Home FAQ Wardriving e PiggyBacking: condotte penalmente rilevanti?
Wardriving e PiggyBacking: condotte penalmente rilevanti? PDF Stampa E-mail
Legalite' - Legalite'
Scritto da G. Carlone   
Martedì 16 Settembre 2008 10:12

Negli ultimi tempi si sente parlare anche in Italia di wardriving e di piggybacking come condotte più o meno illecite; ma in realtà cosa sono? Quali meccanismi giuridici si mettono in moto quando si realizzano le condotte che sono sussumibili in tali attività?

E’ possibile che, passeggiando per la città, il nostro notebook di ultima generazione ci segnali la presenza di “reti senza fili”, chiedendoci se vogliamo collegarci ad una di esse. Il wardriving può definirsi una ricerca (nomadica) di reti wireless. In altri termini significa andare in giro per le città, computer (o altri strumenti di ultima generazione) alla mano, a cercare reti wireless (WLan). Ebbene tale tipo di pratica, stando anche alle riviste del settore pare si sia molto diffusa negli ultimi tempi, e se prima si trattava di un’attività di cui si parlava solo nei convegni e tra addetti ai lavori, ora pare che anche la polizia postale abbia rivolto l’attenzione verso i wardriver.

Sinora, tuttavia, sono stati rari i tentativi di fare chiarezza sulla liceità o meno di questa attività di ricerca reti.

Vediamo di fronte a quali fattispecie ci troviamo.

Innanzi tutto va differenziata l’attività del soggetto (wardriver) che effettua una ricerca fine a sè stessa, ossia solo per constatare l’esistenza di reti wireless in una determinata zona (ed eventualmente, per sapere se queste siano protette o meno) dalla ricerca di una rete wireless senza protezioni (libera) al fine di utilizzare le risorse di connessione per navigare in rete gratis o svolgere altre attività sfruttando una connessione altrui, tali ulteriori condotte si definiscono “piggybacking”, e saranno analizzate anch’esse come ulteriori attività rispetto al wardriving.

A nostro avviso, nel caso del soggetto che ricerchi soltanto la presenza di reti wireless nella zona, senza secondi fini, appare chiaro, che la condotta è penalmente irrilevante, tant’è che il soggetto ricerca “alla cieca” un access point (AP), che in realtà potrebbe non essere presente in zona e la condotta si esaurisce con un interrogazione dell’AP che, dal canto suo, risponderà, secondo il tipo di rete a cui dà accesso.

Diverso è il caso di quei soggetti che, una volta trovata una rete, libera o protetta che sia, vi accedano navigando in essa o sfruttandone la banda (piggybacking), ovviamente non autenticandosi presso il fornitore, cosa che – anche e solo per questo fatto – pone certamente diverse questioni.

Le implicazioni relative alla normativa anti-terrorismo ed alla tutela della privacy

Intanto va rilevato che il Decreto-legge 27 luglio 2005, n. 144 (pubblicato nella Gazzetta Ufficiale n. 173 del 27 luglio 2005), convertito nella legge 31 luglio 2005, n. 155 (contenente norme contro il terrorismo) prevede, sulla base di un decreto interministeriale, che vengano acquisiti (art. 7, comma 4) preventivamente “i dati anagrafici riportati su un documento di identità dei soggetti che utilizzano postazioni pubbliche non vigilate per comunicazioni telematiche ovvero punti di accesso ad Internet utilizzando tecnologia senza fili”. Ma deve rilevarsi anche che ai sensi del precedente art. 6, fino al 31 dicembre 2008 (termine prorogato dal cd. Decreto mille-proroghe di fine anno, D.L. 31 Dicembre 2007, n. 248, approvato dal Consiglio dei Ministri il 28 dicembre 2007 e pubblicato nella G.U. del 31.12.2007) e' sospesa l'applicazione delle disposizioni di legge, di regolamento o dell'autorità amministrativa che prescrivono o consentono la cancellazione dei dati del traffico telefonico o telematico, anche se non soggetti a fatturazione, e gli stessi, esclusi comunque i contenuti delle comunicazioni, e limitatamente alle informazioni che consentono la tracciabilità degli accessi, nonchè, qualora disponibili, dei servizi, devono essere conservati fino a quella data dai fornitori di una rete pubblica di comunicazioni o di un servizio di comunicazione elettronica accessibile al pubblico, fatte salve le disposizioni vigenti che prevedono un periodo di conservazione ulteriore. I dati del traffico conservati oltre i limiti previsti dall'art. 132 del decreto legislativo 30 giugno 2003, n. 196, possono essere utilizzati esclusivamente per le finalità del decreto-legge n.144, salvo l'esercizio dell'azione penale per i reati comunque perseguibili.

In ipotesi di accesso e sfruttamento della rete wireless la responsabilità penale rileva, seppur in diverso modo, a seconda dell’attività posta in essere dal soggetto. Se la rete è libera (quindi non protetta) il soggetto agente potrà andare incontro alle sanzioni previste dal codice penale. In questo caso, vista la libertà di accesso alla rete, non si potrà configurare il reato di accesso abusivo a sistema informatico o telematico in quanto la rete non prevede misure di sicurezza attive (art. 615 ter cp), mentre a seconda dell'ulteriore attività posta in essere una volta entrato nella rete le ipotesi di reato configurabili possono essere molteplici.

Si va dai reati previsti dagli artt. 617 quater e quinques che riguardano l'intercettazione abusiva di comunicazioni: in questo caso il soggetto che entra nella rete spia quelle che sono le comunicazione del titolare della rete violando così la segretezza della comunicazione stessa, al reato previsto dall'art. 167 del D.Lgs 196/2003, in quanto il wardriver si troverà a trattare dati senza il consenso dell'interessato (o degli interessati, cfr. art. 23 D.Lgs 196/2003), passando per la frode informatica (art. 640 ter c.p.), la sostituzione di persona (art. 494 c.p.), il danneggiamento di sistemi informatici o telematici di cui all’art. 635 bis. c.p. (Danneggiamento di sistemi informatici e telematici. che prevede la reclusione da sei mesi a tre anni). In merito alla sostituzione di persona, è appena il caso di ricordare che la finalità (dolo specifico) può anche essere di natura non economica (come lo scopo di evitare una perquisizione o la scoperta delle proprie azioni criminose), ovvero non illecita, come nel caso di chi si attribuisca un falso nome solo per stringere amicizia con persone facoltose. Inoltre, si ha «sostituzione della propria all’altrui persona» ogni qual volta si assume un atteggiamento atto a far vedere che si è un’altra persona (è il caso di chi sostituendosi ad un candidato, sostiene un concorso pubblico al posto dell’effettivo candidato); tale sostituzione è sempre illegittima, per cui l’avverbio «illegittimamente» usato dal legislatore è superfluo.

La questione, tutt’altro che pacifica, è già stata oggetto di indagine in dottrina e giurisprudenza, in particolare in relazione alla configurabilità del concorso di reati tra accesso abusivo a sistema informatico o telematico e frode informatica. In particolare Trib. Lecce, ord. 12 marzo 1999 escluse che la condotta di accesso abusivo alla rete telefonica allo scopo di effettuare chiamate intercontinentali in danno del gestore di rete, condotta costituente il reato di frode informatica, potesse integrare anche il reato di accesso abusivo ad un sistema informatico o telematico, in quanto, per essere l’interesse tutelato dall’art. 615 ter c.p., costituito dalla riservatezza individuale connessa al regolare funzionamento dei sistemi informatici, nessuna lesione a tale bene si potrebbe verificare quando chi effettua telefonate abusive lo faccia a scopo di lucro e non acquisisca informazioni personali o comunque riservate. Tale ordinanza fu annullata dalla Suprema corte, la quale affermò la piena configurabilità del «concorso formale» tra il reato di frode informatica e quello di accesso abusivo ad un sistema informatico o telematico, osservando che «l’oggetto della tutela del reato di cui all’art. 615 ter c.p. è costituito dal c.d. ‘domicilio informatico’, da intendersi come spazio ideale (ma anche fisico in cui sono contenuti i dati informatici) di pertinenza della persona, il quale deve essere salvaguardato al fine di impedire non solo la violazione della riservatezza della vita privata, ma qualsiasi tipo di intrusione anche se relativa a profili economico-patrimoniali dei dati». Criticamente rispetto al principio affermato dalla Suprema corte e partendo dall’assunto che la norma penalistica sull’accesso abusivo sia sostanzialmente finalizzata a tutelare la riservatezza personale, sulle colonne di questa rivista si osservò che «— in casi [...] in cui non sussiste un’effettiva lesione di beni giuridici autonomi, per avere la condotta determinato il pregiudizio di interessi puramente patrimoniali — l’accesso abusivo ad un sistema informatico dovrebbe considerarsi un ante factum non punibile rispetto al reato di frode informatica, costituendo lo strumento comunemente utilizzato per la commissione di tale più grave reato».

Ancora il Tribunale di Lecce, tuttavia, con pronuncia del 19 gennaio 2000 (Foro it., Rep. 2002, voce Violazione di domicilio, n. 9, e, per esteso, Corti Bari, Lecce e Potenza, 2001, II, 3), sposò l’orientamento della Cassazione ed affermò la configurabilità del concorso formale di reati tra l’accesso abusivo a sistema informatico e la frode informatica. E ciò, anche perché la dottrina prevalente non aveva mancato di evidenziare come la fattispecie di accesso abusivo ad un sistema informatico o telematico sia finalizzata ad evitare, non solo la violazione della riservatezza della vita privata, bensì qualsiasi tipo di intrusione in un sistema protetto, anche se lesiva soltanto di profili economico-patrimoniali (così, tra gli altri, M. NUNZIATA, Il delitto di «accesso abusivo ad un sistema informatico o telematico», Bologna, 1996). In questo senso, di recente, Cass. 14 ottobre 2003, Muscia, Foro it., 2004, II, 582.

Difatti se una volta entrato, il wardriver dovesse “divertirsi” a distruggere quello che trova, mandare “in tilt” il sistema, o anche solo parte di esso, incorrerà nella sanzione prevista per il danneggiamento, se invece dovesse utilizzare l'IP della rete per inviare mail o per commettere altri reati sarà responsabile sia della sostituzione di persona sia del reato compiuto a mezzo rete wireless di altri. Un'ulteriore attività si potrebbe concretizzare anche nell'inserimento di codici malvagi (malware-virus) condotta che rientra nella previsione normativa dell'art. 615 quinques c.p. Oppure, ipotizzando che il soggetto utilizzi la banda per scaricare o diffondere in rete materiale pedopornografico o comunque materiale protetto dal diritto d'autore, si troverà a rispondere dei reati disciplinati dagli artt. 600 ter e quater del codice penale, oppure dall’art.171 della legge sul diritto d'autore. Per la giurisprudenza può ricorrere il delitto di accesso abusivo ad un sistema informatico (art. 615 ter c.p.) anche senza effrazione delle misure protettive (siano esse interne o «esterne» al sistema) purché la condotta dell’agente risulti rivestita da altri connotati (anche tra loro eterogenei) che la rendano «abusiva»; tra gli indici che in tal caso dovranno essere vagliati al fine di ritenere o meno il reato, vi sono la natura e le finalità dell’accesso, l’idoneità dell’intervento a ledere o a porre in pericolo gli obiettivi ai quali era strumentale la protezione del sistema e dei dati in esso residenti, nonché l’esistenza o meno per l’agente, tenuto conto delle di lui eventuali funzioni rivestite in seno all’organizzazione titolare del sistema protetto, di divieti o limiti a conoscere o a utilizzare i contenuti dell’area informatica visitata, che siano stati violati mediante la realizzata condotta (Trib. Gorizia, 19 febbraio 2003, in Riv. pen., 2003, 891, con nota di A. TARLAO; Trib. Bologna, 22 dicembre 2005, Foro it., Rep. 2006, Violazione di domicilio, n. 15. Cfr. altresì Cass., V sez. pen., 6 febbraio 2007, Il delitto di accesso abusivo ad un sistema informatico, che è reato di mera condotta, si perfeziona con la violazione del domicilio informatico, e quindi con l’introduzione in un sistema costituito da un complesso di apparecchiature che utilizzano tecnologie informatiche, senza che sia necessario che l’intrusione sia effettuata allo scopo di insidiare la riservatezza dei legittimi utenti e che si verifichi una effettiva lesione alla stessa, Foro it., Rep. 2007, voce Violazione di domicilio, n. 7).

Un discorso a parte merita la cd. forzatura della rete, quando questa è protetta (ad esempio con il sistema di cifratura WEP o WPA). In tal caso il wardriver si troverà, per il solo fatto di averla violata superando le misure di sicurezza, nella posizione di chi è entrato abusivamente nel “domicilio informatico” altrui. Si applicherà a tale ipotesi l'art. 615 ter. Una volta entrato, il wardriver potrebbe porre in essere tutte le azioni che sono state descritte, per cui si troverebbe a rispondere di tutti i reati consumati. Insomma la condotta del wardriver deve essere valutata sempre in concreto secondo una scala di infrazioni che potrebbero andare dall'accesso abusivo alle altre ipotesi di reato che in base alla volontà dello stesso soggetto saranno poste in essere.

 (Liberamente tratto da www.filodiritto.com, Dott.Fabrizio-Salvatore Angelo, Dott.Santoro Gianpaolo)

 

Attenzione quindi: magari non succede nulla ad 'usare' reti sprotette...ma magari poi ci si trova con una bella denuncia a proprio carico, come è successo recentemente ad un padre disoccupato di Palermo. Il quale mentre si connetteva tranquillamente con il suo notebook, in macchina, davanti al solito internet bar, quotidianamente, si è visto arrivare alcuni agenti di polizia allertati dal proprietario del locale. Eppure 'non faceva nulla di male': semplicemente navigava e controllava la posta elettronica.

Dura lex, sed lex

Ultimo aggiornamento Martedì 16 Settembre 2008 11:20
 

Utenti connessi

 18 visitatori online



Creative Commons License

Questo sito è pubblicato sotto licenza Creative Commons
DeSfA - De Shell Facemmo Ali