Pubblicità
Tech by VICE

14 domande all'avvocato dei cybercrimini numero uno in Italia

Tutto quello che avreste voluto sapere sui cybercrimini ma non avete mai osato googlare: l’abbiamo chiesto direttamente al cyberavvocato più richiesto in Italia.

di Camilla Sernagiotto
18 ottobre 2018, 10:07am

Immagine: Motherboard/Giuseppe Vaciago

I computer e gli smartphone ci stanno regalando da anni possibilità che prima erano impensabili: che si tratti di parlare con gente dall'altra parte del mondo, vedere dirette video dallo spazio o calcolare quantità nauseanti di dati, nel bene e nel male gli aggeggi fatti di circuiti e strani cavi hanno dato una rinfrescata al nostro modo di vedere il mondo. La rivoluzione è stata così radicale che ha creato uno spazio piuttosto incerto quando si tratta di andare contro la legge: cosa sono i cybercrimini e come vengono combattuti?

Giuseppe Vaciago è il legale numero uno in Italia e uno dei più apprezzati in Europa per i crimini legati alle nuove tecnologie, ci ha raccontato cosa significa essere un avvocato cibernetico e com’è vista la sua figura professionale nel nostro Paese. È stato lui a difendere Google Italia nel 2006 in quello che è diventato un “leading case”, un apripista seguito a livello internazionale: battendosi affinché la colpa di un video registrato da cyberbulli ricadesse direttamente sugli autori, e grazie alla sua vittoria le piattaforme sono state deresponsabilizzate a livello penale.

Dai casi di hackeraggio allo stalking 2.0, tutto ciò che d’illegale si fa digitando su una tastiera rientra nel campo d’azione di Giuseppe Vaciago. Quale persona migliore a cui chiedere cosa significa gestire un cybercrimine oggi? Lo abbiamo contattato e gli abbiamo fatto qualche domanda.

Come mai ha deciso di trattare questa forma di criminalità emergente, ancora poco studiata e regolamentata sul lato penale?

Nel 1999 mi sono laureato esattamente lo stesso giorno in cui Google ha tolto la scritta “beta” dal suo motore di ricerca. Era il 21 settembre 1999. Segno del destino? Ebbene, io l’ho interpretato così. Nel 1999 ho completato il mio primo libro, uscito l’anno seguente, Internet e Responsabilità giuridiche. Però prima di occuparmi di criminalità informatica ho fatto il penalista “tradizionale” quindi avevo a che fare con reati molto poco virtuali. Ciò mi ha aiutato a mantenere sempre una forte connessione con la realtà.

Quali sono i principali nuovi reati legati alle tecnologie di oggi?

L’accesso abusivo al sistema telematico (alias hackeraggio), il danneggiamento informatico, la rivelazione di segreti e i reati contro la persona (come stalking, cyberbullismo, pedofilia) sono i reati principali.

E quali sono le maggiori problematiche per smascherare queste nuove tipologie di reato?

Un problema comune è l’anonimato, ossia l’impossibilità di identificare il soggetto per via, ad esempio, di server proxy che ne schermano l’identità. Nei casi in cui l’utente non abbia usato questi strumenti, può presentarsi il problema della giurisdizione: alcune piattaforme on line non permettono una facile collaborazione in caso di indagini su reati di opinione (ad esempio diffamazione), procedendo con l’identificazione del responsabile e la rimozione del contenuto dopo tempi lunghissimi e una complessa rogatoria internazionale.

I device per essere concorrenziali devono poter consumare poca batteria e avere un costo contenuto, mentre la sicurezza necessita dell’esatto opposto: fa consumare batteria e costa tanto.

Le è mai capitato un caso di cyberbullismo?

Sì, ho seguito parecchi casi di cyberbullismo in cui ero dalla parte della vittima. Però vorrei citare un caso in cui ho difeso invece la piattaforma, ossia Google, perché si tratta di un leading case che è stato seguito a livello internazionale con molta attenzione. Nel 2006 Google Italia è stata coinvolta in una causa penale per aver diffuso un video in cui veniva offesa la reputazione dell‘Associazione Vivi Down (associazione italiana per la ricerca scientifica e per la tutela della persona Down) ma soprattutto di un ragazzo affetto da una sindrome autistica che compare nel filmato, la cui dignità è stata lesa con atti vessatori da parte di alcuni coetanei.

Io ero l’avvocato difensore dei manager di Google Italy. Dopo anni di processo, la Cassazione ha assolto i miei assistiti sancendo che l’unico responsabile è l’autore dell’atto, il bullo (in quel caso si trattava di quattro persone minorenni che sono state condannate a un anno di lavori sociali proprio in una comunità per ragazzi disabili).

La Cassazione ha quindi determinato che le piattaforme non hanno responsabilità penale nel caso in cui rimuovano il contenuto dopo una segnalazione qualificata, ad averla sono gli autori di atti illegali che la utilizzano impropriamente per diffonderli. Ciò non toglie che le piattaforme devono fornire la massima collaborazione per evitare che episodi simili si ripetano. La cooperazione tra gli Stati e le piattaforme sono un aspetto cruciale per garantire una maggior tutela agli utenti.

Quanto conta oggi la reputazione digitale?

Tanto quanto quella fisica. Non va enfatizzata ma sottovalutarla è da incoscienti. Abbiamo un corpo fisico e uno digitale: non considerare quest’ultimo è ormai impossibile.

Con quali motivazioni un motore di ricerca permette la rimozione di una url?

Diritto all’oblio; violazione del copyright; diffamazione nel caso il contenuto sia non hostato negli Stati Uniti dove la diffamazione non costituisce reato in forza del primo emendamento della Costituzione americana. In caso di odio on line (hate speech) o di violenza online, invece, le piattaforme sono abbastanza celeri nella rimozione. Tuttavia la linea di demarcazione tra diritto di critica e odio online è talvolta poco chiara e non sempre è possibile rimuovere contenuti che per una corte italiana sono chiaramente diffamatori.

Quando una richiesta di deindicizzazione e rimozione da Google viene accolta, rimane traccia di quella voce su un database accessibile a tutti. Può quindi la rimozione di un link avere un effetto ancora più negativo per la reputazione dell’azienda o della persona che l’ha richiesta?

Certo, può avere uno Streisand effect (fenomeno mediatico per cui tentare di censurare un'informazione ne provoca invece una più ampia pubblicizzazione, come successo a Barbra Streisand quando nel 2003 chiese al sito Pictopia un risarcimento di 10 milioni di dollari per lesione del diritto alla privacy per avere pubblicato le foto della sua villa a Malibù in un servizio sul tema dell’erosione costiera in California).

Il database in cui vengono raccolte le deindicizzazioni è Lumen ma va detto che nel caso di diritto all’oblio non rimane traccia. Per richiedere la rimozione di contenuti su Google appellandosi al diritto all’oblio, tutti gli utenti possono compilare un form online e spiegare in poche righe le motivazioni. La risposta della piattaforma solitamente è abbastanza tempestiva.

C’è differenza a livello legale tra chi hackera per divertimento senza scopo di lucro e chi invece lo fa per profitto?

La differenza è rilevante: si passa dalla non imputabilità alla imputabilità. Però è molto difficile dimostrare l’elemento psicologico che spinge a commettere un reato. Cambiano parecchio il tipo di comportamento e l’attività concreta svolta dall’attaccante.

I DDoS (Distributed Denial of Service), ad esempio, sono attacchi in cui si fanno esaurire deliberatamente le risorse di un sistema informatico che fornisce un servizio ai client fino a renderlo non più in grado di erogare il servizio. Un diverso tipo di attività, invece, è l’ottenimento di una password attraverso metodologie di “ingegneria sociale”. Nel secondo caso, ove ci si fermasse per tempo e si avvisasse la società delle sue falle di sicurezza, non vi è reato. Nel primo caso, invece, se il danno si è verificato, poco conta la motivazione sottostante. Il tema è molto delicato ma va sottolineato che la maggior parte degli attacchi informatici avviene sempre più per ragioni poco nobili e l’hacker (chi cerca di aggirare un sistema informatico con una finalità etica) sta lasciando spazio al cracker (ossia a chi effettua un attacco per motivazioni criminali).

Molti Stati si stanno dotando di eserciti cyber e la Nato ha proposto di considerare il cyberspazio come dominio militare. L’Italia come è messa sotto questo aspetto? Siamo abbastanza avanti oppure no?

Siamo agli inizi dal punto di vista pratico, ma ci stiamo muovendo verso la giusta direzione. Da giugno è in vigore il decreto che attua la “NIS” Directive (Network and Information Security) che determina i livelli minimi di sicurezza informatica per le infrastrutture critiche; abbiamo un Piano nazionale per la protezione cibernetica e la sicurezza informatica per dare attuazione al Quadro Strategico Nazionale per la sicurezza dello spazio cibernetico (QSN). In ogni caso, è in atto un potenziamento delle capacità di difesa delle Infrastrutture Critiche nazionali, un miglioramento delle capacità tecnologiche e una promozione e diffusione della cultura della sicurezza cibernetica.

Il Global Risks Report 2018 del World Economic Forum ha segnalato che l’Internet of Things dovrebbe espandersi dagli 8,4 miliardi di dispositivi attuali a ben 20,4 miliardi nel 2020. Ciò moltiplicherà il rischio di attacchi?

Certamente. Basti pensare che i device per essere concorrenziali devono poter consumare poca batteria e avere un costo contenuto, mentre la sicurezza necessita dell’esatto opposto: fa consumare batteria e costa tanto. Al netto di questa banalizzazione, il rischio di attacco c’è e non va sottovalutato. Non basta, infatti, mettere in sicurezza il dato nelle cloud farm sparse per il mondo, se poi vi si può accedere con estrema facilità hackerando il singolo device IoT.

Cosa ci consiglia di fare per essere meno attaccabili?

Potreste controllare se la vostra mail è stata craccata. Sul fronte password, invece, provate a pensare a una frase importante per voi e utilizzate solo le iniziali, inserendo anche qualche maiuscola e qualche carattere speciale. Una cosa molto importante è non utilizzare la stessa password per più servizi ma, almeno, dividerle in base alla tipologia: home banking da una parte, e-mail dall’altra e infine password per le registrazioni ai vari servizi di app, giochi etc. Sono proprio queste ultime a essere pericolose se la password dovesse essere la stessa.

In Italia com’è percepita la figura del Cyber Criminologo o dell’Avvocato specializzato in diritto delle nuove tecnologie? Mentre negli Stati Uniti c’è già una notevole popolarità relativa a questo settore professionale (c’è stata addirittura CSI: Cyber , la serie tv che racconta di crimini cibernetici, trasmessa dal 2015 al 2016 sul canale CBS), in Italia pochi sanno davvero di che lavoro si tratta.

In Italia la community dei digital forenser è fortissima. Due ingegneri italiani hanno sviluppato DEFT e Caine, software open source per fare investigazioni digitali usati dalla polizia di tutto il mondo.

Il problema a livello professionale è che i Cyber Criminologi non vengono riconosciuti in un albo. Non credo che sia d’aiuto CSI che, anzi, spesso offre una visione distorta delle investigazioni difensive. Se una foto è a bassa risoluzione non si ricava il numero della targa ingrandendo l’immagine, basta con questa favoletta! La image forensics è una disciplina ben diversa da come si vede in tv. Ma il problema a monte è che serve una maggiore attenzione dei giudici, spesso portati a sottovalutare la prova digitale.

Le nuove tecnologie e i social network hanno reso lo stalking ancora più pressante, ossessionante e pericoloso. Come consiglia di tutelarsi dagli stalker, dagli ex fidanzati ossessivi e dai voyeur del web?

Postare in modo responsabile; evitare di rispondere alle provocazioni; rivolgersi a un legale o a un centro specializzato il prima possibile. E, in casi estremi, rimuovere l’account.

La “gogna social” è più potente di qualsiasi punizione. Ormai basta postare una foto o un video compromettente e si può rovinare una persona a vita, checché ne dica il diritto all’oblio. Le sono mai capitati casi in cui si ritrova a difendere persone di cui è stata violata la privacy e l’intimità con la diffusione di materiale compromettente?

Sì, mi capitano moltissimi casi di violazione della privacy di questo tipo. Tra i clienti più famosi ho avuto Elisabetta Canalis, in un caso di hackeraggio di foto private a una festa assieme all’allora compagno George Clooney. Ma i più tragici sono i sempre più frequenti casi dove la moglie/fidanzata si vendica del tradimento del marito/fidanzato o viceversa. Il primo errore da non commettere è quello di condividere account e password con i familiari. Non bisogna farlo nemmeno con la persona più cara, neppure con quella di cui ci si fida ciecamente.