particolare, numerosi malware
aprono nel computer infetto porte di comunicazione con l’esterno. Un malinten-
zionato, ad esempio, può sfruttare tali vulnerabilità per sferrare un attacco o sem-
plicemente per visualizzare, copiare, modificare il contenuto del sistema colpito.
(62) Wikipedia encyclopedia (www.wikipedia.it) : voce “spoofing ”
(63) Kris Jamsa, Hacker Proof, Sicurezza in Rete, Milano, 2002, 311
9. LE TRUFFE DEL WWW
Uno dei maggiori pericoli provenienti da Internet è quello relativo alle truffe che
nascono e si diffondono sfruttando l’anello più debole di un qualunque circuito di
sicurezza aziendale: l’uomo. Molte delle tecniche utilizzate per ricavare dati ed in-
formazioni utili al raggiungimento di un obiettivo criminoso sono attinte sfruttando
alcune delle più semplici debolezze come l’ingenuità, il fattore sorpresa, la trascu-
ratezza nel custodire le informazioni riservate, la voglia di parlare del proprio lavoro
e dei traguardi raggiunti ed altre umane fragilità. In altre parole, il punto su cui i ma-
lintenzionati fanno leva per scardinare il sistema di sicurezza informatico è spesso
la fiducia dei dipendenti della stessa azienda. Di seguito si esamineranno alcune
delle più diffuse tecniche che risultano vincenti solo se si riesce a coinvolgere in
modo efficace il soggetto bersaglio e le persone che ruotano attorno all’azienda tras-
formando la futura vittima in un inconsapevole ed insostituibile “complice” (64) .
(64) Per un quadro delle più pericolose ed allarmanti condotte criminali realizzate con la
complicità delle tecnologie informatiche si rinvia al sito della polizia postale e delle comuni-
cazioni http://www.poliziadistato.it/pds/informatica/index.htm
9.1 SOCIAL ENGINEERING
La figura dell’ingegnere sociale è strettamente legata all’analisi dei com-
portamenti del personale aziendale e/o del singolo professionista/per-
sona bersaglio al fine di carpire informazioni rilevanti per portare a ter-
mine il piano criminoso (sferrare un attacco o compiere una truffa).
Con l’espressione social engineering (65) si indica una tecnica che consente di super-
are le barriere tecnologiche poste a tutela dei sistemi informatici aziendali sfruttan-
do la fiducia della vittima. Lo scopo di un social engineer può essere così sintetiz-
zato: «L’obiettivo è quello di ottenere informazioni che permettano libero accesso
all’interno del sistema e ad informazioni di valore che risiedono in quel sistema. (66)» .
Un social engineer utilizza le armi della finzione, dell’inganno e del-
la persuasione in quanto deve riuscire, nascondendo la propria iden-
tità, a ricavare informazioni (o porzioni di esse) senza che la stessa vitti-
ma sospetti di fornire dati idonei a rendere vulnerabile il sistema informatico.
La raccolta delle informazioni dalla vittima può richiedere anche diversi giorni
e deriva in particolare da fonti quali email, telefono, fax, notizie reperibili in rete
(si pensi facebook), analisi delle informazioni pubblicate nel sito o nel materiale
informativo/pubblicitario, elenchi di informazioni pubbliche (albi professiona-
li, camere di commercio, anagrafe comunale ...). La fase successiva è quella della
verifica e dello studio delle informazioni raccolte. L’ingegnere sociale, infatti, deve
impersonare una parte fisicamente e/o virtualmente per trarre in inganno la vit-
tima. Tra le tecniche utilizzate vi sono, ad esempio, quelle di: cercare nella spaz-
zatura alla ricerca di codici, numeri di telefono e altre informazioni utili; fin-
gersi un cliente con poche conoscenze informatiche e chiedere informazioni
dettagliate sul servizio erogato dall’azienda; fingersi un dipendente della società
che ha venduto il software all’azienda e chiedere di poter accedere (fisicamente o
in remoto) alle macchine per installare nuove versioni o aggiornamenti e molte al-
tre dettate dalla fantasia e dalle capacità tecniche e culturali dell’ingegnere sociale.
(65) Wikipedia encyclopedia (www.wikipedia.it) : voce “social engineering”
9.2 SPAM
L’ insidia in esame consiste nell’ inoltro di email contenenti promesse di enor-
mi guadagni in cambio di un piccolo anticipo di denaro. Si tratta di un ten-
tativo di truffa normalmente correlato ad attività di spam. Lo scam spesso si
presenta sotto forma di grossi trasferimenti di somme di denaro da Paesi es-
teri (famoso è il Nigerian Scam) dietro il versamento di una cauzione op-
pure di ingenti vincite alla lotteria che saranno versate al malcapitato diet-
ro pagamento di una famigerata tassa di entità irrisoria rispetto alla vincita.
.Diritto .Informatica
9.3 PHISHING
Il termine phishing (67) deriva dal verbo inglese to fish (lett. pescare) ed infatti la
tecnica utilizzata in questo particolare tipo di truffa si basa principalmente sul lan-
cio di un’esca attraverso il contenuto di una email nel mare della rete ed attendere
che ignari internauti abbocchino ad essa (68) . L ’obiettivo del phisher è quello di
ricavare informazioni e soldi dalla propria attività truffaldina sfruttando, con in-
gegnosi stratagemmi, la fiducia e l’ingenuità degli utilizzatori meno esperti della
rete. In Italia si segnalano, in questi ultimi tempi, numerosi tentativi di phishing
posti ai danni dei clienti di istituti bancari. La tecnica utilizzata consiste nell’invio
di un elevato numero di email a destinatari casuali con cui venivano informati i
clienti che la banca “civetta” per ragioni tecniche (trasferimento del database dei
clienti o del sito, verifiche periodiche o problemi tecnici) richiedeva loro di col-
legarsi al sito per compilare un questionario o semplicemente per confermare le
proprie credenziali di autenticazione. L’inganno risiede nel fatto che il sito cui si
fa riferimento nel messaggio non è il vero sito dell’istituto di credito ma un sito
“clone” sotto il diretto controllo dei truffatori. La pagina web su cui è dirottata la
vittime riproduce la stessa grafica del sito ufficiale della banca per trarre in ingan-
no il malcapitato cliente che ha abboccato all’iniziativa. Se in un primo momen-
to i tentativi di phishing erano realizzati con email scritte con grossolani errori di
ortografia e sintassi, oggi i nuovi tentativi di truffa vengono realizzati utilizzando
un perfetto italiano con la conseguenza di moltiplicare esponenzialmente il nu-
mero delle possibili vittime. Per comprendere l’efficacia di questo particolare tipo
di truffe è utile riportare alcune conclusioni contenute nel white paper Sophos sul
phishing: «Gli autori di questi attacchi di phishing sono consapevoli che la grande
maggioranza dei destinatari non ha rapporti con l’organizzazione nominata nel
messaggio email, ma questo ha poca importanza. Infatti, i phisher sanno bene che
è sufficiente che una piccola percentuale dei destinatari sia titolare di un conto
presso l’organizzazione presa di mira per far sì che l’ operazione sia valsa la pena.
Anche se solo una minima parte dei destinatari cade nella rete dei phisher, ques-
ti ultimi possono ricavarne un enorme guadagno mentre il sito è attivo (69)» .
L’ evoluzione della tecnica ha condotto molti phisher ad utilizzare assieme al phishing
anche dei particolari malware di tipo trojan horse che consentono un accesso abusivo
al sistema infetto. La nuova tecniche prende il nome di trojan phisher (sleeper bugs). Tali
malware risedendo in memoria riescono a memorizzare, monitorando tutte le attiv-
ità, le informazioni degli utenti relative all’accesso ad un servizio di internet banking.
Si abbandona così il sito “clone” per agire in modo più silenzioso e senza la nec-
essaria partecipazione diretta della vittima. Un’altra forma di phishing particolar-
mente pericolosa, ed in notevole aumento, è quella denominata spear-phishing
con cui si inviano email che appaiono provenire da dipartimenti o settori della
stessa azienda dell’utente bersaglio. Le vittime, assicurate dal fatto che la co-
municazione appare provenire dalla propria azienda, rivelano così informazi-
oni che possono essere utilizzate per sferrare un attacco o realizzare una truffa.
(66) MARIA LICIA FRIGO, Ingegneria sociale e psicologia: il fattore umano nel proces-
so della sicurezza, in AA.VV., Sicurezza e privacy: dalla carta ai bit (a cura di G. COSTA-
BILE), Forlì, 2005, 25:(67) Kris Jamsa, Hacker Proof, Sicurezza in Rete, Milano, 2002, 311
(67) Wikipedia encyclopedia (www.wikipedia.it) : voce “phishing”
(68) Per maggiori informazioni sul phishing si rinvia al sito www.anti-phishig.
it in cui sono presenti molti esempi di truffe realizzate attraverso tale tecnica.
(69)White paper Sophos, Il phishing e la minac-
cia alla sicurezza delle reti aziendali, 2005, in www.sophos.it
9.4 DIALER
Con il termine dialer(70) sono denominati quei software programmati per
far comporre al modem un numero di telefono dal computer in sono instal-
lati in modo automatico e senza l’intervento dell’utente. Tali software pos-
sono essere utilizzati illecitamente per arrecare un danno con un ingius-
to profitto a favore di chi lo ha programmato e illecitamente diffuso. Tali
malware, infatti, compongono un numero telefonico a tariffazione maggiorata
con il conseguente ed inevitabile aggravio dei costi della bolletta telefonica (71) .
(70) Wikipedia encyclopedia (www.wikipedia.it) : voce “dialer”
(71) Con la diffusione delle connessioni ADSL il rischio “dialer” si è ridotto nel tempo.
Febbraio 2011- 01 I quaderni del Campus 10
.Diritto .Informatica
3. IL COMMERCIO NELLA SOCIETA’ DELL’INFORMAZIONE:
UNA QUESTIONE DI FIDUCIA E SICUREZZA.
Nella vita di una moderna azienda la sicurezza dovrebbe occupare un ruolo di pri-
maria importanza. Parlare di sicurezza, tuttavia, non vuol dire realizzarla concre-
tamente nelle quotidiane dinamiche commerciali. La dimensione della sicurezza
informatica è consapevolmente trascurata e se realizzata viene semplicemente iden-
tificata dagli organi apicali e dirigenziali come un “costo”. Probabilmente, questo
approccio superficiale è determinato dalle scarse informazioni sull’entità dei rischi
che gravano sull’azienda, in generale, e sul patrimonio informativo della stessa,
in particolare. E’ opportuno ricordare, infatti, che nella società dell’informazione
i beni da proteggere sono sempre più immateriali e che i rischi legati all’integrità
dei suddetti beni non sono facilmente trasferibili con sistemi di tipo assicu-
rativo poiché si tratta di beni dotati di un intrinseco e non fungibile valore.
Uno dei pregi del codice in materia di protezione dei dati personali (D.Lgs. 196/03)
è quello di aver posto all’attenzione degli amministratori delle piccole e grandi
aziende il problema della sicurezza dei dati personali e della intrinseca fragilità (19) .
La sicurezza informatica e la conseguente difesa dai crimini informatici rappresenta-
no, per le aziende che hanno deciso di fare commercio elettronico o semplicemente
di utilizzare Internet come strumento di lavoro per migliorare l’efficienza produttiva,
il primo e reale moltiplicatore di fiducia. La difficoltà di ricercare ed offrire una defi-
nizione idonea ad esplicitare cosa oggi rientri nell’espressione “commercio elettroni-
co” risiede nel fatto che tale realtà è soggetta al continuo e frenetico evolversi della tec-
nologia informatica e delle conseguenti nuove ed imprevedibili possibilità che, con
cadenza sempre più ravvicinata, sono offerte all’attenzione degli operatori commer-
ciali e degli stessi consumatori (20) . Il commercio elettronico non è, quindi, solo un
fenomeno squisitamente “economico” che trova in Internet una formidabile “rotta
commerciale” capace di creare relazioni tra mercati fisicamente lontani, ma diviene,
anche e soprattutto, un fenomeno sociale ed in ampio senso culturale. L’instaurazione
di rapporti commerciali per via “informatica” veniva effettuata con successo già pri-
ma della diffusione capillare della rete Internet. Tuttavia, tali procedure negoziali
potevano essere condotte solo tramite l’invio di dati attraverso un sistema chiuso al
quale gli operatori avevano preventivamente deciso di aderire, accettando le regole
e i protocolli per mezzo dei quali condurre e concludere le diverse operazioni (21).
L’evoluzione della tecnica informatica e dello stesso costume sociale ha determi-
nato, nel tempo, l’affermarsi di una nuova visione di Internet e delle sue potenzial-
ità “imprenditoriali”. Nel diffondersi di una fitta rete di relazioni commerciali che
trovano “on-line” un formidabile momento di incontro tra domanda e offerta di
prodotti e servizi, si può individuare il momento di passaggio da un commercio
elettronico di tipo chiuso, in cui gli operatori dovevano preventivamente “entrare
a far parte del sistema” accettandone le regole, ad un commercio elettronico “ap-
erto”, in cui tutti coloro che intendono effettuare transazioni di qualsiasi natura
possono, senza preventivamente dover entrare a far parte di una “comunità pre-
costituita” e in un certo modo “garantita”, accedere al mercato globale ed alle
sue offerte. L’attuale e il futuro sviluppo di questo particolare commercio rimane
però legato alla soluzione dell’annoso problema di generare, ancor prima che prof-
itto (in termini economici), fiducia nei consumatori verso l’utilizzo dei mezzi di
pagamento “elettronici”. La sicurezza dei dati informatici e delle reti che li veicol-
ano è oggi il maggiore problema da risolvere per garantire un corretto sviluppo
delle nuove tecnologie in e per l’azienda. Un moderno staff manageriale deve con-
tinuamente confrontarsi, infatti, con uno scenario mutevole di rischi provenienti
dall’interno e dall’esterno della struttura aziendale (22). Ancora una volta, così
come nel passato per altri tipi di mercati, è la misura dell’affidamento nella sicurez-
za del mezzo che consente alla transazione di giocare un ruolo determinante
nell’affermazione di un commercio che trova la sua linfa vitale in un flusso di dati ed
informazioni veicolati attraverso una rete informatica. Se la sicurezza dei mezzi di
pagamento fruibili attraverso Internet è alla base del futuro del commercio elettron-
ico, l’affermarsi di quest’ultimo rappresenta, a sua volta, la premessa logica dello
sviluppo della stessa società dell’informazione. Non comprendere fino in fondo il
legame che unisce in modo indissolubile queste due realtà, vorrebbe dire trascurare
una rilevante chiave di lettura per comprendere le vicende storiche legate alla pro-
duzione normativa, nazionale ed internazionale, di questi ultimi anni in tema di uti-
lizzo delle nuove tecnologie informatiche, in generale, e di Internet, in particolare.
(20)In tema di commercio elettronico si rinvia per ulteriori approfondimenti a:AA.VV., Analisi economica del diritto privato,
Milano, 1998; G. ALPA- V. LEVI, I diritti dei consumatori e degli utenti, Milano, 2001; A. ANTONUCCI, E-Commerce, La
direttiva 2000/31/CE e il quadro normativo della rete, Milano, 2001; T. Ballarino, Internet nel mondo della legge, Padova,
1998; COMMANDE’ G. SICA S., Il commercio elettronico.Profili giuridici, Torino, 2001; DELFINI F., Contratto telema-
tico e commercio elettronico, Milano, 2002; C. SARZANA DI S. IPPOLITO- F., Profili giuridici del commercio via Inter-
net, Milano, 2000; FULVIO SARZANA DI S. IPPOLITO, I contratti di Internet e del commercio elettronico, Milano, 2001
(21)PARODI-CALICE, Responsabilità penali e Internet, Milano, 2001,169
(22)AA.VV., Inside Attack, Tecnich di intervento e strategie di prevenzione, Roma, 2005, 17.
04 I quaderni del Campus 01 - Febbraio 2011
4. L’INSOSTENIBILE INSICUREZZA DELLA SOCIETÀ
DELL’INFORMAZIONE: ALLA RICERCA DEL BENE GIURID-
ICO DA DIFENDERE.
La sicurezza informatica (23), definibile come la scienza che si occu-
pa di studiare soluzioni idonee a fornire lo standard più alto di sicurez-
za tecnicamente raggiungibile dei sistemi informatici, si deve far cari-
co di rappresentare in una società come quella odierna ad alto grado di
informatizzazione il punto di frizione e tenuta tra la società in ampio senso intesa e
i crimini perpetuati attraverso o sulle nuove tecnologie informatiche e telematiche.
«In altre parole “sicurezza” è tutto ciò che permette ad un’azienda di restare tale.
(Omissis) Oggigiorno qualsiasi azienda, dalla media impresa alla grande multina-
zionale, affida gran parte dei propri processi di business ai sistemi informativi e
quindi alle informazioni (dalla fatturazione ai processi produttivi vitali). Quando
un evento dannoso, sia esso di origine naturale o doloso, colpisce i sistemi che
gestiscono le informazioni di cui l’azienda ha bisogno, quasi sempre si traduce
in una brusca interruzione dei processi aziendali e quindi del fatturato (24)» .
Per tale motivo appare sempre più necessario diffondere una cultura della
sicurezza in azienda già presente, per altri aspetti, nella vita quotidiana in cui,
ad esempio, nessuno: a) si avventurerebbe da solo, senza difesa, di notte in un
vicolo malfamato di una sperduta e sconosciuta città; b) darebbe le proprie in-
formazioni personali, più o meno sensibili, ad un soggetto sconosciuto che le
chiedesse per strada; c) concederebbe, in genere, la propria fiducia se non dopo
aver attestato la solidità del rapporto con l’istituzione o la persona che la richiede.
Il primo problema da risolvere è quello di individuare, anche se in modo gen-
erale ed astratto, il bene oggetto della politica di sicurezza. Bisogna, in al-
tre parole, andare al cuore del problema potando ed eliminando dalla ricer-
ca tutto quello che si manifesta solo come riflesso e conseguenza di un bene
di fondamentale importanza per l’esistenza stessa della realtà aziendale.
Il problema della c.d. privacy (25) e quello della sicurezza dei dati personali non sono
altro che esternazioni e specificazioni tematiche di quello che in realtà è l’oggetto della
sicurezza: il “dato informatico”. Per esso, ai fini di questo scritto, convenzionalmente
si deve intendere quell’insieme di bit che avendo la possibilità di essere conservato,
manipolato o semplicemente veicolato tramite un sistema informatico o telematico
necessita di un circuito di sicurezza che ne garantisca una complessa serie di parametri.
Innanzitutto, deve essere garantita la disponibilità e l’integrità dei dati a chi ne ha diritto
attraverso una serie di politiche atte a facilitare l’accesso e il reperimento dei dati affian-
cate da accorgimenti tesi a ridurre il rischio di modifiche accidentali o non autorizzate.
La disponibilità deve essere intesa parte essenziale del processo di sicurezza costitu-
endone il limite oltre il quale le ristrettezze e i confini imposti per garantire l’integrità
del dato non devono o possono andare: a che serve tutelare e difendere, impedendo
o rendendo difficoltosa la disponibilità da parte degli aventi diritto, un bene che è
tale solo in virtù del suo utilizzo e della rapidità con cui è concretamente fruibile?
Il rapporto tra sicurezza e disponibilità del dato informatico è un rap-
porto mezzo/fine: il dato è rilevante perché la sua disponibilità è “sicura”.
Per quanto riguarda l’integrità del dato informatico, il sistema
sicuro deve garantire che esso possa essere sempre disponibile in modo integro.
Per garantire tale parametro il sistema deve munirsi non solo di meccanismi tesi
a proteggere il dato dall’esterno e dai soggetti non autorizzati a disporne ma anche
e, principalmente, da un nemico più sfuggente e di cui è difficile prevedere in an-
ticipo le mosse e i bersagli: lo stesso utente legittimato (robustezza del sistema).
La tutela contro le cancellazioni o le modifiche che per casualità o inesperienza
possono essere causate da un utente non accorto o inesperto spesso producono,
anche nel quotidiano rapporto con le nuove tecnologie, danni gravi e costosi.
Tra i parametri rientranti e costituenti la sicurezza informatica, sem-
pre più sintesi di caratteristiche e proprietà eterogenee piuttosto che en-
tità monotematica, rientrano, inoltre, l’autenticazione e la riservatezza.
Autentico è ciò che: «risponde a verità… la cui conformità è attestata da un notaio o da
altro pubblico ufficiale a ciò autorizzato e che fa fede come l’originale; vero, genuino, schi-
etto…; attribuito in modo irrefutabile a un autore, non imitato né falsificato (26)…» .
Nell’ ambito della sicurezza informatica, autentico è generalmente utilizzato
nell’accezione attribuente la paternità di un dato ad un soggetto ben determi-
nato. Solo attraverso la certezza che la richiesta, o la risposta, provenga dal sog-
getto avente diritto si possono ipotizzare rapporti qualificabili come sicuri.
Specificando ulteriormente, per quanto riguarda l’accesso è necessario che il sis-
tema possa identificare e riconoscere l’utente al fine di poter mettere il soggetto au-
torizzato nelle condizioni di esercitare il proprio diritto alla disponibilità del dato.
Tra i mezzi più diffusi si possono rinvenire quelli che si basano sulle pass-
word, sui sistemi biometrici e su smart card supporto di diverse tecnologie
Altra sfaccettaturadainserire all’interno del più ampioconcetto“sicurezza informatica”

(50)SISTO, Le diverse modalità di distribuzione del software: freeware, shareware e trial ver-
sion, op.cit., 1063: « …omissis…il freeware, software con riserva di copyright, il quale non è ab-
binato ad una definizione precisa, ma in generale viene inteso come software gratuito, del quale
però, elemento importantissimo, non viene reso il codice sorgente. Infatti l’autore di questo tipo
di software concede il diritto di riprodurlo e distribuirlo solo in ipotesi molto rare, accordando
raramente il diritto di modificarne una parte, realizzando così una sorta di ibri-
do tra software libero e proprietario. Con il suffisso “free” si tende ad indicare poi
solo la gratuità del prodotto, non invece la totale libertà di modificazione e diffu-
sione concessa all’utente/utilizzatore come avviene nel caso del software libero».
(51)SISTO, Le diverse modalità di distribuzione del software: freeware, shareware e trial ver-
sion, op.cit., 1064: « Nell’ampia categoria di software “non libero” rientra sicuramente la tipo-
logia dello shareware, particolare forma di programma per elaboratore, attraverso la quale
il “titolare” concede all’utente la possibilità di ridistribuzione e di utilizzare per un tempo
determinato il prodotto. Attraverso l’utilizzo del try & buy sarà possibile pertanto prendere
visione del prodotto nella sua integrità e nel caso in cui si fosse soddisfatti delle caratteristiche
proposte, comprarlo, versando il danaro richiesto direttamente nelle tasche del produttore.».
(52)ROSSI, Lo spyware e la privacy, op. cit., 188: «negli ultimi temi si sta diffondendo tra le case
produttrici di software una modalità di distribuzione particolare, e cioè il cosiddetto adware.
Viene quindi permesso l’utilizzo gratuito e a tempo indeterminato di un programma a patto che
l’utente si sottoponga ad una serie di comunicazioni a carattere promozionale, in genere sotto
forma di banner pubblicitari che compaiono nel proprio browser o direttamente nel program-
ma in questione. I banner pubblicitari vengono prelevati da un server web dedicato, stabilendo
un collegamento tra il computer e il server web. Per ogni banner visualizzato nel programma,
il suo autore percepisce un compenso che, seppure modesto, concorre ad un business mil-
iardario se moltiplicato per le decine di migliaia di persone che utilizzano quel programma».
(53) CIAMBERLANO, Spyware Story, www.dirittoesicurezza.it..
(54)Per la definizione di “domini di sicurezza” appare opportuno riprendere quanto scritto
in merito da CIAMBERLANO, Spyware story, op.cit.: «I programmi eseguibili in un sistema
operativo sono solitamente confinati in quelli che vengono chiamati in gergo informatico
“domini di protezione”; ciascun dominio (che astrattamente è utile visualizzare come una
zona geografica dai limiti invalicabili al cui interno vengono confinate le applicazioni) ha il
compito di regolamentare le azioni che ciascun software può compiere, seguendo specifiche
politiche di sicurezza. Semplificando molto la reale situazione, esempi di domini possono
essere: 1) Insieme dei programmi installati dall’utente sul calcolatore; questi possono com-
piere la maggior parte delle azioni, supponendo (ottimisticamente) che l’utilizzatore non
installi software dannoso sul proprio computer. 2) Insieme dei programmi allegati a pagine
web (quest’ultime possono infatti contenere applet java, activeX, animazioni flash ed altro,
ovvero piccoli software che svolgono compiti più o meno utili; ad esempio molte chat on-
line utilizzano applet java per gestire il flusso di messaggi); queste applicazioni sono sot-
toposte a forti restrizioni: non possono leggere o scrivere sul disco rigido del computer os-
pite (per evitare la lettura o la cancellazione di documenti riservati), né su questo possono
installare o eseguire programmi (per evitare che questi ultimi, i quali godono di maggiori
privilegi, vengano utilizzati per compiere azioni dannose). Per un esempio reale di ap-
plicazione del concetto di dominio si può sbirciare nelle impostazioni di sicurezza di in-
ternet explorer, avendo cura di non modificare le impostazioni predefinite a meno di non
essere sicuri sugli effetti del cambiamento: dal menù strumenti di explorer selezionare “op-
zioni internet” quindi il tab “protezione”».(55)DEVOTO- OLI, voce Verificabilità, op. cit..
(55)GRISENTI , Spyware e domicilio informatico, www.interlex.it/attualit/C.
(56)Si pensi alla diffusa pratica pubblicitaria dello spamming, invio martellante e diffuso di mes-
saggi pubblicitari diretti a un numero elevato di indirizzi email, rastrellati on-line utilizzando varie
modalità operative. Sul punto si rinvia a quanto scritto da ERCOLANO, Spamming: una nuova for-
ma di pubblicità dannosa per i consumatori?, pubblicato in questo numero del supplemento, 44 ss.
(57)GRISENTI, Spyware: quanti reati con i programmi “indiscreti”, in www.interlex.it/attualit/
grisenti.htm : «In tempi di grande attenzione per la privacy, la libertà personale e la tutela del la-
voratore, la Rete si fa veicolo di pericolosi strumenti che permettono anche al più sprovveduto di
eludere proprio tali forme di tutela. Navigando attraverso alcuni dei più comuni siti dedicati al
download di file (Volftp, Tucows, e molti altri), si possono reperire programmi specificamente
dedicati a carpire, in maniera invisibile e drammaticamente efficiente, dati personali, password
e ID dell’utente oppure a controllare ogni attività, ivi inclusa la corrispondenza e i dati person-
ali, del dipendente. Sembra impossibile, eppure l’impreparazione alle problematiche giuridi-
che che la Rete, con la sua ultraterritorialità, comporta, può avere anche queste conseguenze».
.Diritto .Informatica
8. ATTACCHI INFORMATICI
La guerra quotidiana tra chi attacca un sistema e chi lo difende è combattuta sul
campo di battaglia di una rete di computer tanto a livello aziendale quanto a liv-
ello globale. Gli obiettivi di un attacco al sistema informatico di un’azienda pos-
sono essere diversi: 1. vandalici o dimostrativi; 2. estorsivi; 3. di ritorsione e/o
rappresaglia (provenienti, ad esempio, da concorrenti o ex-dipendenti); 4.
di captazione di segreti industriali o di informazioni riservate; 5. di alterazi-
one documenti e dati; 6. di paralisi, più o meno estesa, delle attività aziendali.
Le informazioni possono essere custodite all’interno di comput-
er aziendali (in una condizione di “stasi”) oppure essere veicolate at-
traverso la rete locale o internet (in condizione di “transito (58) ”).
In base allo stato in cui si trovano, le informazioni sono sottoposte a modal-
ità di attacco diverse in ragione delle diverse vulnerabilità a cui sono soggette.
Le principali modalità di attacco possono essere ricon-
dotte a: denial of service, sniffing, hijacking, spoofing.
8.1 DENIAL OF SERVICE
L’ attacco DoS (59) (lett. Interruzione del Servizio) è un particolare tipo
di attacco il cui obiettivo è quello di mettere fuori servizio, ossia ren-
dere inutilizzabile, la risorsa oggetto dell’attacco. Numerose sono le con-
dotte che possono assicurare il raggiungimento del suddetto obiettivo.
«In generale un attacco denial of service mira a consumare le risorse del sistema, im-
pedendo agli altri utenti di utilizzarle (60)» . Una delle tecniche più utilizzare è quella
di saturare o comunque sovraccaricare il server fornitore dei servizi aziendali attra-
verso la generazione di un enorme traffico di richieste. Un’ altra modalità DoS, molto
più invasiva e sintomatica della carenza di un adeguato sistema di sicurezza è quella
ottenibile penetrando il sistema informatico aziendale e cancellando o modificando
i file di gestione dei servizi sul server. Il superamento dei circuiti di sicurezza si può re-
alizzare sfruttando le vulnerabilità presenti nel software utilizzato dal sistema bersa-
glio come dei bug di programmazione o di configurazione delle politiche di sicurezza.
(59) Wikipedia encyclopedia (www.wikipedia.it) : voce “denial of service”
(60) Kris Jamsa, Hacker Proof, Sicurezza in Rete, Milano, 2002, 296;
8.2 SNIFFING
Sniffing (61) (lett. intercettazione) è un tipo di attacco particolar-
mente insidioso teso ad intercettare i dati in transito sulla rete. Tale tec-
nica è normalmente realizzata attraverso l’utilizzo di particolari soft-
ware oppure attraverso la deviazione forzata del flusso dei pacchetti di
informazione in modo da dirottarli su computer controllati dal soggetto attaccante.
L’attività criminosa in questo caso è normalmente tesa ad intercettare e non
modificare il contenuto delle informazioni. L’ obiettivo del malintenzionato è
quello di mettersi in ascolto in attesa di informazioni interessanti come pass-
word, documenti riservati ed altre comunicazioni degne di attenzione o co-
munque sfruttabili per sferrare un attacco più intenso e gravido di conseguenze.
(61) Wikipedia encyclopedia (www.wikipedia.it) : voce “sniffing”
8.3 HIJACKING
L’attacco di tipo hijacking ha come obiettivo la modifica delle informazioni trasmesse
ed intercettate senza che il mittente e il destinatario se ne possano accorgere. Si trat-
ta di una tecnica piuttosto complessa che viene utilizza per compromettere la stessa
integrità delle informazioni inviate. Quando un tale tipo di attacco è posto in essere i
pacchetti di informazioni inviate dal client saranno intercettati, modificati e di nuo-
vo instradati dall’attaccante. Le informazioni così modificate raggiungeranno il des-
tinatario senza che quest’ultimo e il mittente possano accorgersi di quanto accaduto.
8.3 SPOOFING
Con il termine spoofing (62) è indicato un tipo di attacco utilizzato per falsificare
l’identità del mittente del messaggio o dei file allegati. Si può così tentare di sfruttare
l’identità falsa per muoversi nell’anonimato oppure per ottenere vantaggi o arrecare
danni all’insaputa della vittima. «Lo sniffing è un attacco passivo dove l’hacker si
limita a monitorare i pacchetti che attraversano la rete. Al contrario lo spoofing è
un processo attivo in cui l’hacker tenta di convincere un altro sistema che i mes-
saggi da lui inviati provengono da un sistema legittimo. In altre parole, utilizzan-
do lo spoofing, l’hacker simula di essere un altro utente o un altro sistema (63) ».
Si tratta di attacchi informatici che sfruttano le caratteristiche di virus, worm,
Febbraio 2011- 01 I quaderni del Campus 09
.Diritto .Informatica

è quella relativa alla riservatezza del dato: un sistema non può definirsi sicuro se con-
sente a chi non ha diritto di accedere ai dati in esso custoditi, in modo assoluto o in
misura più ampia e diversa da quella autorizzata. Se appare facile identificare i meccan-
ismi e i limiti da imporre per distinguere coloro che possono da coloro che non pos-
sono accedere ad un determinato dato, diviene difficile identificare e porre dei limiti a
chi può accedere allo stesso in misura variabile temporalmente e quantitativamente.
Inoltre, si può accennare ad un’altra caratteristica che acquista sempre mag-
giore rilevanza nel contesto della società nata online: la verificabilità. L’attributo
della verificabilità nasce dal fatto che il dato informatico possa, e debba, es-
sere suscettibile di verifica, ossia di un’<<operazione di controllo per mezzo
della quale si procede all’accertamento di determinati fatti o risultati nel loro
valore e nelle loro modalità(27)>> Il problema della sicurezza è relativo non
solo al momento della paternità dell’atto, ma anche alla non modificabilità o al-
terabilità silente del dato in un tempo successivo alla creazione dello stesso.
A differenza di un oggetto materiale, ad esempio un documento scritto, in cui
è visibile una correzione o alterazione successiva all’ultimazione dello stesso,
nell’oggetto digitale ciò che appare a prima vista è la sua estrinsecazione informat- hardware e software di tipo spyware, raccoglie dati personali all’insaputa dell’internauta.
ica in cui le modifiche ed alterazioni precedenti non sono facilmente rintracciabili Il tema della c.d. “cifra nera” dei reati informatici realmente perpetrati si presenta
da un soggetto non esperto e senza le opportune dotazioni software e hardware. come un fenomeno di interesse globale ed esponenzialmente in crescita che, purtrop-
Un sistema può essere definito sicuro quando, mantenendone traccia, riesca a po, le autorità statali (governative, legislative e giudiziarie) non riescono ad arginare.
fornire un quadro verificabile delle operazioni compiute sui dati da esso custoditi La diffusione di particolari software facilmente reperibili oline per-
e/o veicolati. Livelli maggiori di sicurezza corrispondono, ad esempio, al fatto di mette a “pseudo-hacker”, senza alcun bagaglio tecnico di grado eleva-
facilitare attraverso tracce registrate l’evidenziazione del legame causale fatto/autore. to, di poter attuare impunemente comportamenti offensivi contro la pri-
Un ulteriore e necessario requisito è rintraccia- vacy e la sicurezza dei sistemi informatici e telematici di istituzioni
bile da WILLIAM STALLINGS nella c.d. non-repudiation . pubbliche, aziende private o semplicemente di un personal computer bersaglio.
Tale requisito, in termini generali, non dovrebbe permettere il rifiuto e/o la ripudia- Bisogna prendere coscienza, quindi, che le violazioni informatiche, in particolare
bilità di un dato trasmesso sia al mittente e sia al destinatario. Da ciò deriva: quando quelle relative alla violazione del diritto alla protezione dei dati personali e del
il dato è stato trasmesso, il ricevente può provare che lo stesso sia stato inviato dal c.d. domicilio informatico, sono poste in essere ad un ritmo e con una cadenza
mittente autorizzato ad inviarlo e, in modo speculare, quando il dato è ricevuto, del tutto simile a quelle relative alle più comuni violazioni del codice della strada.Il vero
il mittente può provare che lo stesso sia stato ricevuto dal ricevente autorizzato. dramma risiede nel silenzio con cui la vittima del crimine informatico decide di reagire.
In conclusione, nella progettazione e nella valutazione di un sistema informatico Molte aziende preferiscono, ad esempio, incassare il colpo e rivolgersi, per porre
aziendale, per i motivi illustrati, deve essere tenuto in forte considerazione il proble- rimedio all’insicurezza del loro sistema, a consulenti tecnici privati capaci di miglio-
ma della sicurezza in tutte le sue diverse sfaccettature. Vi è l’obbligo, infatti, di creare, rare la protezione dei loro dati e delle strutture più riservate piuttosto che rivolgersi
aggiornare e valutare, alla luce delle inesorabili e continue innovazioni tecnolog- alle forze dell’ordine. La paura che si cela dietro alla pubblicità della notizia del
iche, i diversi meccanismi idonei a proteggere i dati senza impedirne o limitarne crimine subito è quella di determinare un ulteriore grave danno, in alcuni casi su-
la fruibilità da parte di chi ha un diritto, più o meno ampio, d’accesso agli stessi. periore a quello già subito, all’immagine e al profitto della stessa società-vittima.
«In effetti, la società che ha subito un accesso abusivo – affrontando dei costi – ten-
5. CRIMINI INFORMATICI: DALLE “LISTE NERE” AL CO- terà di rendere maggiormente sicuro il proprio sistema, anche se verosimilmente
DICE PENALE ITALIANO (29). l’autore di tale forma di reato, andato a buon fine senza conseguenze giudiziarie,
potrà avere un forte stimolo psicologico a riprovare l’esperienza, così vanificando di
La rapida diffusione degli strumenti informatici ha indotto nella prima metà degli fatto l’aggiornamento dei sistemi di sicurezza»(34) . L’aumento vertiginoso della c.d.
anni Ottanta i governi degli Stati, dove maggiormente si era realizzato nei tessuti cifra nera dei reati informatici è determinato, inoltre, dalla mancanza di una dif-
sociali un processo di “neovascolarizzazione tecnologica”, a porre particolare atten- fusa consapevolezza dell’estrema vulnerabilità di un sistema informatico rispetto ad
zione al fenomeno dei crimini informatici (30) . A tal fine nel 1985 fu costituito, in attacchi portati a termine da soggetti esperti. Gli autori di un crimine informatico
seno al Consiglio d’Europa, un Comitato ristretto di esperti con lo scopo di affian- normalmente, dopo aver compiuto il reato tendono a dedicare particolare cura alla
care al preesistente Comitato per i problemi criminali un organo con conoscenze cancellazione delle tracce lasciate nel sistema-bersaglio. Questo modo di procedere
atte ad affrontare le nuove sfide che la criminalità sempre più organizzata e sempre determina, in modo paradossale, il fatto che gli attacchi o gli accessi abusivi più ecla-
più transnazionale lanciava alle istituzioni nazionali ed internazionali. Sulla base tanti e pubblicizzati, spesso dagli stessi autori, siano meno gravi e pericolosi di quelli
di un attento esame della realtà criminale informatica e telematica attuale e delle attuati in modo silente, perché perpetrati da soggetti che non hanno intenzione di vi-
proiezioni future, non certo confortanti, vennero stilate due “liste nere”. All’interno olare il sistema per fini ludici o ideologici (35) , ma semplicemente per scopi criminali.
di ciascuna furono inseriti tutti quei comportamenti avvertiti come offese per-
petrate con e sulle nuove tecnologie. L’elemento comune ai suddetti illeciti era (21) Per una sintesi dei più rilevanti adempimenti in materia di priva-
cy all’interno delle imprese si rinvia a: G.DI RAGO, La privacy e le imprese, Matelica, 2005
rappresentato dal fatto che tutti, necessariamente, richiedevano una stretta col- (22) DEVOTO- OLI, voce Verificabilità, op. cit.. (23)L’intero paragrafo trae spunto dalla lettu-
laborazione tra gli Stati membri al fine di fornire un’efficace risposta preven- ra di: PERRI, Un’introduzione all’information security, in Ciberspazio e Diritto, 2001, vol. 2, n. 3-4, 337.
(24)AA.VV., Inside Attack, Tecnich di intervento e strategie di prevenzi-
tiva e repressiva. La cooperazione tra gli Stati non appariva come una semplice one, Roma, 2005, 13. La frase è estrapolata dall’introduzione a cura di Corrado Giustozzi.
scelta “politica”, ma s’imponeva come l’unica modalità operativa realmente ef- (25)Per una sintesi dei più rilevanti adempimenti in materia di priva-
cy all’interno delle imprese si rinvia a: G.DI RAGO, La privacy e le imprese, Matelica, 2005.
ficace per evitare che ogni singolo intervento nazionale si risolvesse in un sem- (26)DEVOTO-OLI, Il dizionario della lingua italiana, UTET. (27)DEVOTO- OLI, voce Verificabilità, op. cit..
plice placebo utile solo per rassicurare gli animi e le paure dell’opinione pubblica. (28)WILLIAM STALLINGS, Cryptography and network security, 1999, 5.
(29)Per un approfondimento della disciplina italiana relativa ai crimini informatici si rinvia a: G. FAGGIOLI, Computer
Le due liste di “proscrizione” furono così distinte (31) : “Lista mini- crimes, Napoli, 1998: P. GALDIERI, Teoria e pratica nell’interpretazione del reato informatico, Milano, 1997; E. GIANNAN-
ma”: elenco di comportamenti e fatti offensivi ritenuti talmente gra- TONIO, Manuale di diritto dell’informatica, Padova, 1997; C. Sarzana, Informatica e diritto penale, Milano, 1994; Ceccac-
ci, Gianfranco, Computer crimes : la nuova disciplina sui reati informatici, Milano 1994; Lorenzo Picotti, Il diritto penale
vi da richiedere un immediato e non prorogabile intervento del di- dell’informatica nell’epoca di internet, Padova 2004; Lorenzo Picotti, Studi di diritto penale dell’informatica, Verona, 1992
ritto penale, extrema ratio di ogni ordinamento giuridico statale (32) ; (30)Per un approfondimento del tema si rinvia ai siti: www.crimine.info; www.dirittoesicurez-
za.it; www.criminologia.org; www.ictlaw.net; www.interlex.it; www.pomante.it; www.penale.it.
“Lista facoltativa”: elenco di comportamenti e fatti ritenuti non eccessivamente of- (31)FAGGIOLI, Computer Crimes, Napoli, 1998, 67 ss.; PERRONE, Computer Crimes, in AA.VV., Di-
fensivi, ma che tuttavia richiedevano un intervento del legislatore nazionale (33). ritto & Formazione, Studi di Diritto Penale (a cura di CARINGELLA e GAROFOLI), 1603.
(32)Esempi di comportamento offensivo contemplato nella “Lista minima”: frode informati-
Il fatto che, nei vari Stati membri, non vi sia un numero elevato di procedimenti penali ca, falso informatico, accesso non autorizzato a sistemi informatici, c.d. sabotaggio informa-
tesi all’accertamento ed alla repressione dei c.d. crimini informatici che riesca ad andare tico, danneggiamento dei dati e dei programmi informatici, l’intercettazione non autorizzata…
(33)Esempi di comportamenti offensivi appartenenti alla “Lista facoltativa”: utilizzazione non autorizzata di
a “buon fine”, non vuol dire che tali violazioni non siano perpetrate in modo diffuso un elaboratore elettronico, utilizzazione non autorizzata di un programma protetto, spionaggio informatico…
E’ vero, presumibilmente, il contrario; infatti, in numero elevato, ad esempio, sono (34)PARODI – CALICE, Responsabilità penali e Internet, Milano, 2001, 55. Sul punto si consiglia la consultazi-
one dei seguenti testi: POMANTE, Internet e criminalità, Torino, 1999; MONTI, Spaghetti Hacker, Milano, 1997.
violate le norme indicate all’art. 615 ter e quelle relative alla tutela penale della pri- (35)Si pensi all’eterna sfida uomo-macchina o a quella più consistente ed ideologica degli hacker; questi ultimi si rive-
lano, in alcuni casi, utili alle aziende per testare, in modo gratuito, i loro sistemi al fine di migliorarne la sicurezza e
vacy da parte di chi, inserendo all’interno di programmi generalmente freeware ed. prevenire attacchi e accessi ben più gravi di soggetti che con gli hacker hanno in comune solo l’utilizzo delle nuove tecnologie.

05 I quaderni del Campus 01 - Febbraio 2011


Nel momento in cui la semplificazione dei meccanismi di comunicazione e
la tendenza all’utilizzo commerciale delle informazioni personali si trovano
ad interagire con queste nuove forme di distribuzione commerciale dei pro-
grammi nasce e si diffonde il software “spyware”. Dal “brodo primordiale” della
distribuzione del software in Rete nasce così una particolare moneta di scambio: i
dati personali. Sin dai primi anni della diffusione di Internet l’utente medio aveva a
disposizione strutture di comunicazione sufficientemente potenti, ma quello che an-
cora non era abbastanza sviluppato era il settore delle infrastrutture idonee ad uti-
lizzare al meglio le potenzialità già presenti nella quotidianità tecnologica della vita
privata e professionale (48). Numerosi servizi, da sempre presenti sul Web come la
posta elettronica, non erano facilmente utilizzabili a causa della carenza strutturale
di programmi, c.d. applicativi, capaci di semplificare e valorizzare tali potenti stru-
menti. «Molti programmatori/navigatori spinti dall’insufficienza degli applicativi e
dalla speranza non tanto di ricavare vantaggi finanziari, quanto di riuscire ad otte-
nere il plauso e il rispetto del “popolo della rete” per l’eleganza e la potenza con cui il
loro programma risolveva un particolare problema, si cimentarono nella creazione
di nuove applicazioni che semplificassero le azioni più comuni: sfruttando la sor-
prendente capacità di comunicazione del web, tali creazioni potevano essere condi-
vise e diffuse agli altri naviganti. I programmi utilizzabili senza limiti sono chiamati
“freeware”(49)» . Quello appena descritto può essere considerato la premessa logica
e causale dei successivi passi che condurranno ad un uso, sempre meno “free”, di
Internet finalizzato alla distribuzione del software (50) . Il passo successivo è rap-
presentato da tutta quella serie di programmatori e case produttrici di software che
iniziarono a richiedere del denaro a chi avesse avuto l’intenzione di utilizzare, senza
limiti temporali e quantitativi, il software da loro ideato, realizzato e distribuito at-
traverso la rete (51). Parallelamente a questi fenomeni di distribuzione all’interno
dell’ingegnoso popolo di internauti, tesi per inclinazione genetica alla ricerca di un
modo gratuito per utilizzare i diversi e costosissimi programmi “applicativi”, si as-
siste alla diffusione di un particolare hobby: la ricerca dei crack-files, piccoli pro-
grammi che consentono di superare le barriere erette dai produttori riuscendo a far
utilizzare i programmi oltre i limiti quantitativi o temporali imposti dai program-
matori, in origine eliminabili solo da questi ultimi dietro pagamento di un congruo
corrispettivo. Come risposta, numerose case produttrici di software indirizzarono
la produzione verso la creazione di versioni dimostrative e con evidenti fisiologiche
menomazioni rispetto a quelle commerciali. Queste versioni “limitate” sono dirette,
palesemente, solo a far nascere il desiderio di acquistare la versione completa, senza
il rischio che qualcuno possa, con qualche minuto di ricerca online, sbloccare i cod-
ici di sicurezza riuscendo ad utilizzare il programma in modo integrale e gratuito.
La necessità di trovare nuove modalità di distribuzione ha condotto, così, le case
produttrici di software a percorrere strade diverse per ottenere il più alto profitto
con il minore costo e rischio possibile. Per tale motivo numerosi produttori inizi-
arono a perseguire una particolare forma di distribuzione del proprio software (c.d.
adware), consistente nel concedere gratuitamente il programma a patto che l’utente
decida di subire una serie di messaggi pubblicitari (c.d. banner) durante l’utilizzo
degli stessi (52) . La differenza principale rispetto al freeware consiste proprio
nell’obbligare l’utente finale a visualizzare, durante l’utilizzo del programma adware, i
messaggi promozionali dei prodotti commerciali delle aziende
che hanno stipulato dei contratti pubblicitari con le case produttrici del software. In
questo modo non è più l’utente, direttamente, a pagare per l’utilizzo del programma
ma le varie aziende commerciali che sfruttando la diffusione del programma dis-
tribuito gratuitamente riescono ad aprire e mantenere una finestra privilegiata negli
schermi di numerosi utenti/consumatori. Sebbene tale modalità di distribuzione ri-
sultò positiva e proficua sia per i programmatori che per le aziende pubblicizzate, la
crescente difficoltà di trovare nuove e creative forme di pubblicità online comportò
un impegno sempre maggiore, con notevole impiego e distrazione di risorse, che
le aziende produttrici di software riuscirono a stento a sostenere. «Per affrancare
gli sviluppatori da tali oneri, sono nate alcune società specializzate proprio nella
gestione e nella promozione pubblicitaria dei software: un programmatore ha la
possibilità di stipulare un contratto con una di esse, ottenendo successivamente un
compenso proporzionato all’attenzione ricevuta dal banner inserito nella sua appli-
cazione (normalmente vengono contati i click dei visitatori sul banner stesso) (53)»
Questo tipo di pubblicità, in un primo tempo, era diretto su una massa informe di
possibili e poco probabili consumatori, determinati solo per macrocategorie. La pub-
blicità di un prodotto, infatti, veniva sparata nel mucchio indefinito di potenziali ac-
quirenti senza possibilità alcuna di calibrare il messaggio sui gusti personali dei sin-
goli consumatori. Si sparge a macchia d’olio, così, l’esigenza di raccogliere un numero,
il più elevato possibile, di informazioni relative ai gusti e alle abitudini del popolo di
Internet allo scopo di divulgare sempre più efficacemente, mirando su precisi bersa-
gli e in modo sempre più incisivo, i messaggi promozionali di natura commerciale.
Gli utilizzatori di Internet si dimostrarono restii a fornire, nonostante tutte le lus
.Diritto .Informatica
inghe, le promesse e le fantasiose iniziative delle numerose aziende addette alla
raccolta dei dati rilevanti ai fini della profilazione degli utenti, i propri dati per-
sonali provocando l’irrigidimento di un meccanismo che si era dimostrato alta-
mente lucrativo. I dati raccolti, archiviati ed elaborati divennero in modo sempre
più chiaro una fonte di ricchezza e in alcuni casi un reale “bene” di scambio. Ora
che il rapporto dati personali/denaro era stato non solo ipotizzato a livello astratto
e concettuale, ma concretamente realizzato nella pratica commerciale, occorreva
trovare nuove e più potenti forme di reperimento e rastrellamento di queste parti-
colari “monete”. Questi nuovi mezzi dovevano rivelarsi idonei a creare delle “auto-
strade privilegiate” all’interno della Rete percorribili da flussi sempre più ingenti di
dati e diretti, nel breve periodo, a soppiantare la semplice e palese richiesta rivolta
all’internauta tramite gli ormai vetusti questionari di varia natura e genere. Tra le
preziose informazioni, custodite nel personal computer degli utenti, e le aziende ad-
dette alla loro raccolta, purtroppo per le seconde, il maggior ostacolo al loro in-
contro era rappresentato dai c.d. “domini di protezione” (54) , per superare i quali
è necessario, in via generale, disporre di una base logistica all’interno del primo.
Come inserire, all’insaputa dell’internauta, un agente segre-
to e silenzioso pronto ad inviare periodicamente ad ogni collega-
mento le notizie generate e presenti all’interno del computer ospite?
Il punto di partenza è rappresentato dal software di tipo adware: le aziende utiliz-
zatrici di questa particolare modalità di distribuzione e d’uso del software in pas-
sato avevano già instaurato con l’utente un binario di comunicazione che dai pro-
pri server web era diretto ad aggiornare periodicamente i messaggi pubblicitari
sui banner del personal computer in cui era installato il programma adware. Era
sufficiente che all’interno di questi programmi “vettori” fosse inserito accanto al
ricevitore un “parassita” rastrellatore e trasmettitore di dati presenti e generati nel
computer “ospite”. In questo modo si potevano superare facilmente tutte le possibili
politiche restrittive dei domini di sicurezza, perché il programma installato dallo
stesso utente sarebbe stato libero di operare, senza o quasi, misure restrit-
tive. Il passo è breve ma fecondo di gravi conseguenze che meritano un’attenta
riflessione: nel momento in cui il flusso delle informazioni diviene biuni-
voco, cioè non solo dal server web delle aziende pubblicitarie al personal com-
puter, ma anche in senso inverso, il flusso di quello che dal personal com-
puter esce deve poter essere controllato e gestito dal proprietario dello stesso.
L’utente medio non è a conoscenza della possibilità concreta che as-
sieme a questi programmi applicativi, semplici “vettori infettivi”, potran-
no essere installati dei programmi che non si limitano a ricevere gli
aggiornamenti dei banners pubblicitari, ma che hanno il com
pito di raccogliere ed inviare, collegandosi senza autorizzazione
a server sconosciuti informazioni concernenti i gusti e le abitudini di chi utilizza il
computer “ospite”. Il software “spyware”, quindi, non è altro che un programma di
dimensioni ridotte che viene installato nei meandri di un numero sempre più am-
pio di file presente nei sistemi di ogni computer, mimetizzandosi. Quando l’utente
si connette ad Internet, il programma “entra in azione in modalità stealth, senza
che l’ignaro navigatore possa accorgersene utilizzando la comune “diligenza infor-
matica”. Tale software, infatti, utilizzando l’accesso alla rete impiegato per le normali
attività lavorative o ludiche si mette in contatto, secondo un programma prestabilito,
con un particolare server inviando e ricevendo dati. I problemi interpretativi dal
punto di vista giuridico risiedono proprio nell’instaurazione di una silente e non
autorizzata comunicazione tra il computer “ospite” ed il server web “untore” che ha
ad oggetto dati e contenuti prodotti dal primo (55). Lo scopo delle imprese che
si occupano di raccogliere ingenti quantità di informazioni provenienti dagli in-
numerevoli elaboratori elettronici, in cui i loro poderosi parassiti giacciono in uno
stato di quiescenza in attesa di inviare preziosi dati, è quello di rivendere il frutto
di questi ingenti bottini ad agenzie di marketing o semplicemente ad altre aziende
(56) . Il problema giuridico da affrontare una volta decifrato il DNA di questi
particolari “parassiti” è quello di verificare la compatibilità di un prodotto com-
merciale così particolare con l’ordinamento giuridico italiano e con il suo comp-
lesso tessuto di norme poste a garanzia della persona e dei suoi diritti primari (57).
Per concludere sul fenomeno spyware un’ultima riflessione: accanto alla cap-
illare diffusione delle nuove tecnologie informatiche e telematiche è nec-
essario diffondere la consapevolezza dei costi e dei rischi ad essa connes-
si. Mentre i rischi sono accettati come possibili, i costi da sopportare sono
certi e non sono solo quantificabili in termini monetari, ma anche e principal-
mente in quantità di informazioni personali da voler spendere e conservare.
(48)CIAMBERLANO, Spyware Story, www.dirittoesicurezza.it .
(49)CIAMBERLANO, Spyware Story, www.dirittoesicurezza.it.
Febbraio 2011- 01 I quaderni del Campus 08
.Diritto .Informatica
Il legislatore penale italiano, dietro impulso dell’Europa, ha deciso di affrontare e
risolvere, almeno in parte, i problemi legati all’uso delle nuove tecnologie informat-
iche e telematiche varando la legge n. 547 del 1993 recante «modificazioni e inte-
grazioni delle norme del codice penale e del codice di procedura penale in materia
di criminalità informatica». Con tale legge si è effettuata una duplice operazione: da
una parte un innesto di nuove fattispecie nel vecchio tronco dell’impianto codicis-
tico; dall’altro si è proceduto alla modifica di preesistenti fattispecie penali. Questa
operazione di “chirurgia legislativa” è stata attuata con il chiaro intento di stigmatiz-
zare i nuovi e dilaganti fenomeni di criminalità informatica. La repressione dei c.d.
reati informatici non venne perseguita solo con l’approvazione del contenuto della
predetta legge, ma anche con altri puntuali provvedimenti normativi. «Gli anni
Novanta saranno senza dubbio ricordati per la massiccia opera legislativa nel campo
dei c.d. computer crimes, soprattutto se si considera tale ambito in senso lato. (36)»
Per terminare questa breve introduzione sul tema dei crimini informatici, una rifles-
sione da sussurrare al legislatore italiano ed europeo: correre verso la penalizzazione
dei comportamenti illeciti perpetrati con e sulle nuove tecnologie al fine di arginare
fenomeni dilaganti e, in qualche modo, inarrestabili nella loro diffusione trasversale
nel tessuto sociale è la via giusta da seguire? Dilatare l’area del penalmente rilevante in
un terreno così poco conosciuto e determinabile che muta ad un ritmo che le classiche
fonti di produzione del diritto penale non riescono a sostenere, presenta una qual-
che utilità nel lungo periodo o ha un valore meramente simbolico?Il diritto penale è
uno strumento che ha un’altissima precisione nel colpire mali particolarmente gravi,
percepiti dalla società come maligni e d’eccezionale virulenza, però, allo stesso tem-
po, si presenta poco efficace per sconfiggere ed arginare situazioni non ben definite
e generalizzate. Non si può pretendere di prosciugare un oceano, il fenomeno delle
c.d. copie “pirata” o contraffatte, con una cannuccia di pochi millimetri di diametro.
Con lo stesso strumento, però, quando è utilizzato da mani esperte, si può asportare
un tumore particolarmente grave avvertito come tale dalla generalità dei consociati.
Il fatto di reato è, quindi, la descrizione di un singolo e puntuale fatto offen-
sivo che rappresenta normativamente una modalità d’aggressione ad un bene
giuridico fondamentale per la coesistenza pacifica della società e l’ipertrofia
che si è sviluppata all’interno del diritto delle nuove tecnologie, purtroppo
ancora una volta, tende a svilire tale strumento che dovreb-
be essere utilizzato con parsimonia e solo in casi di extrema ratio.
(36) MINOTTI, Cultura informatica e operatori del dirit-
to penale, in AA.VV., Informatica giuridica, ed. Simone, 2001, 338.
6. ALLA RICERCA DELLE FONTI DEL DANNO INFORMATICO
IN AZIENDA
In questo contesto argomentativi si prenderanno in esamine alcune tipologie di
possibili fonti di danno informatico. E’ necessario puntualizzare che il taglio del
presente lavoro non consente di approfondire i singoli argomenti che meritereb-
bero una maggiore attenzione (37) . Il fine, infatti, di questo scritto è semplicemente
quello di tratteggiare i contorni dei principali pericoli “informatici” dell’attività
aziendale, professionale e della vita privata. La fonte primaria di danno è rappre-
sentata da tutti quei programmi, comunemente denominati virus, capaci di ral-
lentare o bloccare i sistemi informatici aziendali. Una seconda fonte di danno è
rappresentata dai c.d. attacchi informatici, ossia da tutte quelle azioni realizzate
mediante la violazione dei sistemi informatici e dirette ad interrompere, carpire e/o
danneggiare l’attività lavorativa. Infine, una terza fonte è costituita dalle c.d. frodi
informatiche, ovvero da alcune delle più diffuse e pericolose truffe che vengono
realizzate con l’impiego delle nuove tecnologie e l’inconsapevole complicità della
vittima. Alle fonti suddette si deve aggiungere un insieme di pericoli eterogenei
che utilizzano le tecnologie informatiche e tecniche di ingegneria sociale al fine
di danneggiare il soggetto bersaglio e/o di trarne un ingiusto profitto/vantaggio.
(37)Si rinvia per un approfondimento del tema dei rischi per l’azienda e delle contromisure per ar-
ginarli a: GERARDO COSTABILE – LUCA GIACOPUZZI, Informatica e riservatezza: dalla carta
al bit, in AA.VV., Sicurezza e privacy: dalla carta ai bit (a cura di G. COSTABILE), Forlì, 2005, 75 e ss.
06 I quaderni del Campus 01 - Febbraio 2011
7. MALWARE IN AZIENDA
“Malware”(38) deriva dalla contrazione di due parole inglesi mali-
cious e software e si riferisce a tutti quei programmi definibili in ampio
senso “maligni”. All’interno della predetta categoria si possono trovare dei
software ideati e strutturati in modo da perseguire, attraverso un nu-
mero sempre crescente di modalità operative, obiettivi tra loro diversi.
E’ necessario premettere che il suddetto software nella sua intima essenza non
è altro che un programma eseguibile su un computer nato dall’ingegno di
un programmatore che ne ha predeterminato dettagliatamente il ciclo vitale.
7.1. VIRUS
Virus (39) è un termine latino e il suo significato è quello di veleno. Tale espres-
sione venne utilizzata alla fine del XIX secolo in campo medico per definire al-
cuni microrganismi patogeni più piccoli dei batteri. Il virus biologico può essere
definito come un parassita che entrando in contatto con le cellule viventi ne sfrutta
le risorse per auto-riprodursi generando effetti negativi sull’organismo ospite. Nel
campo informatico, il termine virus è utilizzato per indicare un software capace
di infettare dei file al fine di riprodursi utilizzando le risorse del sistema infetto.
Normalmente, i virus informatici operano in modalità invisibile all’utente in
modo da poter compiere le azioni programmate per un tempo abbastanza lungo
prima di essere rilevati. I suddetti malware producono gli effetti negativi diret-
tamente sul software infetto e indirettamente sull’hardware (ad es. portando
a saturazione le risorse di RAM e CPU, occupando spazio lo spazio disponi-
bile sui supporti di memoria, determinando il surriscaldamento della CPU...).
Come si può notare da un primo esame, è possibile scorgere altre si-
militudini tra virus biologici ed informatici. Questi ultimi, come i pri-
mi, riescono infatti a diffondersi velocemente da un ospite all’altro alla
ricerca di un terreno di coltura adatto. La vita di questi software malevoli è inti-
mamente legata allo sviluppo tecnologico degli elaboratori elettronici, per questo
motivo l’evoluzione dei malware nel tempo è apparsa tumultuosa e complessa.
Le origini dei moderni virus possono essere rintracciate nella preistoria
dell’informatica in cui i computer erano costituiti da enormi ammassi di circui-
ti e transistor, e nella volontà di alcuni studiosi della materia che furono sedotti
dall’idea di creare dei software capaci di autoreplicarsi e vivere di vita propria.
La questione venne affrontata alla fine degli anni Quaranta da John von Neumann
che riuscì a dimostrare, da un punto di vista teorico, la possibilità di creare un
software che riuscisse ad autoreplicarsi. Successivamente è merito di alcuni tecni-
ci dei Bell Laboratories la realizzazione, probabilmente per fini ludici e di studio,
di software capaci di riprodursi autonomamente. Sebbene le conoscenze tecniche
per la creazione dei virus risalgano agli anni Cinquanta, si è assistito ad una lun-
ga incubazione motivata dal fatto che i computer fino all’inizio degli anni Ottanta
erano utilizzati principalmente nelle aziende e negli enti pubblici. L’accesso a tali
tecnologie era, quindi, un privilegio riservato ad un numero ridotto di indivi-
dui. Solo con l’avvento del Personal Computer (PC) e l’uso sempre più avanzato
dei circuiti integrati si giunse ad una riduzione delle dimensione e dei costi degli
elaboratori consentendone una maggiore commercializzazione e diffusione nella
società. Ogni proprietario di un PC divenne così in potenza un possibile program-
matore di software anche grazie alla sempre maggiore interconnessione garantita
dalla rete ed al conseguente e frequente scambio di know how tra gli internauti.
In risposta all’allarmante diffusione di virus vennero ideati e creati nuovi e potenti
software capaci di intercettare malware e di eliminare lo stesso dal sistema. Tuttavia,
la tecnica di base utilizzata dagli antivirus era legata alla scansione dei file sull’hard
disk e sugli altri supporti di memoria al fine di rilevare durante la fase di “filtraggio” le
sequenze di byte (firme) associate al malware. Per tali principi funzionali, un costante
aggiornamento è un’operazione fisiologica per un antivirus al fine di “scaricare” le
“sequenze” dei neonati malware. Senza un costante aggiornamento, infatti, l’antivirus
è cieco e non potrà riconoscere le nuove minacce. Naturalmente, i moderni antivi-
rus si basano non solo sul semplice riconoscimento delle sequenze, ma anche, ad
esempio, su tecniche euristiche, di inoculazione (attraverso la memorizzazione della
dimensione e di altre caratteristiche dei file particolarmente rilevanti per il sistema)
e di riconoscimento attraverso l’osservazione delle azioni compiute dai program-
mi sulla stessa macchina. Con l’utilizzo diffuso del sistema operativo della Micro-
soft, da un lato, si rese omogeneo il terreno di coltura presso un numero sempre
più elevato di utenti e con l’utilizzo sempre più avanzato di Internet, e della posta
elettronica in particolare, si resero facilmente raggiungibili le possibili vittime del
contagio. Il nuovo “untore” ha rappresentato per i programmatori di virus ben
più che un mezzo attraverso cui diffondere le proprie creature. Internet, infatti, ha

modificato lo stesso modo di concepire e strutturare le tipologie di malware e le
loro strategie di attacco e diffusione. E’ l’alba di un nuovo virus chiamato WORM.
7.2 WORM
Worm (40) (lett. verme) rappresenta una particolare forma di mal-
ware capace di autoreplicarsi e diffondersi attraverso la rete.
«Si definisce worm una entità programmatica autono-
ma in grado di autoreplicarsi attraverso la rete, non richieden-
do di norma l’intervernto umano per la sua propagazione (41) ».
Un programma worm tendenzialmente modifica alcuni file del
computer che infetta al fine di venire eseguito ad ogni nuo-
va accensione. Uno dei mezzi di diffusione utilizzati da questo
tipo di malware è la posta elettronica e sistemi p2p; tale software dopo aver ras-
trellato nella memoria del computer ospite gli indirizzi email presenti nella rubri-
ca o in altri file invia una copia di se stesso come file allegato agli indirizzi trovati
Le tecniche utilizzate per diffondere i worm sono: 1. ingegneria sociale ido-
nee ad indurre il destinatario ad aprire l’allegato infetto (camuffandone esten-
sione e/o semplicemente indicando un nome accattivante e potenzialmente
interessante); 2. sfruttamento dei bug (difetti di programmazione presenti nel
software) dei programmi di posta elettronica, di software applicativi e dei sis-
temi operativi capaci di consentire l’esecuzione automatica del file infetto; 3. fal-
sificazione dell’indirizzo del mittente; 4. utilizzazione dei circuiti di file-sharing.
I danni causati da un worm possono essere diversi a seconda del tipo di malware esami-
nato. Se il programma malevolo ha il solo scopo di replicarsi e diffondersi, i danni per il
computer vittima sono esigui al di là dell’utilizzo delle risorse del sistema ed alle even-
tuali problematiche legate a disfunzioni con sistemi antivirus e firewall presenti sulla
macchina. Tuttavia, è sempre più frequente l’utilizzo del worm, e delle sue capacità di
diffondersi nella rete, come veicolo di infezione di altri malware molto più pericolosi.
L’attività necessaria per replicarsi e diffondersi genera un traffico enorme di messaggi
di posta elettronica con aumento esponenziale del volume di posta indesiderata che
arriva nelle caselle di posta elettronica generando uno spreco di risorse sempre mag-
giore. Inoltre, la diffusione dei worm che sfruttano i bug del sistema operativo per
diffondersi generano spesso interruzioni dello stesso sistema ed improvvisi riavvii.
(38)Wikipedia encyclopedia (www.wikipedia.it) : voce “malware”.
(39)Wikipedia encyclopedia (www.wikipedia.it) : voce “virus”
(40)Wikipedia encyclopedia (www.wikipedia.it) : voce “worm”
(41)AA.VV., Sicurezza e privacy: dalla carta ai bit (a cura di G. COSTABILE), Forlì, 2005, 128.
7.3 TROJAN HORSE
Tra i diversi tipi di malware vengono definiti trojan horse (42)e (lett. cavallo di
Troia) quei file che si mascherano da programmi innocui al fine di superare le bar-
riere di sicurezza poste a tutela del computer. Vengono così definiti perché il loro
reale obiettivo è celato da un inganno rappresentato dalle mentite spoglie sotto cui
si presentano all’utente. Normalmente i trojan non si diffondono automaticamente,
come virus e worm, ma hanno bisogno di un qualche intervento per far giungere
alla macchina bersaglio il software infetto. Spesso sono gli stessi utenti che scaricano
inconsapevolmente dei trojan all’interno dei propri computer. I programmatori o
coloro che utilizzano semplicemente tali tecnologie per fini illeciti inseriscono tali
malware all’interno di programmi conosciuti e diffusi illegalmente attraverso la rete.
Le azioni che un trojan può compiere sono molteplici: 1. aprire una via di comuni-
cazione con l’esterno (c.d. backdoor) al fine di permettere ad un malintenzionato di
accedere abusivamente al sistema informatico infetto facendogli visionare e/o prel-
evare file; 2. scaricare automaticamente un virus; 3. intercettare, registrare e trasmet-
tere via internet le operazioni compiute dall’utente (ad esempio: utilizzando tec-
niche di registrazione dei tasti battuti sulla tastiera - keylogging). Si tratta quindi di
un malware particolarmente pericoloso ed in rapida diffusione. Le condotte illecite
che si possono perfezionare con l’utilizzo di trojan horse sono molteplici e vanno dal
furto di informazioni aziendali riservate (dati personali, password, numeri di carte
di credito...) alla creazione
di «...una macchina zombie, pronta ad obbedire ai comandi dell’attaccante e quindi
sferzare ulteriori attività delittuose ai danni di terzi, che leggeranno l’azione come
proveniente dalla vittima del trojan e non dal reale attaccante (43) ».
(42)Wikipedia encyclopedia (www.wikipedia.it) : voce “trojan horse”
(43)AA.VV., Sicurezza e privacy: dalla carta ai bit (a cura di G. COSTABILE), Forlì, 2005, 130.
.Diritto .Informatica
7.4 SPYWARE: UN “PARASSITA DIGITALE” DAI MILLE “UNTORI”.
Come una micidiale arma stealth il software spyware (44) si muove all’interno del
“computer bersaglio” pronto a colpire, inviando dati ed informazioni a sconosciuti
ricevitori in perenne ascolto nella rete, all’insaputa dell’ignaro internauta. La sua
azione è velata dalla normalità e dalla genericità delle quotidiane operazioni com-
piute utilizzando l’elaboratore elettronico. Questa quotidianità rappresenta l’unico
schermo conoscibile e visibile da un “operatore – tipo”, dotato di una cultura infor-
matica, generalmente, limitata ed indirizzata ai programmi applicativi più comuni;
vale a dire all’utente medio le cui conoscenze informatiche sono strettamente legate
alla propria attività lavorativa e ad uno o più determinati interessi personali.
Il buio che circonda questi piccoli e silenziosi programmi elettronici impone di
svolgere alcune riflessioni: 1. sulle modalità tecniche ed informatiche attraverso cui
i predetti strumenti concretamente operano (45) ;
2. sulle implicazioni sociali e giuridiche che ruotano attorno al rapporto software
house / utilizzatore finale del programma elettronico ospite del “parassita” spyware.
L’ economia di mercato rappresenta il “terreno di coltura” di questo particolare
parassita digitale. La semplificazione delle modalità relazionali uomo/computer,
infatti, è stata dettata principalmente dalla necessità di aumentare il bacino di pos-
sibili utilizzatori delle predette apparecchiature elettroniche non semplici da utiliz-
zare al loro primo apparire. Questa spinta del mercato ha dato il via a tutta una
serie di ricerche tese all’ideazione e alla realizzazione di supporti software che of-
frissero all’utente un’interfaccia sempre più semplice da utilizzare. Per realizzare
ciò i rapporti tra l’uomo e la macchina da diretti, o quasi, divennero sempre più
mediati da sovrastrutture che si moltiplicarono proporzionalmente alla semplicità
ed intuitività della suddetta comunicazione. La fortuna di alcuni software è lega-
ta, infatti, all’intuitività dell’interfaccia utilizzata per comunicare con l’utente più
che all’affidabilità, alla sicurezza ed alla stabilità dello stesso programma. Inoltre,
la necessità di risparmiare un’ingente quantità di tempo, semplificando operazioni
complesse, ripetitive e poco creative riducendole ad un semplice “click” o facen-
dole eseguire in modalità automatica, ha portato con sé la necessità/possibilità di
far compiere all’elaboratore elettronico tutta una serie di compiti in modalità in-
visibile all’utente. La comunicazione con l’elaboratore/macchina è sempre più me-
diata da una serie di programmi che si occupano di semplificare la vita all’utente
finale, permettendo di utilizzare apparecchiature sempre più complesse con modal-
ità immediate, richiedenti brevi periodi di “rodaggio”. Nello stesso periodo in cui i
processi di semplificazione della comunicazione andavano evolvendosi, il mercato
dei prodotti commerciali scoprì l’efficacia di una pubblicità “digitalmente” mirata;
quest’ultima, abbandonando il sistema “sparare nel mucchio”, si affidò a sistemi
pubblicitari nati ai piedi delle nuove tecnologie caratterizzate dal fatto di basare la
loro peculiare incisività su un complesso lavoro di reperimento, archiviazione ed
elaborazione di informazioni relative ai gusti e alle abitudini personali del bersaglio
a cui dovranno offrire, su un piatto preconfezionato, i vari prodotti commerciali.
La produzione “personalizzata di massa” è ormai una realtà che ten-
de sempre più a soppiantare una “produzione di massa” che inizia a pre-
sentare un conto troppo salato in rapporto alle nuove procedure pub-
blicitarie basate sulla profilazione elettronica del consumatore/tipo(46) .
Infine, un terzo elemento deve essere considerato rilevante ai fini del-
la comprensione del fenomeno spyware: la nascita di particolari e re-
centi modalità di distribuzione dei programmi elettronici adottate
dalle software house: freeware, shareware, adware, trial version…(47)
(44)ROSSI, Lo spyware e la privacy, in Diritto delle nuove tecnolo-
gie informatiche e dell’Internet ( a cura di CASSANO), IPSOA, 2002, 184 ss.
(45)Per un approfondimento dell’argomento “spyware” si rinvia al sito www.dirittoesicurez-
za.it. (46)MACCABONI, La profilazione dell’utente telematico fra tecniche pubblicitarie
online e tutela della privacy, in Il diritto dell’informazione e dell’informatica, 2001, 426.
(47)SISTO, Le diverse modalità di distribuzione del software: freeware, shareware e trial version, in
Diritto delle nuove tecnologie informatiche e dell’Internet, op.cit., 1058:«…rientra nell’esercizio
del diritto di prima pubblicazione la concessione della facoltà di utilizzare i programmi in di-
verse forme racchiuse in tre grandi categorie: il software libero, non-libero e commerciale…».
Febbraio 2011- 01 I quaderni del Campus 07