La commissione ha elaborato a fine 2010 una proposta di direttiva da sottoporre al parlamento europeo relativa “agli attacchi contro i sisyemi di informazione”. La proposta è attualmente in attesa della prima lettura da parte del parlamento ed è stata esaminata il 4 ottobre scorso in una udienza della commissione Libertà civili, giustizia ed affari interni (LIBE). La registrazione video dell’intera sessione è disponibile nel sito del Parlamento Europeo.
I principali obiettivi dichirati dalla commissione per questa iniziativa sono il miglioramento della cooperazione transfrontaliera nel contrasto al cybercrime e l’armonizzazione legislativa tra i paesi membri per quanto attiene ai reati informatici. Secondo la commissione l’aggiornamento della Convenzione di Budapest sarebbe un processo troppo lento, considerando che ancora molti dei firmatari non l’hanno ancora ratificata, compresi molti Stati membri dell’Unione e la direttiva uno strumento più adatto.
A parte una strana concentrazione su una tipologia particolare di strumento criminale, le botnet, l’oggetto della proposta di direttiva è quello di
Art. 1 [introdurre] fattispecie di reato nel settore degli attacchi contro i sistemi di informazione e stabilisce norme minime per le relative sanzioni. [...] introdurre disposizioni comuni per impedire tali attacchi [...] migliorare la cooperazione giudiziaria penale europea [...]
Nella prima parte vengono elencati i reati da sanzionare: la maggior parte sono già previsti in una forma o in un’altra del codice italiano fin dal 1993, ma l’Art. 7 è molto creativo e vagamente preoccupante:
Art. 7 [...] siano puniti come reato, se compiuti intenzionalmente e senza diritto con l'intento di perpetrare [altri reati], la fabbricazione, la vendita, l'approvvigionamento per l'uso, l'importazione, il possesso, la distribuzione o la messa a disposizione in altro modo dei seguenti strumenti: a - un dispositivo, incluso un programma [...] destinato o utilizzato principalmente al fine di commettere [reati]; b - una password di un computer, un codice di accesso, o informazioni simili che permettono di accedere in tutto o in parte a un sistema di informazione.
E’ vero che la formulazione prevede alcune condizioni (con l’intento di…) e la specifica che il software dia principalmente destinato a fini malevoli, ma una norma del genere potrebbe venire interpretato nel senso che il solo possesso di determinati programmi si configuri come reato. Ogni persona che lavora nel campo della sicurezza delle informazioni o dell’informatica forense usa quotidianamente strumenti che potrebbero anche essere usati per la commissione di reati in altri contesti. C’è da sperare che nel cammino della direttiva, nel successivo recepimento e poi nell’applicazione e nella giurisprudenza emerga un orientamento razionale. Viste le tendenze in Italia e in Europa, è meglio preoccuparsi da subito…
Qui il testo completo della proposta di direttiva (2010/0273).
