L’evoluzione delle tecnologie informatiche ha segnato un importante mutamento all’interno della società moderna: esse sono ormai penetrate nei settori e sistemi che regolano le dinamiche sociali, come lo studio tramite la didattica a distanza, lo smart-working, o persino le attività più banali quali guardare un film o leggere un libro. Questa è l’Era Digitale, nella quale la globalizzazione ha permesso lo sviluppo e la diffusione delle tecnologie dell’informazione e comunicazione, spesso indicati con l’acronimo TIC.
Sin dalla comparsa di Internet negli anni novanta, l’utilizzo di apparecchi informatici e telematici è cresciuto considerevolmente, permettendo una fruibile divulgazione dell’informazione e modificando non solo le relazioni all’interno delle comunità, ma anche quelle internazionali. Il progresso accompagna la società costantemente, garantendo in questo caso una potente innovazione digitale. Se da un lato, i notevoli benefici derivanti dalla grande diffusione di questo fenomeno hanno permesso un vero e proprio abbattimento dei confini, superando quindi le barriere spazio-temporali, dall’altro l’abuso delle tecnologie dell’informazione e comunicazione ha preso sempre più campo e ha dato vita a nuove manifestazioni della criminalità.
Il cybercrime è un’evoluzione dei crimini già esistenti, resa possibile dagli strumenti moderni. Esso si differenzia dai modelli tradizionali, tipizzati all’interno degli ordinamenti giuridici, per l’assenza di confini geografici e soprattutto per il suo carattere transnazionale. La globalizzazione infatti ha permesso la creazione di un cyberspace borderless.: le minacce riguardano tutti gli Stati del mondo, e tale natura transnazionale consente collegamenti tra soggetti, indipendentemente dal luogo geografico in cui si trovano. I reati classificabili nella categoria del cybercrime si distinguono in: reati informatici in senso stretto (cyber-dependent crime) e reati informatici in senso lato (cyber-enabled crime). I primi sono costituiti da quelle condotte che necessitano il supporto di oggetti o attività di carattere tecnologico: tipico esempio è la diffusione di un malware, o un attacco hacker. I reati informatici in senso lato sono, invece, crimini “comuni”, tipizzati dagli ordinamenti giuridici, ma commessi mediante la tecnologia: un esempio può essere il phishing, un tipo di truffa perpetrata a mezzo Internet, ma anche lo sfruttamento dei minori per scopi sessuali che si realizza attraverso l’utilizzo di dispositivi elettronici.
L’esigenza di una convenzione sulla criminalità informatica che operi a livello internazionale nasce dalla volontà di colmare le lacune derivanti dalla poca incisività delle normative regionali già esistenti e dalla volontà degli Stati di rimediare a tale situazione mediante un sistema di norme comuni e armonizzate a livello globale.
La prima convenzione internazionale relativa al fenomeno del cybercrime, nota anche come Convenzione di Budapest[1], è stata elaborata nel 2001 dal Consiglio d’Europa, col fine di uniformare il diritto degli Stati e favorire il contrasto del fenomeno. Essa conta la partecipazione di ben 66 Paesi del mondo, tra membri del Consiglio e non: rientrano infatti tra i firmatari anche Canada, Giappone, Sud Africa e Stati Uniti d’America. Una così ampia partecipazione testimonia la pericolosità del carattere internazionale del cybercrime.
La Convenzione di Budapest ha costituito un passo in avanti importante nella battaglia contro il crimine informatico, in quanto stabilisce definizioni, discipline sostanziali e procedurali e meccanismi di collaborazione. Nonostante ciò, essa presenta diverse carenze: innanzitutto, in quanto si limita a disciplinare il fenomeno criminoso solo per una cerchia ristretta di Stati. Inoltre, la normativa contenuta nella Convenzione si concentra solo su alcune fattispecie delittuose, principalmente cyber-dependent crime.
A quanto detto si deve aggiungere che, seppur attualizzata recentemente con il Secondo Protocollo Addizionale, la Convenzione di Budapest non presenta una puntuale disciplina sulle prove elettroniche, di rilevante importanza. Siffatta disciplina è essenziale se si vuole avviare un’effettiva collaborazione tra Stati, in quanto permetterebbe un facile scambio di informazioni ed elementi da utilizzare durante i procedimenti penali. Con una disciplina specifica, le prove elettroniche, di natura transnazionale perché prodotte nel cyberspace, potrebbero essere memorizzate e conservate in tutto il mondo, favorendone un utilizzo diffuso senza limiti di territorialità. Sebbene il suddetto Protocollo Addizionale introduca meccanismi migliorativi in riferimento all’accesso transfrontaliero alle prove digitali, persistono delle lacune, specialmente riguardo alle modalità di utilizzo.
Anche le altre convenzioni adottate o iniziative assunte a livello regionale, come il Cybersecurity Act dell’Unione Europea[2], la Convenzione dell’African Union[3] o l’istituzione del “gruppo sul cybercrime” nell’ambito dell’Organization of American States[4], presentano una serie di limiti che derivano in sostanza dal duplice fatto di riprodurre le regole della Convenzione di Budapest e di tenere in specifica considerazione necessità derivanti dalle problematiche dei singoli Stati, senza quindi includere nozioni innovative che possano contribuire ad un contrasto efficace su scala universale. Le convenzioni regionali hanno mitigato gli effetti e le conseguenze del reato, ma non hanno una incisività abbastanza forte da poterlo debellare in modo definitivo: ciò perché non è possibile combattere un reato transnazionale senza uno strumento che abbia un’efficacia transnazionale.
Il cybercrime è, infatti, un fenomeno a vasto raggio, che coinvolge il mondo intero: ad un crimine senza confini è necessaria una risposta altrettanto ampia, che possa colpire mediante un’azione unitaria, indipendentemente dal luogo geografico. Nasce dalla consapevolezza di questa caratteristica del fenomeno l’interesse delle Nazioni Unite per l’elaborazione di una convenzione a carattere universale.
Com’ noto, per perseguire gli obiettivi stabiliti dalla Carta sono stati istituiti alcuni enti specializzati delle Nazioni Unite con competenza legata ad ambiti determinati. Ai nostri fini occorre ricordare l’Ufficio per il Controllo delle Droghe e la Prevenzione dei Crimini, o più semplicemente UNODC. Quest’ultimo è stato fondato con lo scopo di favorire l’adozione di una risposta coordinata e globale ai problemi di traffico illegale di droghe, prevenzione della criminalità e a specifiche fattispecie come terrorismo, criminalità organizzata ecc. Legate all’UNODC sono le Convenzioni UNTOC[5](Convenzione di Palermo) e UNCAC[6] (Convenzione di Merida), rispettivamente su criminalità organizzata transnazionale e corruzione.
Le Nazioni Unite sono dunque riuscite a contrastare diversi fenomeni criminosi, contando proprio sull’azione unitaria e congiunta di tutti i suoi Stati Membri. La forza dell’ONU è anche questa: promuovere convenzioni e normative che riescano a rispondere alle esigenze di tutti, poiché elaborate dopo lunghi processi di discussione, e mediante un’analisi di tutti gli aspetti del fenomeno considerato. Anche nel caso del cybercrime, l’insufficienza degli strumenti attualmente in vigore è all’origine del progetto di una convenzione internazionale, che possa disciplinare in maniera stabile questo fenomeno, partendo dalla definizione delle fattispecie criminose per giungere alla elaborazione dei meccanismi più sofisticati per contrastarlo.
La proposta di una nuova Convenzione delle Nazioni Unite sul cybercrime è stata presentata diverse volte nel corso degli anni su impulso di Russia, Cina e di alcuni Stati in via di sviluppo. Tali Stati infatti non hanno partecipato alla stesura della Convenzione di Budapest e hanno ritenuto fosse necessario, alla luce delle costanti evoluzioni delle fattispecie criminose, procedere alla ridefinizione dell’azione di contrasto a livello internazionale. Già nel 2010, la Russia aveva proposto un trattato sul cybercrime al dodicesimo UN Crime Congress, ma la negoziazione era fallita a causa di disaccordo sulle questioni relative alla sovranità degli Stati e alla protezione dei diritti umani.
Ciò nonostante, la Commissione per la prevenzione del crimine e giustizia penale (Commission on Crime Prevention and Criminal Justice, o CCPCJ) ha istituito, a seguito di una richiesta della Assemblea Generale, un open-ended intergovernmental expert group (o EGM) con l’obiettivo di condurre uno studio approfondito del fenomeno criminoso, analizzando i suoi aspetti principali e ideando soluzioni per contrastarlo. Se da un lato quindi vi sono Paesi che spingono per una convenzione internazionale sul cybercrime da decenni, dall’altro lato i Paesi occidentali, come i membri dell’UE o gli Stati Uniti, originariamente erano restii alla formulazione di un nuovo documento. Essi consideravano la Convenzione di Budapest uno strumento adatto a contrastare il reato e che necessitava più semplicemente di essere aggiornato in rapporto alle nuove tecnologie e fattispecie delittuose.
Solo in epoca a noi più vicina, a causa della forte pericolosità e diffusione del cybercrime, è stata riconosciuta a livello mondiale la necessità di una nuova convenzione delle Nazioni Unite, che possa avere la medesima incisività ed efficacia delle precedenti UNTOC e UNCAC. Infatti, la Convenzione di Palermo attraverso le norme sulla criminalità organizzata contribuisce a superare alcuni limiti della Convenzione di Budapest. Tuttavia l’UNTOC non contiene norme sufficientemente specifiche da poter contrastare in modo efficace il cybercrime. Si spiega così perché è essenziale un nuovo strumento giuridico internazionale che fronteggi direttamente il crimine informatico, perseguendo l’armonizzazione a livello globale, e una incriminazione collettiva, che bilanci gli interessi di tutti gli Stati Membri.
Tramite la Risoluzione 74/247 è stato istituito nel 2019 dall’Assemblea Generale dell’ONU un Comitato Ad Hoc per l’Elaborazione di una Convenzione Internazionale sull’Uso delle Tecnologie di Informazione e Comunicazione per scopi criminali. Oggetto della Convenzione da elaborare sono sia i crimini informatici in senso stretto che quelli in senso lato. Un così ampio mandato pone non pochi problemi ai fini della redazione del testo dell’accordo. Se si guarda alla complessità del fenomeno sembra ipotizzabile assumere le già citate UNTOC e UNCAC come modelli di riferimento, anche in ragione del supporto offerto dalla sezione UNODC.
Una simile scelta comporterebbe il ricorso a previsioni generali relative a definizioni, obiettivi e principi fondamentali, a norme sostanziali di criminalizzazione e a norme procedurali e misure atte all’assistenza reciproca. Inoltre, sembra opportuno prevedere sistemi di applicazione delle discipline e strumenti collaborazione internazionale. Al di là delle scelte normative che verranno compiute dagli Stati, un contrasto efficace non può prescindere dal rafforzamento delle capacità di reazione degli Stati parte della futura convenzione, specialmente agli Stati in via di sviluppo.
[1] Convenzione di Budapest del 2001 sulla criminalità informatica
[2] Regolamento (UE) 2019/881 del Parlamento europeo e del Consiglio, del 17 aprile 2019, relativo all’ENISA, l’Agenzia dell’Unione europea per la cibersicurezza, e alla certificazione della cibersicurezza per le tecnologie dell’informazione e della comunicazione, e che abroga il regolamento (UE) n. 526/2013 («regolamento sulla cibersicurezza»)
[3] African Union Convention on Cyber Security and Personal Data Protection del 2000, Malabo
[4] Inter-American Cooperation Portal on Cyber-Crime and a Working Group on Cybercrime del 1999, Washington D.C.
[5] United Nations Convention on Transnational Organized Crime del 2000, Palermo
[6] United Nations Convention on Corruption del 2003, Merida
