La proposta di direttiva UE sul cybercrime di cui abbiamo parlato in un post precedente, è attualmente in attesa della prima lettura da parte del parlamento ed è stata oggetto il 4 ottobre 2011 di una udienza della commissione Libertà civili, giustizia ed affari interni (LIBE). I partecipanti hanno fornito uno spaccato delle diverse posizioni esistenti sul testo (nessun italiano era presente), vista la loro eterogenea provenienza (organizzazioni transnazionali, settore privato, istituzioni nazionali ed europee, università, gruppi di interesse).
Anche sulla base di questa udienza il Parlamento ha prodotto una risoluzione che propone degli importanti emendamenti al testo proposto dalla Commissione. La prima lettura in aula è attualmente prevista per il 2 Luglio 2012. La risoluzione dell’Europarlamento (commissione LIBE) introduce alcuni importanti modifiche alla proposta di direttiva.
Gli emendamenti proposti tendono a modificare il testo secondo quattro linee: un maggiore coinvolgimento dell’agenzia Europea ENISA e una maggiore cooperazione a livello europeo; la cooperazione del settore privato nella prevenzione del cybercrime soprattutto attraverso l’adozione di standard comuni oltre che di ordinamenti simili; alcune (poche) ipotesi di aggravamento di alcuni profili di reato e molte correzioni di previsioni di reato e formulazioni che nel testo originale erano abbastanza squilibrate verso la repressione e non tenevano in debito conto il bilanciamento di altri interessi.
Cooperazione europea
Nell’introduzione (recital) alla proposta si menzionano esplicitamente le agenzie specializzate dell’Unione, oltre alle polizie degli stati membri e alle altre autorità, tra i soggetti protagonisti nella cooperazione contro il cybercrime. A questo fine una modifica proposta all’articolo 15 include l’ENISA, oltre la Commissione ed Europol, tra i soggetti a cui gli stati membri dovranno trasmettere i dati statistici raccolti, con “lo scopo di valutare lo stato della sicurezza delle reti e delle informazioni”, in accordo con il regolamento che istituisce e regola l’ENISA.
A questo emendamento è collegato direttamento l’emendamento numero 8 che introduce nell’introduzione l’invito ad Europol di creare una “Piattaforma europea che sarà il punto di convergenza delle piattaforme nazionali e avrà come fine, tra l’altro, di raccogliere e centralizzare le informazioni sui reati (offences) rilevati su Internet, incluse informazioni sui responsabili e sul loro modus operandi.” La formulazione è molto vaga e si spera, dal punto di vista del bilanciamento dei diritti, che solo le informazioni relative a reati accertati siano incluse. Tutto dipenderà della formulazione precisa delle leggi di recepimento.
L’emendamento 2 introduce un paragrafo -sempre nel preambolo, al punto 2- che individua in particolare gli attacchi alle infrastrutture critiche (tra gli attacchi ai sistemi informativi in generale) come vitali per la sicurezza, in particolare a causa degli impatti transnazionali che possono avere, dato l’alto grado di integrazione di questi sistemi a livello europeo. Ovviamente questo richiamo esplicito comporta la posizione di aumentare la cooperazione transnazionale per il contrasto.
Due proposte di emendamento (15 e 16) introducono nuovi punti nel preambolo relativi all’addestramento degli attori coinvolti a vario titolo nella lotta al cybercrime. Il nuovo punto 13a invita la Commissione e gli stati membri ad assicurare adeguato addestramento alle polizie e agli altri elementi di law enforcement in materia di cybercrime e a favorire la cooperazione e lo scambio di buone pratiche, ad esempio attraverso le European Judicial Network, Europol, Eurojust. L’emendamento 16 aggiunge che l’addestramento dovrebbe anche aumentare la consapevolezza delle differenze tra ordinamenti di diversi stati membri da parte degli inquirenti.
Standard di sicurezza minimi per le organizzazioni
Un secondo gruppo coerente di emendamenti proposti tende a sottolineare la necessità di standardizzazioni e linee guida il più possibile uniformi nel campo della cybersecurity, da diffondere e far adottare da tutti gl stakeholder che gestiscono informazioni e dati, pubblici e privati.
Nell’emendamento 5, che modifica anch’esso il preambolo (al punto 9) il testo aggiunto all’originale (che definive i tool usati per portare attacchi informatici e commettere i reati considerati nella direttiva) sottolinea che questi sono solo uno dei possibili strumenti e che in questo contesto è necessaria una strategia dell’Unione per una standardizzazione tecnica e anche legale. La precisazione è altamente apprezzabile, sarebbe stato opportuno però menzionare esplicitamente gli enti di normazione nazionali ed europei (CEN, CENELEC) come attori da coinvolgere in questo processo. A livello ISO esiste già una linea guida sulla cybersecurity (ISO/IEC 27032), oltre a linee guida sulla gestione delle evidenze informatiche in caso di attacco e sulla gestione della sicurezza dei sistemi informativi, in particolare del cloud (ISO/IEC 27017 e 27018). Inoltre vorrei segnalare che si è formato un gruppo di coordinamento tra gli enti di normazione nazionali, CEN, CENELEC, ETSI e rappresentanti di ENISA, della Commissione e del Parlamento che parrebbe la sede naturale per coordinare una strategia sulla standardizzazione.
Anche l’emendamento 9, che introduce un nuovo punto 12b nell’introduzione, sottolinea come sia necessario migliorare la resilienza dei sistemi informativi in modo da proteggerli meglio dagli attacchi: in questo contesto lo sviluppo e l’introduzione, come visto sopra, di standard comuni e condivisi dovrebbero avere un ruolo centrale. La repressione dei reati informatici è ovviamente l’extrema ratio, dopo che un attacco si è verificato, ma la prevenzione sarebbe certamente più efficace.
L’emendamento 10, che introduce il punto 12c dell’introduzione, raccomanda con forza agli stati membri di proteggere in modo adeguato i sistemi e le informazioni in loro possesso, almeno ad un livello “ragionevole” (sic.).
L’emendamento 11 completa il nuovo punto 12 con il paragrafo 12d, che raccomanda agli stati membri di introdurre previsioni normative per imporre alle persone giuridiche di proteggere i dati personali in loro possesso dai reati informatici e del cybercrime, con dei costi e un impegno proporzionato al danno probabile agli interessati. Entrambi questi emendamenti tendono a proteggere i dati delle persone fisiche, proseguendo nella legislazione sulla data protection e sulla privacy.
Aggravamento di alcuni aspetti
Alnche se, come vedremo anche nel prossimo paragrafo, nel complesso le modifiche proposte vanno nella direzione di un più razionale bilanciamento dei diritti e di un temperamento della formulazione iniziale, alcuni emendamenti presentano dei rischi dal punto di vista della libertà sulla rete e della difesa dei diritti dei cittadini.
L’emendamento 6 introduce il concetto che l’uso strumenti software atti a rimuovere prove da un sistema informatico dovrebbe essere punito come una forma di favoreggiamento (“aiding and abetting“) oppure addirittura come un separato profilo di reato. Tali strumenti non sono compresi nella definizione di “tool” dato nel testo e comunque possono essere usati anche per proteggere la privacy dei singoli utenti; il rischio di abusi di una formulazione del genere è evidente.
Gli emendamenti 12 e 13 introducono nuovi paragrafi al testo, preseguendo sulla strada di imporre agli attori privati, in particolare gli ISP, una cooperazione con le polizie nazionali ed europee, fino al punto di fermare servizi o sistemi “illegali”. Non è chiaro se prima o dopo l’intervento della magistratura, se solo su richiesta delle forze dell’ordine o meno. Inoltre “gli stati membri dovrebbero definire i casi in cui la mancata collaborazione costituisce un reato di per sè”… Vero è che il testo tiene in considerazione i diritti del sospettato e la presunzione di innocenza, ma anche qui la formulazione si presta ad abusi, vista anche la tendenza generale dei governi negli ultimi anni. L’emendamento 31 ribadisce che gli stati membri -anche se in accordo con le leggi sulla privacy- devono stabilire cooperazioni con ISP e produttori di software per lo scambio di informazioni.
Migliore bilanciamento di diritti e attenuazione della repressione
Una nutrita serie di emendamenti tempera alcuni aspetti problematici che il testo originale presentava dal punto di vista dei diritti individuali e delle garanzie, bilanciando in modo migliore le esigenze di repressione dei reati con quelle di difesa delle libertà individuali dei cittadini.
In particolare l’emendamento 22 elimina il mero possesso di tool dai profili di reato previsti dalla direttiva e che devono esssere sanzionati, sanando così un vulnus che si sarebbe venuto a creare verso ad esempio gli esperti di sicurezza informatica civili e gli utenti in generale, che si sarebbero visti esposti a sanzioni penali anche nel caso di possesso di software teoricamente utilizzabile per la commissione di reati.Dato che praticamente tutti i software hanno un “doppio uso” -legale o criminale- il mero possesso non deve essere punibile, come dice esplicitamente il commento all’emendamento. Inoltre anche lo scopo delle altre azioni previste dell’Art. 7 deve essere chiaramente rivolto alla commissione di reato.
Anche l’emendamento 23 modifica l’art. 7 eliminando il riferimento ai “device“, che crea incertezza, e al punto a che descrive gli strumenti utili a commettere reati lascia solo i “programmi chiaramente progettati o adattati” per scopi illegali, sostituendo “chiaramente” a “primariamente”, così temperando ulteriormente e in modo più razionale il significato e le conseguenze possibili di questo articolo.
Viene modificata dall’emendamento 17 la definizione dell’espressione “senza diritti” (without rights) presente nell’art.2, con l’inclusione della formulazione che si tratta dell’accesso, dell’uso (aggiunto), o dell’inteferenza con sistemi informativi senza autorizzazione dei proprietario “a meno che la non autorizzazione all’accesso sia un abuso di diritti in quento tale”. Nella spiegazione viene esplicitamente menzionato come esempio il caso in cui la negazione dell’autorizzazione vada a ledere altri diritti tutelati, come la libertà di informazione.
Due emendamenti si occupano di specificare meglio la nozione di “casi minori” (“minor cases”) presente nel testo iniziale e che definiscono quando i reati previsti non dovrebbero essere puniti dagli ordinamenti. Una definizione però nel testo non c’era e l’emendamento 18 la introduce, aggiungendola all’Art. 2 dedicato alle definizioni. La definizione data comprende i casi in cui il danno o il rischio per interessi pubblici o privati sia “insignificante” oppure in cui l’imposizione di una sanzione penale non sia necessaria. L’emendamento 21 introduce l’esclusione dei “minor cases” anche nell’Art. 6 (“Intercettazioni illegali”) dove stranamente non era presente, contrariamente agli articoli precedenti (dal 3 al 5) che definivano gli altri profili di reato.
Viene anche aggiunta una definizione di “Infrastrutture critiche”, che non era presente, per ragioni di chiarezza e certezza.
L’emendamento 20 modifica l’Art. 3 (“Accesso illegale a sistemi informativi”) inserendo la previsione che ogni stato membro può decidere di punire questo reato solo se commesso infrangendo una misura di sicurezza.
Inoltre opportunamente l’emendamento 33 inserisce una formulazione per cui, oltre a sottoporre al Parlamento un report periodico sull’applicazione della direttiva, la Commissione dovrà tener conto degli sviluppi legali e tecnici intervenuti nel frattempo, in particolare per quanto attiene all’ambito di applicazione della direttiva.
Conclusioni e valutazioni
Complessivamente il bilancio è positivo: le modifiche introdotte migliorano sicuramente il testo iniziale, soprattutto per quanto riguarda i diritti degli individui, nonostante alcune criticità sopra descritte. I difetti più gravi del testo iniziale da questo punto di vista sono stati risolti e sono stati introdotti chiarimenti e definizioni che mancavano. C’è nel testo modificato un migliore bilanciamento tra le esigenze di repressione del cybercrime e la libertà individuale: resta da vedere cosa succederà in fase di approvazione e poi soprattutto nel recepimento da parte degli stati membri…
