Crimini informatici, in arrivo il trattato delle Nazioni Unite
Dopo anni di difficili negoziati, sembra che il Trattato ONU sul cybercrime stia finalmente per vedere la luce. L’iter della Convenzione – avviato nel 2019 – dovrebbe infatti concludersi a breve con l’ultima sessione consultiva prevista a New York tra il 29 gennaio e il 9 febbraio; il testo sarà, quindi, trasmesso all’Assemblea Generale per il suo esame e successiva approvazione.
Scopi, contesto e contenuti del Trattato
Il documento intende aggiornare la Convenzione sulla criminalità informatica del Consiglio d’Europa, ad oggi il principale riferimento internazionale in materia.
Adottata nel 2001 e seguita da due protocolli addizionali, negli anni la “Convenzione di Budapest” ha registrato l’adesione di 68 Stati sia europei (tra cui l’Italia, che l’ha recepita con la legge n. 48/2008) sia extra-europei.
Con la Convenzione sul cybercrime le Nazioni Unite mirano ad aggiornare e ampliare il quadro normativo a livello globale, fornendo definizioni condivise che tengano conto di un quadro tecnologico e geopolitico profondamente mutato negli ultimi vent’anni.
Nel Preambolo si dichiara, infatti, “the need to pursue, as a matter of priority, a common criminal policy aimed at the protection of society against [cybercrime] by, inter alia, adopting appropriate legislation, establishing common offences and procedural powers and fostering international cooperation to prevent and combat such activities more effectively at the national, regional and international levels”.
L’obiettivo primario è pertanto superare le difformità che spesso rendono ardua la prosecuzione dei reati informatici in cui siano coinvolti più Paesi, come di fatto accade ogniqualvolta siano commessi da gruppi organizzati internazionali (tipicamente rispetto al ransomware) nonché nel sempre più diffuso fenomeno del Cybercrime-as-a-Service (CaaS).
A tale scopo il primo articolo del draft prevede:
- il rafforzamento delle misure tese a prevenire e combattere il crimine informatico;
- lo snellimento dei meccanismi relativi alla cooperazione giudiziaria tra singoli Stati, organizzazioni internazionali e soggetti privati;
- la promozione di attività di capacity-building mirate a creare le competenze necessarie alla prevenzione e al contrasto dei cyber reati, in particolare nei Paesi in via di sviluppo.
Convenzione ONU sul cybercrime: un passo indietro per privacy e diritti umani?
Nel corso dei lavori di stesura non sono mancate aspre critiche alla direzione presa dalla Convenzione.
Lo scorso 23 gennaio, oltre 100 organizzazioni ed esperti individuali attivi nella tutela dei diritti umani hanno diffuso una Dichiarazione congiunta sulla proposta di trattato, chiedendo al Comitato Ad Hoc di valutare con attenzione il potenziale impatto della nuova disciplina sui diritti individuali, soprattutto rispetto alle scelte operate in tema di cooperazione giudiziaria.
Prevedendo un maggiore scambio di informazioni tra autorità pubbliche e aziende private, la Convenzione imporrebbe infatti ai fornitori di servizi digitali oneri più incisivi, anche attraverso il ricorso alla “Real-time collection of traffic data” (art. 29 della bozza) per garantire agli inquirenti l’accesso ai dati rilevanti nelle indagini sui crimini cyber.
Ma a giudizio dei firmatari della Dichiarazione, tra cui figura anche l’International Commission of Jurists (ICJ), tali previsioni rischiano di autorizzare illecite pratiche di sorveglianza statale, inibire l’esercizio della libertà di espressione negli spazi digitali ed erodere gravemente la privacy individuale, finendo per vanificare le tutele conquistate in tal senso negli ultimi anni.
Di conseguenza, si chiede alle delegazioni degli Stati di rivedere il testo per:
- restringere la portata applicativa delle norme e dei relativi meccanismi procedurali ai soli reati espressamente oggetto della Convenzione;
- includere disposizioni che tutelino ricercatori di sicurezza, whistleblowers, attivisti e giornalisti dal rischio di essere incriminati per le loro attività online;
- garantire i principi relativi alla data protection (come necessità, proporzionalità e non-discriminazione), prevedendo che il loro eventuale sacrificio a fini d’indagine sia sempre valutato in via preventiva da un’autorità giudiziaria;
- proibire ogni ipotesi di sorveglianza digitale che possa lasciare spazio ad abusi, compromettendo le buone pratiche di cybersecurity o il ricorso alla crittografia.
Non è dato sapere se tali critiche rimarranno inascoltate oppure se saranno recepite nella fase finale dei lavori, portando a modificare significativamente l’attuale bozza del Trattato.
In ogni caso la nuova Convenzione sul cybercrime – citata nel recente Atto di indirizzo politico-istituzionale per l’anno 2024 del Ministro della Giustizia italiano – avrà impatti rilevanti anche nel nostro Paese, in particolare sulla regolamentazione del comparto ICT e delle attività di Digital Forensics: tutto dipenderà dal testo definitivo che verrà approvato in seno alle Nazioni Unite.
A cura della Redazione