Alexander Seger, direttore della Sezione sul cybercrime e la protezione dei dati del Consiglio d’Europa
Sempre più spesso si sente parlare di cybercrime, del crimine informatico, e di come le istituzioni debbano, o non debbano, intervenire sul Web. La Convenzione di Budapest sulla criminalità informatica, entrata in vigore nel luglio 2004, è l’unico trattato internazionale esistente oggi e l’Italia è tra gli oltre 100 aderenti nel mondo. Nella direzione delle sue Linee guida è il progetto europeo EBOCS con il centro di ricerca Transcrime dell’Università Cattolica tra i partner. Il progetto, partito a gennaio, svilupperà un motore di ricerca per facilitare le indagini finanziarie nella lotta al riciclaggio di denaro sporco, sviluppando un’interfaccia IT per scoprire la struttura proprietaria delle aziende iscritte nei vari registri europei. Questo per smascherare le società collegate in complessi schemi a “scatole cinesi”, spesso utilizzate per realizzare frodi, evadere il fisco o riciclare denaro sporco. Accanto agli Stati, gli interlocutori imprescindibili sono le grandi aziende della rete, come Microsoft, che ha appena firmato un accordo con il Consiglio d’Europa per collaborare al progetto Cybercrime@Octopus. Ne parliamo con Alexander Seger, direttore della Sezione sul cybercrime e la protezione dei dati del Consiglio d’Europa.
Cos’è il cybercrime?
«Secondo la Convenzione, gli Stati aderenti devono perseguire due tipi di comportamenti. Il primo sono gli attacchi contro le banche dati informatiche, come accessi illegali (“hacking”, cioè pirateria informatica), intercettazioni illegali, interferenze con virus, malware o botnets. Il secondo sono illeciti commessi tramite i computer, come falsificazioni, frodi, pedopornografia e altri. Svariati reati si possono commettere con un pc, ma si intendono quelli in cui la natura dell’offesa cambia sensibilmente grazie all’uso del computer. Inoltre, la Convenzione chiede agli Stati di garantire il ricorso alle prove informatiche per ogni reato. Ad esempio, un sequestro non è un cybercrime, ma un’email per chiedere il riscatto deve essere utilizzata nelle indagini».
Quali sono le linee guida della Convenzione di Budapest?
«Colpire i reati contro le banche dati e i sistemi informatici, varare leggi per assicurare la validità delle prove informatiche, impegnarsi nella cooperazione internazionale tra le polizie. Il Web è un ambiente con delle specificità: è senza frontiere, quindi colpevoli e vittime rispondono spesso a legislazioni differenti, mentre le forze dell’ordine hanno una giurisdizione “territoriale”. Inoltre, dato che le prove informatiche possono perdersi facilmente, devono essere messe in sicurezza velocemente».
Molti dicono che il Web deve rimanere libero e non va introdotta alcuna legge: cosa ne pensa?
«Il Web deve rimanere libero, ma i diritti umani vanno rispettati. L’accesso di criminali a un sistema informatico, o la violenza sessuale contro i bambini, violano i diritti degli individui. Come ha stabilito la Corte europea, i Governi hanno il positivo dovere di proteggere i cittadini da un crimine anche nella rete, un luogo che va normato introducendo uno Stato di diritto. Un aspetto delicato riguarda le misure per le indagini: anche quelle previste dalla Convenzione di Budapest vanno applicate ad alcune condizioni, senza confonderle con le attività di sicurezza nazionale. Comunque non è solo un problema di leggi: molti Stati ne hanno di buone, ma il problema è sulle competenze informatiche di chi indaga. A livello di polizia, ci sono unità specializzate, ma serve anche la formazione per pm e giudici. La criminalità informatica è talmente produttiva che, almeno a livello base, tutti coloro che sono coinvolti nelle indagini dovrebbe saper valutare le prove informatiche».
Quali sono i principali ostacoli nel contrasto al cybercrime?
«Oltre a questa mancanza di abilità informatiche, il conciliare le misure contro il cybercrime con i diritti umani, inclusa la protezione dei dati personali. Spesso poi i dati, potenziali prove informatiche, sono conservati in un “cloud”, una “nuvola”, che ha una localizzazione sconosciuta: questo provoca problemi di giurisdizione per accedervi. Aggiungerei una visione minimalista dei legislatori, inclusi i Parlamenti, sulla natura del cybercrime e delle prove informatiche e, infine, una certa attività di “sorveglianza di massa” sulle banche dati da parte dei servizi di sicurezza nazionale che sembrano compromettere le attività ordinarie di indagine della polizia. Per aiutare gli Stati a sviluppare la loro capacità di indagine informatica con assistenza tecnica, grazie a un accordo con Microsoft, con cui collaboriamo dal 2006, il 1 gennaio è partito il programma Cybercrime@Octopus. Tra le attività, prevediamo corsi per agenti di polizia e giudici di vari Paesi in campo legislativo, su come indagare nelle banche dati garantendo lo Stato di diritto».
Lo scorso anno Twitter ha chiuso un account neonazista per la prima volta nella sua storia, dopo un lungo dibattito e forti pressioni. La collaborazione con Facebook, Twitter, Google, Youtube non è sempre semplice?
«L’accesso ai dati in possesso delle multinazionali e dei provider di internet è una questione complessa, poiché operano in diverse giurisdizioni nazionali e devono rispettare contemporaneamente delle leggi che potrebbero essere in conflitto. Il lavoro va proseguito, ma si può partire dalle Linee guida del 2008 che il Consiglio d’Europa ha elaborato proprio con queste multinazionali».