News

“L’Hacktivismo informatico” quale condotta con finalità di terrorismo e/o eversiva ai sensi di cui all’art. 270 sexies c.p. : il caso Anonymous”

Approfondimento

Cenni normativi

Deve, in premessa, tratteggiarsi la nozione di atto di terrorismo o di eversione. La disciplina in materia è stata oggetto di reiterati e stratificati interventi legislativi che hanno infine disegnato un quadro normativo connotato da una tendenza repressiva via via più accentuata e dalla qualificazione come autonome fattispecie di reato di condotte originariamente comprese nella associazione con finalità di terrorismo di cui all'art. 270 bis c.p. (norma introdotta per la prima volta con un intervento effettuato nel contesto normativo del codice Rocco con l'art. 3 della l. 15 dicembre 1980, n. 15, poi modificata dal d.l. 18 ottobre 2001, n. 374 convertito nella l. 15 dicembre 2001, n. 438).

La disciplina era diretta  a punire qualsiasi atto "di violenza" genericamente volto a finalità terroristiche o di eversione dell'ordine democratico.

Il quadro normativo centrale è rimasto immutato sino alla legge di ratifica della Convenzione internazionale firmata a New York il 9.12.1999 ( legge 14 gennaio 2003 n. 7 , in vigore dal 28.1.2003)  ed alle misure urgenti di contrasto al terrorismo internazionale introdotte con il D.L. 27.7.2005 n. 144, convertito nella legge 31.7.2005 n. 155  che all'art. 15 comma 1 introdusse l'art. 270 sexies c.p.; trattasi di una norma "definitoria" del concetto di "atto di terrorismo".

L'ultima riforma di rilievo attuata nel 2016 (con Legge 28 luglio 2016, n. 153 ), contestualmente alla ratifica di alcune convenzioni internazionali in materia, ha introdotto nel Codice Penale nuove norme per la repressione di specifiche attività terroristiche con particolare riferimento al finanziamento (art. 270 quinquies1 c.p.).

Di fatto, la storia della disciplina del terrorismo e dell'eversione segue di pari passo le vicende socio-politiche del nostro Paese (dalle proteste degli studenti degli anni '60-'70, alle lotte dei lavoratori sino alla strage di piazza Fontana a Milano ed alla costituzione delle organizzazioni armate).

Ed infatti, non è un caso che l'art. 270 bis c.p. venne introdotta alla fine degli anni '70 per reagire al fenomeno del terrorismo interno dei cd. anni di piombo e del periodo stragista, per essere poi rimodulata nel 2001 a seguito degli eventi di terrorismo internazionale dell'11 settembre 2001 con l'attacco alle Torri Gemelle.

Successivamente, il crescente fenomeno della radicalizzazione islamica, del fondamentalismo religioso e della Jihad ha contribuito a rendere sempre più attento il legislatore e la giurisprudenza all'interpretazione delle norme del sistema per garantire la lotta al terrorismo nazionale ed internazionale, sviluppato mediante condotte sempre diverse e strumenti di azione via via più raffinati; tra queste, in particolare,  l'utilizzo del cyber spazio.

La nozione di terrorismo/eversione

La nozione di terrorismo viene tutta racchiusa nel combinato disposto della disciplina di cui all'art. 270-bis e 270-sexies c.p. introdotto, come sopra  detto, dalla l. 31 luglio 2005, n. 155.

Occorre appena rammentare che il combinato disposto normativo stabilisce che è da considerarsi "con finalità di terrorismo" il compimento di "atti di violenza" che, per "natura o contesto", possono arrecare grave danno ad un Paese o ad un'organizzazione internazionale e che vengono compiute allo scopo di intimidire una popolazione o costringere i poteri pubblici - o tali organizzazioni - a compiere od astenersi dal compiere un atto ovvero destabilizzare o distruggere le strutture politiche fondamentali, costituzionali, economiche e sociali.

Il concetto normativo dell'atto terroristico ed eversivo è incentrato sull' "offesa" procurata al bene giuridico tutelato dalla condotta atteso che -già dall'origine - il testo originario dell'art. 270 bis cp, in tema di associazione con finalità di terrorismo e/o eversione era imperniato sulla nozione di "compimento di atti violenti" («Chiunque promuove, costituisce, organizza o dirige associazioni che si propongono il compimento di atti di violenza con fini di eversione dell'ordine democratico è punito con la reclusione da sette a quindici anni. Chiunque partecipa a tali associazioni è punito con la reclusione da sette a quindici anni»)

In sostanza non vi è atto di terrore senza che vi sia atto di violenza (elemento costitutivo imprescindibile) diretto a procurare un danno grave ad un soggetto di diritto pubblico interno o internazionale.

Ed infatti, se originariamente oggetto della tutela penale quanto ai reati con finalità di terrorismo e/o eversione veniva ritenuta esclusivamente la personalità interna dello Stato (atti diretti a sovvertire l'ordine democratico quale sinonimo sostanzialmente di ordine costituzionale) nella sua evoluzione normativa la disciplina legislativa ha necessariamente esteso la tutela alla "personalità internazionale dello Stato" ovvero a soggetti pubblici diversi dallo Stato nazionale (Stati esteri o istituzioni o organismi internazionali).

Trattasi, per come oggi è strutturato, di un reato caratterizzato da un'anticipazione della soglia di punibilità ottenuta attraverso l'attribuzione di rilevanza ad attività meramente preparatorie mediante l'accentuazione del ruolo specializzante delle "componenti soggettive" dell'illecito.

Il fine di eversione dell'ordinamento democratico infatti, implica un dolo specifico che invero è già radicato nel proponimento del compimento di atti di violenza e qualifica sia l'atto che la stessa associazione.

Si tratta di fattispecie delineata secondo il paradigma del delitto di pericolo presunto, o a consumazione anticipata, caratterizzato dall'anticipazione della soglia di punibilità al momento stesso della "promozione" e della "costituzione" di una organizzazione di persone e di mezzi che (lungi dall'averli compiuti) anche solo "si propone il compimento di atti di violenza con finalità di terrorismo" .

Il riferimento al "proposito" di atti di terrorismo evidenzia come l'incriminazione abbia ad oggetto attività meramente preparatorie e prodromiche antecedenti l'inizio dell'esecuzione delle programmate condotte violente.  Trattasi in sostanza di un delitto che è stato definito di scopo bifasico  incompiuto.

Notevoli sono  stati gli sforzi di definizione della condotta anche a livello europeo.

Ed infatti proprio per garantire un livello minimo di uniformità normativa in Europa e realizzare un progetto di convenzione globale per la lotta al terrorismo, la decisone GAI del 13 giugno 2002 n. 475 ha provato a tratteggiare gli atti che in base al diritto nazionale, per la loro natura o contesto, possono arrecare grave danno a un paese o a un'organizzazione internazionale, facendo riferimento a quegli atti commessi al fine di intimidire gravemente la popolazione, o costringere indebitamente i poteri pubblici o un'organizzazione internazionale a compiere o astenersi dal compiere un qualsiasi atto, o destabilizzare gravemente o distruggere le strutture politiche fondamentali, costituzionali, economiche o sociali di un paese o un'organizzazione internazionale.

Nella specie sono stati definiti tali: a) attentati alla vita di una persona che possono causarne il decesso; b) attentati gravi all'integrità fisica di una persona; c) sequestro di persona e cattura di ostaggi; d) distruzioni di vasta portata di strutture governative o pubbliche, sistemi di trasporto, infrastrutture, compresi i sistemi informatici, piattaforme fisse situate sulla piattaforma continentale ovvero di luoghi pubblici o di proprietà private che possono mettere a repentaglio vite umane o causare perdite economiche considerevoli; e) sequestro di aeromobili o navi o di altri mezzi di trasporto collettivo di passeggeri o di trasporto di merci; f) fabbricazione, detenzione, acquisto, trasporto, fornitura o uso di armi da fuoco, esplosivi, armi atomiche, biologiche e chimiche, nonché, per le armi biologiche e chimiche, ricerca e sviluppo; g) diffusione di sostanze pericolose, il cagionare incendi, inondazioni o esplosioni i cui effetti mettano in pericolo vite umane; h) manomissione o interruzione della fornitura di acqua, energia o altre risorse naturali fondamentali il cui effetto metta in pericolo vite umane; i) minaccia di realizzare uno dei comportamenti elencati alle lettere da a) a h).

Terrorismo ed attività cibernetica

Orbene, in un contesto connotato da una così rigorosa classificazione degli "atti  violenti di  terrore" che possono ricondursi al concetto normativo di atto con finalità terroristica si pone la problematica: 1. se l'attività cibernetica ovvero le condotte realizzate mediante l'utilizzo di tecnologie elettroniche, informatiche e sistemi di telecomunicazione siano astrattamente riconducibili alla nozione di "compimento di atti di violenza" che "per natura o contesto, possano arrecare grave danno ad un Paese o ad un'organizzazione internazionale e che vengono compiute allo scopo di intimidire una popolazione o costringere i poteri pubblici - o tali organizzazioni - a compiere od astenersi dal compiere un atto ovvero destabilizzare o distruggere le strutture politiche fondamentali, costituzionali, economiche e sociali"; e successivamente, in caso di risposta positiva, 2. se l'hacktivismo informatico, una volta definito nei caratteri,  possa integrare ipotesi di atto con finalità di terrorismo e/o eversione; ed infine, ancora una volta in caso di risposta positiva; 3. se  gruppi più o meno organizzati di soggetti legati tra loro solo dallo scopo comune di compiere mediante l'utilizzo di strumenti informatici e nel web azioni di "disobbedienza civile" come Anonymous possano integrare l'ipotesi di cui all'art. 270 bis c.p.

L'attivismo informatico

Per hacktivismo informatico (termine derivante dalla crasi tra il lemma hacking e activism) si intende un'attività svolta con tecniche di hacking che segue un codice etico ben definito imperniato sulla proclamazione della disobbedienza civile ovvero sulla contestazione di governi o organi dello Stato o società multinazionali o finanziarie, mediante l'utilizzo di strumenti informatici o telematici, anche quali strumenti di comunicazione di massa e comunque sempre mediante l'accesso alla rete informatica in maniera abusiva.

In sostanza, alla affermazione della lotta di classe proclamata nelle manifestazioni di piazza si sostituisce l'"omologo elettronico" costituito dall'attacco informatico nelle sue diverse forme.

L'azione viene svolta sempre mediante intrusioni (ed infatti è intrinseca la condotta delittuosa di accesso abusivo a sistema informatico previsto dall'art. 615 ter c.p. ed il danneggiamento di sistemi informatici o telematici ex art. 635 bis cp).

Dunque, occorre valutare se l'intrusione informatica utilizzata correntemente dagli "attivisti" per l'affermazione del loro codice etico possa integrare il concetto di atto violento riconducibile al parametro essenziale per la sua successiva qualificazione quale atto eversivo o di terrorismo.

Orbene, tutte le operazioni di "attacco" cibernetico sono riconducibili a due categorie: il cyber attack e cyber exploitation (cit Roscini Marco in Cyber operation and the use of force in international law).

Per cyber attacks si intendono quelle operazioni cibernetiche che, in attacco o in difesa, sono dirette ad alterare, cancellare, corrompere o impedire l'accesso a dati residenti o a software con lo scopo di: propaganda o inganno; totale o parziale disturbo delle funzionalità di un computer, sistema o rete, bersaglio e le relative infrastrutture controllate (se possibile); produrre danni fisici estrinseci rispetto al computer, sistema o rete. Lo scopo di queste operazioni è evidentemente distruttivo: è ciò è supportato dalla definizione di "attacco cibernetico" fornita dal Manuale Tallinn (NATO C.C.D.C.O.E.), ossia, operazione cibernetica, in attacco o in difesa, da cui è ragionevole aspettarsi il ferimento o la morte di persone o il danneggiamento o la distruzione di oggetti. L'effetto dannoso può sostanziarsi in una molteplicità di condotte anche molto diverse tra loro, che vanno da un'operazione di guerra psicologica, fino ad operazioni in grado di causare danni fisici o pesantissime ripercussioni sul campo di battaglia.

Il presupposto comune a tutti gli attacchi cibernetici è l'azione, che può avere come bersaglio sia un sistema informatico sia le infrastrutture controllate da un sistema. Nel caso in cui il bersaglio sia un sistema informatico gli attacchi comportano la perdita o la corruzione dei dati che, a loro volta, non provocano necessariamente perdita di funzionalità dell'infrastruttura controllata.

Al contrario, se l'obbiettivo è l'infrastruttura controllata, l'attacco provoca danni fisici; questi possono andare dal danneggiamento del bersaglio, fino ad eventi dannosi che possono coinvolgere altro oltre il bersaglio stesso.

Per Cyber Exploitationsi intendono quelle operazioni aventi lo scopo di ottenere l'accesso non autorizzato ad un computer, rete o sistema, con la finalità di ottenere informazioni senza interessare le funzionalità del computer bersaglio, rete o sistema, o modificare o cancellare i dati in esso residenti. Lo scopo di questa categoria di operazioni cibernetiche è quello di recuperare informazioni in modo non distruttivo, eventualmente per salvaguardare un canale di raccolta dati. È evidente lo scopo di intelligence: raccolta dati, sorveglianza e ricognizione, che può avere finalità preliminare ad un attacco c.d. cinetico o meri fini d'indagine. All'interno di questa categoria, quindi, ricadono tutte le operazioni che non comportano danno durante la loro esecuzione: l'attività d'intelligence (escluso, evidentemente, il sabotaggio) e quella componente di difesa cibernetica non reattiva, ossia la protezione (la funzione svolta da un anti-virus su un computer domestico).

Più nello specifico, poi, le operazioni di "attacco" o di "sfruttamento" possono consistere nel cd. defacement (ovvero il cambiamento e sostituzione della home page o index di un sito), nell'exploit (ovvero l'inoculazione di un codice malevolo in un sistema informatico affetto da una vulnerabilità non nota al produttore che consente all'hacker di acquisire i privilegi di amministratore del sistema),  nel denial of service o DDos (consiste nell'inondare un sito o più siti che forniscono un servizio con un numero insostenibile di connessioni così da mandarlo in sovraccarico e renderlo non in grado di fornire la prestazione o l'erogazione) e più raramente nel cybersquatting (l'accaparramento del dominio ovvero l'occupazione abusiva di uno spazio virtuale) fino al furto e distruzione di informazioni classificate.

Orbene, tutte queste condotte a seconda del bersaglio, paiono astrattamente riconducibili  a condotte che "per il loro contesto"  possono arrecare "grave danno  ad un paese o ad un organismo internazionale" (basti pensare ad attacchi a siti istituzionali e di organismi centrali dello Stato) e dirette (in virtù del loro messaggio più o meno esplicito) ad intimidire la popolazione o costringere i poteri pubblici (o un'organizzazione internazionale) a tenere o omettere un determinato comportamento oppure a destabilizzarne le strutture fondamentali anche costituzionali.

Intrinseca nelle sopradescritte condotte è l'azione violenta ove per violenza si intende l'intrusione forzata nel sistema informatico ed il suo danneggiamento irreversibile.

In sostanza, nel moderno sistema di informatizzazione di qualsiasi attività anche di rilievo pubblico, il virus o l'intrusione informatica possono avere l'effetto deflagrante di una bomba (digitale) allorché colpiscano obiettivi sensibili, ad esempio, per la sicurezza pubblica o addirittura militari per la difesa pubblica (si pensi allo spionaggio cybernetico) con conseguenze, anche mortali, nel mondo reale.

Questo ragionamento è stato sviluppato (ed a mio parere può essere ripreso per analogia) nel diritto bellico internazionale nell'ambito del quale tre diverse dottrine hanno consentono di qualificare le operazioni cibernetiche come "uso della forza"; l'utilizzo dell'una o dell'altra consente di ampliare o restringere l'area di operatività del divieto di ricorrere alla violenza e conseguentemente all'uso della forza armata.

La teoria cd. del bersaglio ritiene integrati il ricorso alla forza "armata" l'operazione cibernetica che abbia per bersaglio infrastrutture critiche indipendentemente dal tipo di operazione e dagli effetti sul bersaglio.

Secondo invece la diversa teoria dell'effetto (definito anche "approccio dell'equivalenza cinetica") integrano uso della forza solo quelle operazioni che producono effetti diretti e distruttivi su cose o persone. Infine secondo la teoria dello strumento è decisivo tenere in considerazione lo strumento attraverso il quale l'operazione è condotta. Ed allora ci si deve interrogare sul punto: se un'operazione cibernetica sia sempre e comunque un'arma. L'arma per definizione è uno strumento al cui impiego seguono conseguenze ed effetti reattivi violenti.

Orbene dal punto di vista del diritto interno, seguendo la teoria "del bersaglio" l'attacco cibernetico integra perfettamente il concetto di "atto violento" richiesto dall'art. 270-bis c.p.

Così anche seguendo la teoria dello strumento dal punto di vista del dritto interno consente di definire "arma" un'operazione cibernetica sulla base del fatto che produca conseguenze violente e dunque ricondurre questo tipo di condotte all'area operativa dell'art. 270-bis; spetterà poi al diritto interno (conformemente a quanto stabilito dal diritto dell'Unione) riempire di significato il concetto di violenza.

Si è arrivati così a parlare di Cyberwar intendendo riferirsi a forme peculiari di attacchi digitali diretti al fine di minare le infrastrutture strategiche relative a servizi commerciali, di trasporto, energetici o militari di uno Stato.

A livello internazionale celebri gli attacchi informatici agli USA denominati in codice Moonlight Maze (in quel caso vennero attaccati i computer principalmente del Dipartimento di Difesa compromettendone la riservatezza, mediante l'acquisizione di un numero esponenziale di dati classificati), Titan rain (si trattava di DDos consistente "nell'assalto" a numerosissimi sistemi informatici governativi e diretto al sabotaggio dei medesimi) o l'attacco alla centrale nucleare di Natanz nel 2009 in Iran (nel quale è stato sabotato mediante l'inoculazione di un worm denominato stuxnet il sistema di arricchimento dell'uranio).

Orbene la condotta consistita nell'utilizzo ed impiego offensivo di detti strumenti digitali (malware) integra a tutti gli effetti il concetto giuridico di "atto aggressivo"  nell'ambito del diritto bellico e in ogni casi di "atto violento" per il diritto interno ancorché posto in essere secondo un codice etico riconducibile ad soggetti estranei ad istituzioni di natura pubblica.

Anonymous

Certo detti strumenti posso  essere astrattamente utilizzati da anche gruppi organizzati di "attivisti", tecnicamente eccellentemente preparati, per fini eversivi e terroristici: il caso più celebre è appunto quello di Anonymous.

"Anonymous" può essere identificato in una comunità di soggetti che agisce per realizzare uno scopo comune ovvero l'affermazione di ideali riconducibile a valori di tipo anarco-insurrezionalista e rivendicati pubblicamente come tali.

L'appellativo di "Anonymous" è stato auto-attribuito ad una comunità o collettivo internauta di attivisti che agisce "anonimamente" (in modo coordinato ma anche individuale) per realizzare uno scopo od obiettivo comune funzionale all'affermazione di un codice etico prestabilito.

Il primo problema è la riconducibilità al concetto di associazione in quanto Anonymous non ha leaders o amministratori riconosciuti come tali né un comitato direttivo che formalmente ne gestisce o dirige o organizza l'attività (l'organizzazione è infatti rappresentata da un busto senza testa). E' tuttavia un "gruppo" o collettivo che si definisce come una "libera coalizione" aggregata intorno allo scopo condiviso secondo un preciso codice etico fondato sulla tutela dei diritti civili, della libertà di comunicazione, informazione ed espressione e contro ogni forma di censura. Così delineato nei tratti Anonymous, è chiaro che non si può fare riferimento al concetto "tradizionale" di associazione delineata dalla giurisprudenza in tema di riferimento all'art. 416 c.p. quantomeno secondo un paradigma cd. strutturale atteso che la base anarchica esclude che si possano individuare dei ruoli ed un struttura organica stabile o gerarchizzata; purtuttavia il gruppo è astrattamente riconducibile al concetto di associazione secondo un paradigma più strettamente teleologico avulso da una collocazione territoriale  ovvero come accordo tra più soggetti qualificato dal comune fine criminoso e realizzazione di un gruppo di un corpus autonomo capace di operare stabilmente ovunque nel web. Secondo una dimensione dinamica-finalistica, dunque, Anonymous è invece perfettamente riconducibile al concetto giuridico di associazione sviluppato dalla giurisprudenza proprio in tema in associazione  eversiva o terroristica (art. 270 bis c.p.) atteso che opera mediante forum e blog che gli conferiscono una struttura operativa on line capace di operare stabilmente e in tempo reale in contatto fra loro così da realizzare una rete operativa dotata di intrinseca offensività (in quanto funzionale ed idonea a realizzare l'obiettivo oggetto del comune scopo secondo lo schema del reato di pericolo astratto proprio della fattispecie di cui all'art. 270 bis cp). Ovviamente il problema si mostra prevalentemente probatorio, in quanto la difficoltà maggiore consiste nel ricondurre un attacco informatico rivendicato dal collettivo Anonymous ad una o più persone determinate. In Italia gli attacchi rivendicati da Anonymous non hanno avuto concreti sfoghi eversivi dell'ordine costituzionale tali da valere la contestazione di cui all'art 270 bis c.p. Alcuni attacchi hanno comportato la contestazione dell'ipotesi associativa ordinaria (es: campagna OpParis del 2016: consisteva nella rivendicazione della chiusura di profili twitter ed account social riconducibili a presunti gruppi jihadisti) e, in alcuni casi, del reato di interruzione di pubblico servizio (oltre all'accesso abusivo a sistema informatico e danneggiamento informatico) dell'ipotesi ad attacchi a siti istituzionali  di matrice piuttosto antagonista che eversiva (v. attacco FuckPoliticiansFebruary o attacchi a Trenitalia e Equitalia nel 2012). Diversi gli effetti deflagranti che hanno caratterizzato gli attacchi di Anonymous a livello internazionale tra cui, ad esempio, quello che riguardò ancora una volta nel 2012 i siti istituzionali americani quali l'FBI ed il Dipartimento della Giustizia in segno di protesta per la chiusura di Megaupload  da parte dell'FBI (si trattava di un attacco con sistema Ddos) ed analogamente l'attacco dell'8.12.2017 nell'ambito del quale Anonymous individuò come bersaglio i siti istituzionali israeliani realizzando copia di data base strategici poi diffusi in rete; la rivendicazione evidenziava il risentimento del collettivo verso la politica di difesa israeliana.

Occorre infatti distinguere la natura meramente antagonista propria dei gruppi di attivisti anche informatici da quella effettivamente eversiva dei gruppi anarco-insurrezionalisti. La prima infatti implica una manifestazione di dissenso, anche violento, al potere costituito ed alle sue espressioni mentre la seconda richiede la realizzazione di un progetto concreto diretto, piuttosto che a contestare anche con mezzi illeciti il sistema, a fiaccarlo, destabilizzarlo, disgregarlo ed infine abbatterlo.

Come si è potuto accertare, Anonynous ha sin da sempre, quantomeno in Italia, contestato le istituzioni attraverso azioni pubbliche mai estrinsecantesi in azioni di diretta e diffusa violenza e mai in maniera clandestina (ed è anzi comune l'anticipazione degli attacchi e la pubblicazione degli obiettivi che si prefigge).

Così, Anonymous ha dimostrato di poter essere inquadrata ed operare finora come un'associazione criminale con finalità ed un impianto ideologico antagonista solo astrattamente capace, per la forza della tecnica informatica utilizzata, di azioni eversive, di fatto, tuttavia, mai portate a compimento ed anzi volontariamente arrestate prima della realizzazione di un effetto concretamente destabilizzante per le istituzioni fondamentali dello Stato.

Erica Battaglia

 

L'articolo è stato redatto con la collaborazione del dottore Francesco Della Vedova, in tirocinio formativo presso la Procura della Repubblica di Brescia ex art. 73 D.L 21/6/2013 n. 69, convertito in L 9/8/2013 nr. 98