Cyberterrorismo: realtà o finzione? Profili problematici di definizione e contrasto

---

Lo stato permanente di guerra accompagna noi e la nostra discendenza. La conflittualità, sia fra singoli, sia fra aggregazioni, fa palesemente parte della condizione umana e si manifesta, anche in modo violento, quotidianamente.  “La vita è una guerra”, “la politica è un campo di battaglia”, “per vincere in affari, in amore e in guerra, non bisogna farsi scrupoli”, “guerra processuale”: sono tutte espressioni che rispecchiano la mentalità di una società, che si esprime quasi esclusivamente attraverso lo scontro tra le parti.

---

SOMMARIO: §I. Introduzione – §II. I nuovi scenari internazionali – §III. Il terrorismo globalizzato – §IV. Il quinto dominio della conflittualità – §V. Questioni dottrinali: esiste il cyberterrorismo? – §VI. I rapporti normativi intercorrenti tra cyberterrorismo e cybercrime – §VII. Possibile applicabilità della legislazione antiterrorismo al cyberterrorismo? – §VIII. Riflessioni conclusive.

---

§I. Introduzione

La società occidentale si basa su una visione del conflitto, che deriva dal modello enunciato dal teorico militare prussiano Carl von Clausewitz, per il quale “la guerra non è che la continuazione della politica con altri mezzi”: definizione così contenuta nel suo monumentale trattato di strategia militare in otto volumi dal titolo Vom Kriege risalente al 1832.

Le democrazie occidentali, al giorno d’oggi, si trovano ad affrontare cinque tipi particolari di minacce: la permanente criminalità organizzata sempre più transnazionale; il rischio nucleare; la minaccia bellica, sebbene attenuata; il pericolo cibernetico; il terrorismo. Quest’ultimo, in particolare nei suoi nuovi volti (islamico-radicale, mobile¹, cyber), si pone sulla scena internazionale, mettendo in discussione l’architettura delle relazioni internazionali e la stessa sicurezza della compagine statuale. Nuovo attore sullo scacchiere geopolitico è in grado di cambiare i rapporti di forza e di rimodellare il sistema in funzione della propria accresciuta importanza.

Esso ha assunto con eccezionale precisione quei caratteri di indeterminatezza, volatilità e liquidità, che complicano e limitano le capacità dello Stato westfaliano (detentore legittimo della forza) di contrastarlo e combatterlo, ma più ancora ha dimostrato una sorprendente flessibilità nello sfruttare le molteplici aperture di società complesse come quelle occidentali, così come la capacità di adoperare sapientemente strumenti più sofisticati della rivoluzione informatica, portando la guerra asimmetrica anche nel cyberspazio.

Le crescenti minacce cibernetiche terroristiche rappresentano una sfida affascinante per il diritto penale. Il legislatore si trova, infatti, ad affrontare un fenomeno mutevole e astratto che, a causa della continua e repentina evoluzione delle moderne tecnologie informatiche, si è arricchito di aspetti critici e problematiche giuridiche.

Il cyberspace, è il nuovo campo di battaglia e di competizione geopolitica del XXI secolo. Tale nuova dimensione ha la capacità (unica) di rendere uniformi gli squilibri politici, che dominano le relazioni internazionali, ponendo sullo scacchiere soggetti della più diversa natura: singoli individui, attori non-statali, così come gli Stati. Tutti questi agiscono su un piano di gioco quasi paritario, venendo meno, così, ogni forma di asimmetria. In ogni atto di guerra, infatti, la fisicità di chi agisce per terra, per mare, in aria o nello spazio rende facilmente identificabili gli attori, così come facilmente individuabili sono anche i confini dello Stato belligerante. Lo stesso non avviene nello spazio cibernetico, dove, a causa della sua intrinseca natura digitalizzata, risulta molto complesso non solo imputare l’azione in tempi utili a uno o più determinati soggetti e/o a uno Stato, ma anche comprendere la ragione dell’attacco e i suoi obiettivi, quanto, soprattutto, evitare che chi ha realmente agito possa agevolmente sottrarsi da ogni responsabilità giuridica, politica, diplomatica, economica e militare².

La Rete, moderna frontiera di libertà e democrazia, si presta a essere, pertanto, il nuovo teatro del mondo dove si consumano i grandi conflitti di questo tempo.

In questo contesto, già di per sé complesso, si innesta il c.d. cyberterrorismo, che si identifica come una categoria della minaccia cibernetica e come uno dei nuovi volti del terrorismo. Su tale argomento e in particolare sugli aspetti definitori e di contrasto si incentrerà la seguente trattazione.

§II. I nuovi scenari internazionali

Le trasformazioni che hanno avuto luogo nel sistema internazionale negli ultimi anni sono così macroscopiche da rendere desuete molte regole e procedimenti su cui si basa tradizionalmente la politica e la politica estera in particolare³.

Quella attuale è una politica postinternazionale, dove attori nazionalstatali si dividono lo scenario globale e il potere con organizzazioni internazionali, gruppi industriali internazionali e movimenti sociali e politici transnazionali⁴.

Una politica turbolenta, con una fondamentale caratteristica: l’incertezza⁵, che soppianta la prevedibilità e l’ordine internazionale del periodo bipolare.

Il venir meno dell’impero sovietico, con la dissoluzione del Patto di Varsavia del 1955, ha complicato infinitamente il quadro internazionale. Quell’insieme di regole che avevano governato la competizione e che si fondavano sulla razionalità, reciprocamente percepita, dei due contendenti maggiori, ha lasciato il posto a un assetto ancora da definire nella sua complessità⁶.

Nell’arco di cinquant’anni, pace egemonica all’interno dei blocchi, e pace di equilibrio tra i blocchi, avevano convissuto garantendo al sistema internazionale una certa stabilità e permettendo un’apprezzabile prevedibilità nei comportamenti sia degli attori principali che delle pedine che si muovevano, come clienti, alla periferia del sistema⁷.

Il confronto simmetrico tra USA e URSS permise, dunque, di prevenire conflitti bellici su scala regionale, così come su larga scala, all’interno delle zone di influenza dei due blocchi.

In uno scenario siffatto non ha quasi più senso limitarsi, come durante il bipolarismo, a parlare di difesa territoriale pianificando in funzione di questa e organizzando di conseguenza le proprie forze armate. Ne consegue che il concetto di sicurezza si è ampliato a dismisura, sia nella sua accezione oggettiva, sia in quella soggettiva; senza contare poi gli spazi e i profili problematici apertisi a seguito della rivoluzione informatica che offrono sì nuove prospettive all’azione politica, ma anche condizionamenti e limiti che hanno spostato il conflitto su un piano differente da quello tradizionale.

Una seconda tendenza tipica del mondo post caduta del muro di Berlino, oltre alla già menzionata imprevedibilità, è la ridislocazione dell’autorità e della legittimità politica dagli Stati verso una miriade di attori politici e non, della più disparata natura e dal carattere anche transnazionale: fra tutti, le organizzazioni terroristiche. Il fattore aggregante e “mobilitante” tipico di queste organizzazioni transnazionali, è la religione, o comunque, la sua manipolazione in chiave radical-fondamentalista.

§III. Il terrorismo globalizzato

Oggi, le sfide e le minacce non vengono più da una parte sola e non sono più soltanto militari, ma sono molteplici e di varia natura.

Una di queste minacce, fra le più incombenti, è il terrorismo c.d. globalizzato, quello post 11 settembre 2001, di matrice islamico-radicale e rappresentato, oggi, dal Daesh.

Un terrorismo che segna l’avvio di un nuovo capitolo nella storia mondiale e che modifica lo scenario internazionale, lasciando lungo il suo corso una scia di sangue che sembra esulare da ogni logica e ragione.

A tal riguardo, gli attentati che hanno colpito al cuore gli Stati Uniti, hanno mostrato per la prima volta e in maniera tangibile la portata e la realtà del terrorismo internazionale, segnando l’inizio di un’epoca caratterizzata da quella che Ulrich Beck, nell’ambito della teoria del rischio, definisce “globalizzazione del rischio terroristico”⁸. Nella società mondiale del rischio è la percezione della violenza, l’anticipazione del pericolo avvertito a dare impulso alla “globalizzazione del terrore”⁹.

Le azioni come quelle dell’11 settembre 2001 hanno trascinato ancor di più il mondo in un nuovo tipo di guerra: la conflittualità complessa. Una conflittualità sempre latente, in agguato, eventualmente emergente con forme, modi, tempi poco prevedibili. Unica necessità: l’approccio globale¹⁰.

Sun Tzu¹¹, padre della strategia militare e autore del trattato in tredici capitoli “L’Arte della Guerra” (VI-V secolo a.C.), ammoniva: «se conosci il nemico e te stesso, la tua vittoria è sicura. Se conosci te stesso ma non il nemico, le tue probabilità di vincere e perdere sono uguali. Se non conosci il nemico e nemmeno te stesso, soccomberai in ogni battaglia¹².»

Ma, effettivamente, conosciamo questo nuovo nemico?

Secondo Umberto Gori: «[…] non lo conosciamo, mentre loro, i terroristi, ci conoscono molto bene e conoscono anche la nostra storia. La data dell’11 settembre 2001, data tragica per le tremila vittime e per le torri del World Trade Center di New York non è stata scelta a caso. Nel lontano 11 settembre 1683, gli eserciti ottomani, dopo furibonde battaglie, furono respinti sotto le mura di Vienna dalla Lega Santa¹³: era il tentativo di assaltare l’Europa¹⁴.»

L’11 settembre 2001 rappresenta, dunque, il tentativo di rivincere contro l’Occidente intero e prende le mosse un terrorismo c.d. “atellurico”, di derivazione radicale islamica, che non mira più a rivendicare la sovranità o l’autonomia in un determinato territorio, bensì avente come obiettivo il rovesciamento dell’ordine internazionale esistente. In altre parole, ha la stessa funzione di quelle guerre che la teoria delle Relazioni Internazionali chiama “costituenti”, e cioè costitutive di un nuovo assetto nella disposizione del potere mondiale¹⁵ (come lo sono state le guerre mondiali).

§IV. Il quinto dominio della conflittualità

Prima di porre l’attenzione sulla definizione di cyberterrorismo e sulle disposizioni incriminatrici vigenti nel nostro ordinamento applicabili al fenomeno de quo, qualche breve considerazione merita il locus, il sostrato tecnologico ove si perpetua tale nuova forma di violenta terroristica: il cyberspace¹⁶, dimensione intangibile, immateriale e senza tempo.

A tal riguardo, il “Quadro Strategico Nazionale per la Sicurezza dello Spazio Cibernetico” definisce la dizione in esame come «l’insieme delle infrastrutture informatiche interconnesse, comprensivo di hardware, software, dati e utenti, nonché delle relazioni logiche, comunque stabilite, tra di essi. Esso, dunque, comprende Internet, le reti di comunicazione, i sistemi su cui poggiano i processi informatici di elaborazione dati e le apparecchiature mobili dotate di connessione di rete. […] Esso costituisce un dominio virtuale di importanza strategica per lo sviluppo economico, sociale e culturale delle nazioni.¹⁷»

Lo spazio cibernetico è una terra nullius. È esattamente l’assenza di regole che lo rende appetibile per perseguire scopi criminali o aggressivi in termini politici, economici, sociali e religiosi. Non è stato disegnato o ingegnerizzato, inoltre, per essere un posto sicuro ma, al contrario, per trasmettere informazioni. Da ciò ne consegue un deficit intrinseco di sicurezza, che lo rende un ambiente a offesa persistente.

Tale nuova dimensione “aspaziale” si presenta, per sua stessa natura, come “deterritorializzata”, “decentralizzata”¹⁸ e contraddistinta dalla simultaneità, dall’anonimato, dalla “spersonalizzazione” e dalla “detemporalizzazione” delle attività¹⁹.

Definito quale “quinto dominio della conflittualità”²⁰, si appresta a essere il nuovo campo di battaglia e di competizione geopolitica nel XXI secolo; teatro artificiale di guerra supplementare ai quattro teatri naturali di: terra, mare, aria e spazio extra-atmosferico; dominio affascinante, in continua e rapida evoluzione, che rappresenta uno dei campi più critici della politica internazionale di oggi e potenzialmente di domani, nonché minaccia concreta alla sicurezza nazionale e internazionale.

§V. Questioni dottrinali: esiste il cyberterrorismo?

Uno dei due punti, su cui si innesta il presente contributo, di cui si è già accennato, concerne il problema definitorio del cyberterrorismo.

Ai fini della nostra trattazione, possiamo ricordare, in prima battuta, quali problemi affliggono la definizione di “terrorismo tradizionale”, iperonimo del cyberterrorismo. Infatti, com’è noto, manca ancora una definizione ufficiale, giuridicamente accettata dall’intera Comunità internazionale e sanzionata da un documento avente forza di legge universale²¹.

La stessa Organizzazione delle Nazioni Unite non è riuscita ancora a circoscrivere la nozione di terrorismo; invero, né le vigenti Convenzioni e Protocolli, né le Risoluzioni del Consiglio di Sicurezza intese a contrastare il terrorismo ne formulano una definizione²².

D’altra parte l’assetto attuale della lotta al terrorismo a livello internazionale evoca pericolose commistioni tra guerra e diritto, ovvero, correlativamente, tra attacco armato, crimine internazionale e reato “comune”²³.

Proprio l’incertezza sulla natura del fenomeno ha reso impossibile, a oggi, addivenire a una definizione giuridica condivisa a livello globale. Ne è una prova la Convenzione globale sul terrorismo, i cui lavori sono iniziati nel 1996 senza, tuttavia, giungere a un risultato soddisfacente.

Non esiste, inoltre, ancora una definizione univoca dell’equivalente fenomeno interpretato in chiave virtuale che, anzi, si presenta come più controverso e oscuro del terrorismo tradizionale. A livello terminologico, il concetto è quanto meno poroso a causa dell’assenza di un quadro giuridico internazionale di riferimento che inevitabilmente conduce a dibattere intorno a esso e alla sua effettiva esistenza. A ciò si aggiunge, che mentre alcuni autori stentano nel riconoscere l’evidenza di azioni di cyberterrorismo, altri ritengono, invece, che alcuni gruppi facciano abitualmente uso della Rete con modalità terroristiche.

Un punto che, tuttavia, può considerarsi fermo è che la crescente dipendenza della nostra società dalla tecnologia informatica e telematica continua a generare nuove forme di vulnerabilità, fornendo ai gruppi terroristici l’opportunità di avere accesso a obiettivi fino a pochi anni fa totalmente inaccessibili, come sistemi di difesa nazionali, sistemi di controllo e trasporto di persone e merci (aereo, ferroviario, navale, stradale), strutture di gestione di fonti energetiche quali dighe o centrali nucleari, sistemi sanitari, circuiti economico-finanziari, etc. All’avanzamento tecnologico di ogni Paese, quindi, non può che corrispondere una maggiore vulnerabilità delle cc.dd. infrastrutture critiche²⁴.

Sebbene, i moderni sistemi di gestione della “cosa pubblica” facciano sempre più affidamento su innovazione e strumenti tecnologici, lo scenario di un attacco terroristico cibernetico sembra ancora distante dal potersi concretizzare, considerando che i terroristi dovrebbero essere in grado di portare a compimento un attacco simultaneo contro molteplici obiettivi e persistente nel tempo, unico modo per infondere terrore, destabilizzare l’opinione pubblica e raggiungere in questo modo determinati obiettivi o qualsiasi altro risultato strategicamente rilevante²⁵.

Conformemente alla posizione di Umberto Eco, si può sostenere, dunque, che i media, pur non volontariamente, si siano rivelati come il più grande alleato del terrorismo e che, unitamente all’impiego delle più moderne e aggiornate ICT (Information and Communication Technologies), hanno concorso all’emersione della “versione 2.0” della violenza terroristica.

Il terrorismo postmoderno si avvantaggia così dei frutti della globalizzazione e dell’Era digitale che per la prima volta non ne limitano il raggio d’azione al solo territorio d’appartenenza, ma ne disegnano una parabola transfrontaliera in costante divenire.

Le investigazioni, avvenute in seguito agli attentati dell’11 settembre, hanno evidenziato che i terroristi utilizzano Internet per scambiarsi informazioni, raccogliere dati e ricercare nuovi adepti²⁶.

Tuttavia, queste azioni non si possono definire terroristiche – o meglio, atti di cyberterrorismo²⁷ – in quanto rientrano in un uso “normale” della Rete.

Per sgomberare il campo da possibili fraintendimenti circa il fenomeno de quo, che si appresta a essere uno dei concetti più abusati e fraintesi dell’Era dell’Informazione rileva distinguere tra uso terroristico di Internet, come fattore abilitante, e l’uso di strumenti informatici, come capacità offensiva.

Al tal riguardo, in ambito accademico, è possibile riscontrare due orientamenti definitori di cyberterrorismo: nel primo, target oriented, la Rete è intesa come obiettivo e come arma; nel secondo, tool oriented, la Rete è indicata principalmente come strumento e come supporto²⁸.

Attualmente, infatti, le organizzazioni terroristiche o i singoli terroristi utilizzano Internet con diverse finalità, sia per danneggiare o compromettere i sistemi informatici o le infrastrutture critiche di un dato Paese²⁹ (la Rete costituisce l’obiettivo e l’arma), sia per svolgere tutte le attività inerenti alla gestione e alla sopravvivenza dell’organizzazione terroristica, quali la propaganda, la raccolta di fondi, la comunicazione, il proselitismo e il reclutamento³⁰ (la Rete rappresenta un supporto).

Diversamente da quanto sostenuto da alcuni autori³¹, i quali ritengono che qualsiasi utilizzo di Internet e delle tecnologie informatiche da parte delle organizzazioni terroristiche costituisca per se un atto di cyberterrorismo, ai fini dell’attuale trattazione, per “terrorismo informatico” si intende «[…] la convergenza del concetto di cyberspazio e di terrorismo; generalmente è inteso come l’attacco illegale e/o minaccia di attacco contro i computer, le reti, e le informazioni in essi memorizzate, eseguito per intimidire o costringere un governo o la sua gente ad assoggettarsi a obiettivi politici o sociali. Inoltre, per qualificarsi come cyberterrorismo, un attacco dovrebbe essere caratterizzato da violenza contro persone o cose, o essere in grado di causare danni talmente ingenti, tali da generare paura. Sono da considerarsi esempi di attacchi gravi quelli che portano morte o lesioni, nonché esplosioni, incidenti aerei, contaminazione delle acque, o grave perdita economica. Analogamente, possono essere considerati gli attacchi contro le infrastrutture critiche, a seconda del loro impatto.»³²

Per qualificarsi come cyberterrorismo, dunque, un attacco dovrebbe causare violenza contro persone o proprietà fisiche, o quantomeno essere in grado di causare danni sufficienti a incutere un diffuso senso di paura tra la popolazione. È necessario puntare l’attenzione sull’impatto che le azioni terroristiche raggiungono e gli obiettivi colpiti: se attacchi contro le infrastrutture critiche potrebbero configurarsi come cyberterrorismo qualora gli effetti siano quelli sopra descritti, attacchi che danneggiano servizi non essenziali o comportano danni economici di piccola entità non dovrebbero essere considerati alla stessa stregua³³.

Nel corso della trattazione si è voluto evidenziare una distinzione essenziale. È importante, infatti, non confondere il fenomeno del cyberterrorismo vero e proprio (ossia la violenza fisica causata attraverso strumenti informatici nel cyberspace) con l’utilizzo di Internet, da parte di organizzazioni terroristiche, per finalità di terrorismo (cioè di coordinamento, raccolta fondi, comunicazione, proselitismo, etc.). Essi sono fenomeni palesemente diversi, infatti, un atto di cyberterrorismo, ha una sua specificità che va ben oltre la semplice presenza online dei gruppi terroristici. E se l’utilizzo della Rete, da parte di gruppi terroristici avviene giornalmente, eventi classificabili come cyberterrorismo ancora non se ne sono verificati.

§VI. I rapporti normativi intercorrenti tra cyberterrorismo e cybercrime³⁴

Sul piano del diritto penale sostanziale, non si rinviene una fattispecie legale che tipizzi in senso unitario il fenomeno del terrorismo cibernetico.

Dovendo dunque tentare di verificare l’astratta applicabilità delle disposizioni incriminatrici vigenti nel nostro ordinamento, appare preliminarmente necessario osservare che il cyberterrorismo è caratterizzato da alcune componenti fenomeniche comuni sia alla criminalità informatica che al terrorismo tradizionale.

Partendo dalla definizione poc’anzi riportata, che vede nel cyberterrorismo la convergenza tra spazio cibernetico e terrorismo, può rilevarsi che il fenomeno de quo copre da un lato le cc.dd. politically motivated hacking operations perpetrate per cagionare gravi danni alle istituzioni, all’economia, alla vita e all’integrità fisica³⁵.

Il disvalore del fenomeno sembra comunque essere connotato, da un lato, dall’atteggiamento psicologico – di natura politica o ideologica o culturale o religiosa o, in ogni modo, valoriale – e nemicale, che può assumere la qualifica di una finalità determinata; dall’altro lato, la direzione offensiva del “fatto” sembra avere come obiettivo la società civile incolpevole o comunque estranea al “conflitto”.

La combinazione di questi “fattori”, ossia la “convergenza” sopra citata, influenzerebbe le scelte di politica criminale, di sicurezza interna e di politica estera³⁶.

In Europa, con l’entrata in vigore del Trattato di Lisbona sia la “criminalità informatica” che il “terrorismo” sono stati inseriti nell’art. 83, par. 1, TFUE fra i fenomeni criminosi di natura grave e transnazionale su cui l’Unione Europea ha competenza penale.

In tali ambiti vi sono già concrete iniziative, in particolare la direttiva 2013/40/UE del 12 agosto 2013 relativa agli attacchi contro i sistemi di informazione, che sostituisce la decisione quadro 2005/222/GAI, e la direttiva 2017/541/UE del 15 marzo 2017 sulla lotta contro il terrorismo che sostituisce la decisione quadro 2002/475/GAI e che modifica la decisione 2005/671/GAI.

Quest’ultima esprime, almeno in parte, quella convergenza fra spazio cibernetico e terrorismo, nonché la consapevolezza che i gruppi terroristici hanno mostrato di saper utilizzare expertise nell’uso della Rete e delle nuove tecnologie per propaganda, reclutamento, condivisione di conoscenze, pianificazione e coordinamento delle operazioni.

Per tali motivi, essenziale per il contrasto delle condotte di promozione online del terrorismo, è poi la disposizione contenuta nell’art. 21 della direttiva che pone a carico degli Stati l’obbligo di rimuovere alla fonte i contenuti online che costituiscono una pubblica provocazione per commettere un reato di terrorismo. Tale meccanismo costituisce, infatti, un mezzo efficace per contrastare il terrorismo in Internet e si sostanzia nell’adozione delle misure necessarie per assicurare la tempestiva rimozione dei contenuti online, ospitati nel proprio territorio, attraverso i quali viene perpetrato il reato di pubblica provocazione ovvero, ove ciò non sia possibile, per bloccare l’accesso a tali contenuti agli utenti di Internet³⁷.

Quanto, invece, alla “fornitura di addestramento”, essa si sostanzia nell’ atto intenzionale «[…] di impartire istruzioni per la fabbricazione o l’uso di esplosivi, armi da fuoco o altre armi o sostanze nocive o pericolose ovvero altre tecniche o metodi specifici al fine di commettere o contribuire alla commissione di un reato di terrorismo» che sia sorretto dalla «consapevolezza che le competenze trasmesse» sono destinate a essere utilizzate allo scopo di commettere (o contribuire alla commissione) di un reato di terrorismo. La ratio di tale disposizione risiede soprattutto, nell’intento di «contrastare la diffusione di istruzioni e manuali (online) ai fini dell’addestramento e della pianificazione di attentati e più specificatamente la diffusione (attraverso Internet) di informazioni sulle risorse e i metodi terroristici, che funge in tal modo da “campo di addestramento virtuale”»³⁸.

Le modalità di commissione di un attacco terroristico, dunque, possono essere molteplici e possono utilizzare sia mezzi più sofisticati (come, ad es., strutture logiche e connessioni complesse per realizzare attacchi informatici contro infrastrutture sensibili dello Stato), che strategie e modalità di esecuzione “tradizionali” (si pensi alla distruzione materiale dell’edificio in cui sono conservati servers e banche dati “sensibili” o “strategiche” o di “pubblica utilità”).

La multiforme dimensione del cyberterrorismo, quindi, rende potenzialmente applicabili al fenomeno le fattispecie penali in materia di reati informatici.

A tal riguardo, sul piano sovranazionale, è bene ricordare che la Convenzione di Budapest sul cybercrime del 2001, ratificata nel nostro tessuto normativo con la legge 18 marzo 2008 n. 48³⁹, si applica non solo ai reati informatici in senso stretto, da essa previsti, ma anche a tutti i reati, per il cui accertamento è necessaria la raccolta della prova informatica ex art. 14 della Convenzione.

Da un lato, essa ha ampliato l’area di punibilità anche attraverso una moltiplicazione di fattispecie⁴⁰ mentre, dall’altro lato, non ha apportato modifiche alla formulazione originaria di altre norme, mantenendo l’incriminazione anche di condotte non previste dalle fonti sovranazionali ed europee⁴¹, ovvero ha inciso sulla struttura di singole fattispecie, inserendo nuovi elementi⁴².

De jure condito, al fenomeno cyberterrorismo o ad una delle sue componenti fenomeniche, nelle accezioni sopra riportate, possono trovare applicazione diverse fattispecie incriminatrici. Si pensi, ad esempio, ad un attacco informatico diretto a deteriorare, cancellare, alterare o sopprimere informazioni, dati o programmi informatici utilizzati dallo Stato o da un altro ente pubblico o a essi pertinenti, o comunque di pubblica utilità, che integrerebbe il reato di cui all’art. 635-ter c.p. oppure ad un fatto diretto a distruggere, deteriorare o rendere inservibile, anche solo in parte, un sistema informatico di pubblica utilità o a ostacolarne gravemente il funzionamento, che sarebbe punito dall’art. 635-quinquies c.p.

Un’ulteriore ipotesi potrebbe riguardare l’accesso abusivo a sistemi informatici, anche a fini di spionaggio ovvero per sottrarre informazioni strategiche per la sicurezza dello Stato, che configurerebbe quantomeno il reato di cui all’art. 615-ter c.p.

In caso di attività preparatorie, quali potrebbero essere la consegna o la messa a disposizione di software malevoli al fine di danneggiare illecitamente sistemi informatici, dati o informazioni, ovvero l’intercettazione illecita di comunicazioni informatiche o telematiche fra sistemi per acquisire dati strategici sulla configurazione delle infrastrutture logiche target o, ancora, l’installazione di applicazioni atte ad intercettare tali comunicazioni, potrebbero trovare applicazione, rispettivamente, gli artt. 615-quinquies, 617-quater e 617-quinquies c.p. Se l’intercettazione illecita o l’installazione di apparecchiature atte a intercettare avessero a oggetto le comunicazioni fra persone troverebbero applicazione anche i reati informatici c.d. “comuni”, previsti dagli artt. 615-bis, 617 e 617-bis c.p.

Non sembrano sussistere, dunque, particolari o gravi lacune, in quanto il nostro ordinamento, almeno nel settore della criminalità informatica, appare oggi dotato di alcuni minimi strumenti di prevenzione e di contrasto di attività che possono essere inquadrate nel fenomeno cyberterrorismo.

Un possibile intervento legislativo potrebbe eventualmente riguardare l’impianto sanzionatorio rispetto a fatti particolarmente gravi realizzati con “finalità di terrorismo”.

Ad esempio, l’accesso abusivo a sistemi informatici, nella ipotesi aggravata, qualora riguardi sistemi informatici o telematici di interesse militare o relativi all’ordine pubblico o alla sicurezza pubblica, o alla sanità o alla protezione civile, o comunque di interesse pubblico, è punito con la pena della reclusione, rispettivamente da uno a cinque anni e da tre a otto anni. In verità si tratta di attività che mettono in pericolo sistemi sensibili e critici dello Stato, che risultano essere fondamentali nella società dell’informazione in settori strategici strettamente connessi alla vita e al mantenimento della “pace” sociale.

L’irrazionalità sanzionatoria è maggiormente evidente se si raffronta tale cornice edittale con quelle previste, ad esempio, per la persona arruolata (ex art. 270-quater c.p.) o in casi di autoaddestramento (ex art. 270-quinquies c.p.)

Il medesimo ragionamento potrebbe riguardare anche i fatti puniti dagli artt. 635-ter e 635-quinquies c.p., in particolare quando deriva, rispettivamente, la distruzione, il deterioramento, la cancellazione, l’alterazione o la soppressione delle informazioni, dei dati o dei programmi informatici, e la distruzione o il danneggiamento del sistema informatico o telematico di pubblica utilità ovvero se questo è reso, in tutto o in parte, inservibile. In entrambi i casi la pena è della reclusione da tre a otto anni.

§VII. Possibile applicabilità della legislazione antiterrorismo  al cyberterrorismo?

La disciplina interna in materia di antiterrorismo, con particolare riferimento agli interventi normativi del 2015 e del 2016, può trovare applicazione, pur con non poche difficoltà ermeneutiche, a fatti riconducibili al cyberterrorismo.

Partendo dal nuovo disposto dell’art. 270-quinquies c.p., come novellato dalla legge 17 aprile 2015 n. 43, si può rilevare che il trattamento sanzionatorio è rivolto tanto a chi addestra o comunque fornisce istruzioni sulla preparazione o sull’uso di materiali esplosivi, di armi da fuoco o di altre armi, di sostanze chimiche o batteriologiche nocive o pericolose, nonché di ogni altra tecnica o metodo per il compimento di atti di violenza ovvero di sabotaggio di servizi pubblici essenziali, con finalità di terrorismo, anche se rivolti contro uno Stato esterno, un’istituzione o un organismo internazionale, quanto alla persona addestrata, nonché alla persona che avendo acquisito, anche autonomamente, le istruzioni per il compimento di atti di cui al primo periodo, pone in essere comportamenti univocamente finalizzati alla commissione delle condotte di cui all’articolo 270-sexies. Inoltre, le pene previste dal presente articolo sono aumentate se il fatto di chi addestra o istruisce è commesso attraverso strumenti informatici o telematici⁴³.

La fattispecie risulta, dunque, astrattamente applicabile sia a colui che con finalità di terrorismo, attraverso la Rete e le sue infinite potenzialità fornisce informazioni (si pensi ai tutorial inoltrati dall’addestrante all’addestrato contenenti istruzioni su come entrare nel dark web per acquistare armi), sia a chi, tramite ricerche nella Rete o nel dark web, assume del know-how (si pensi alle informazioni inerenti alla costruzione di esplosivi autoprodotti, cc.dd. home made explosives⁴⁴), se pone in essere quei comportamenti univocamente finalizzati alla commissione delle condotte di cui all’art. 270-sexies.

Secondo una parte della dottrina⁴⁵, tale ultima “clausola” dovrebbe evitare la punibilità di fatti diretti alla mera acquisizione di informazioni.

Ma la tesi potrebbe apparire in contrasto con le intenzioni del legislatore di sanzionare l’autoaddestramento, in quanto si punirebbe il compimento di condotte con finalità di terrorismo, rispetto alle quali proprio il reperimento delle istruzioni rappresenterebbe un antefatto⁴⁶.

La fattispecie de qua, infatti, fa riferimento a qualsiasi “comportamento” (avendo acquisito, anche autonomamente, le istruzioni per il compimento degli atti di cui al primo periodo, ossia anche ogni altra tecnica o metodo per il compimento di atti di violenza ovvero di sabotaggio di servizi pubblici essenziali) soggettivamente rivolto a commettere delitti con finalità di terrorismo, consentendo l’incriminazione di qualsiasi atto preparatorio, pur remoto, quando sussista tale fine⁴⁷.

Poiché la finalità di terrorismo di cui all’art. 270-sexies c.p. è notoriamente ampia e indeterminata, ciò implica un’espansione della punibilità, finanche della raccolta di informazioni nel web o tramite il web – se univocamente finalizzata alla commissione delle condotte di cui all’art. 270-sexies – che andrebbe a confermare, invece, l’impressione di una esasperazione repressiva⁴⁸.

La stessa propaganda di viaggi attraverso Internet (in forum, blog, siti web), o l’organizzazione (che può realizzarsi interamente in Internet), anche in Paesi in cui vi è la certezza di un legame con gruppi terroristici, costituiscono di per sé una condotta neutra. Esse assumono rilevanza penale solo se sono finalizzate al compimento delle condotte con finalità di terrorismo (ex art. 270-quater1 c.p.).

L’esigenza di un accertamento concreto impegna il giudicante in un compito e una attività complessi, soprattutto se il legislatore sanziona tali fatti fuori dei casi di cui all’art. 270-bis o, come nell’ultima ipotesi riportata, fuori dei casi di cui agli artt. 270 bis e 270-quater c.p. È apprezzabile lo sforzo volto a ricercare una maggiore selettività a fronte di condotte potenzialmente neutre, rispetto alle quali la “finalità di terrorismo” rischierebbe di assumere un ruolo assorbente⁴⁹.

A ciò si aggiunge la questione relativa alla scelta del legislatore di sanzionare la condotta della persona che ha acquisito, infatti la fattispecie può classificarsi, sul piano sistematico, fra i computer crimes cc.dd. impropri⁵⁰, cioè quei reati comuni che è possibile porre in essere anche mediante un elaboratore, che rappresenta, in tali casi, un mero strumento, che ha ampliato i modi di realizzazione di reati, già esistenti. Ne consegue che l’interpretazione della condotta di acquisizione debba essere adattabile anche, ma non solo, al contesto tecnologico, data, infatti, la possibilità di poter reperire informazioni, per così dire “pericolose”, ad es., attraverso manuali e riviste specializzate. Se la voluntas del legislatore era quella di meglio delimitare l’area di punibilità, la condotta di acquisizione costituisce un antefatto che, di per sé, non assume rilevanza penale, se non nel momento in cui vengono posti in essere quei comportamenti univocamente finalizzati alla commissione delle condotte di cui all’articolo 270-sexies.

Può, dunque, concludersi che la mera detenzione o archiviazione continuata nella memoria di un qualsiasi elaboratore informatico di informazioni relative, a titolo di esempio, a un dispositivo esplodente o sull’utilizzo di armi da fuoco, o la cronologia di pagine web, che rimandano a quelle informazioni, non assumono alcuna rilevanza penale. Tutt’al più possono costituire indizio di un comportamento “pericoloso”, ma non sufficienti a integrare gli elementi costitutivi della fattispecie ex art. 270-quinquies c.p.

Lo stesso art. 270-bis c.p. punisce chiunque promuove, costituisce, organizza, dirige o finanzia associazioni, che si propongono il compimento di atti di violenza con finalità di terrorismo o di eversione dell’ordine democratico.

Nell’attuale società dell’informazione soprattutto la promozione e l’organizzazione di tali associazioni avviene online con infinite soluzioni tecniche, anche tramite social networks. Ovviamente la struttura organizzativa deve presentare un grado di effettività tale da rendere possibile l’attuazione del progetto criminoso e da giustificare la valutazione legale di pericolosità, correlata alla idoneità della struttura al compimento della serie di reati per la cui realizzazione l’associazione è stata istituita. In tal caso le tecnologie dell’informazione e della comunicazione possono costituire uno dei molteplici mezzi per la commissione del reato⁵¹.

§VIII. Riflessioni conclusive

Come si è avuto modo di vedere il cyberterrorismo si identifica come un fenomeno ibrido, al quale è applicabile, in Italia, sia la disciplina sui reati informatici, che la disciplina antiterrorismo. Questa offre una risposta di tipo preventivo, mediante un arretramento della soglia di rilevanza penale, sanzionando così condotte meramente prodromiche.

Risulta, pertanto, appropriata la considerazione della dottrina, di cui ci si è avvalsi nel corso della redazione di questa relazione finale; Flor, infatti, ritiene che la disciplina italiana, se applicata al fenomeno cyberterrorismo, sembra però sconfinare verso una demonizzazione della rete e degli strumenti informatici, che rischia di limitare in modo sproporzionato le libertà individuali costituzionalmente protette.

Nel contesto delle scelte politico-criminali è in gioco il rapporto fra la sfera dei diritti e delle libertà individuali e quella dei poteri statuali sanzionatori. Il diritto penale, se da un lato protegge quei beni giudici meritevoli di tutela, dall’altro lato incide su quegli stessi beni, che intende tutelare: potrebbe definirsi un’arma a doppio taglio, che sottolinea il problema della stessa legittimazione del potere punitivo.

In un contesto siffatto il giudice assume, in tal modo, un ruolo fondamentale per evitare il pericolo, che il diritto penale del fatto si trasformi in diritto penale d’autore e che l’arretramento della soglia di punibilità porti allo sconfinamento verso la repressione di forme di manifestazione del pensiero e verso la punibilità non più del reato, ma del reo e, nello specifico, per “quello che è” non per “quello che fa”.

Un’ulteriore complicazione è fornita dalle scelte politico-criminali, timorose dinnanzi a un universo tecnologico per la maggior parte ancora di difficile comprensione da parte del legislatore, dell’interprete e del giurista.

La scienza e il sapere tecnologico dovrebbero influenzare il diritto in un’ottica di interazione reciproca, per la comprensione dei diversi linguaggi. Oggi tuttavia la complessità dei linguaggi tecnico-scientifici determina per il legislatore e il giudice una condizione di inferiorità cognitiva, che nel peggiore dei casi si traduce in un approccio casistico culturalmente arretrato rispetto al livello di progresso tecnologico raggiunto.

Un più efficace contrasto al fenomeno cyberterrorismo necessita del superamento di tale limite.

In conclusione, nel corso del presente scritto si è cercato di dimostrare l’esistenza dei dubbi circa la reale esistenza del fenomeno cyberterrorismo. Attualmente, infatti, per quanto le organizzazioni terroristiche si dimostrino determinate a lanciare cyberattacchi contro i loro nemici, ad oggi, la loro capacità di provocare notevoli incidenti, guasti o distruzioni appare limitata⁵².

Il dibattito su cyberspazio e cyberterrorismo, infatti, è ad oggi caratterizzato da due schieramenti opposti: i pro-panico e gli anti-allarmismo. Per alcuni, il cyberterrorismo è una minaccia reale, paragonabile a un imminente “digital Pearl Harbor”; per altri rappresenta uno “specchietto per le allodole”, poiché non si è ancora concretizzato in danni a persone o proprietà fisiche e di conseguenza non è da considerarsi un atto terroristico sic et simpliciter, teso a incutere senso di paura tra la popolazione. La risoluzione del problema (a livello nazionale e internazionale) sembra essere tanto complicata quanto il termine stesso: un concetto in evoluzione che sfugge alla definizione. 

Nel mondo globalizzato, in cui si vive, il problema della sicurezza dello spazio cibernetico ha raggiunto una connotazione strategica assolutamente comparabile con quella della protezione dello spazio fisico. Tale problema rappresenta un fattore prioritario per l’agenda nazionale e mondiale a causa del notevole incremento di minacce sempre più imprevedibili e destabilizzanti, che non fanno capo ad un singolo Stato e alle quali è necessario rispondere in modo non convenzionale.

Il cyberterrorismo, caratterizzandosi per alcuni aspetti insiti al proprio interno quali la globalità, la tecnica, la transnazionalità e l’anonimato, sotto cui si cela, richiede fonti di investimento da parte dei principali attori mondiali, considerando che Internet è ormai definibile come Infrastruttura Critica per excellance.

Gli Stati non possono, dunque, disinteressarsi di quanto avviene nel cyberspazio e, anzi, devono provvedere ad attrezzarsi, anche in questa nuova dimensione, di strumenti di protezione da attacchi, che possono cagionare danno o pregiudizio al libero ed ordinato svolgersi delle attività umane e all’esercizio dei primari diritti di cittadinanza. In ultima analisi, gli Stati sono oggi chiamati ad ideare, pianificare e implementare misure di difesa, così come hanno sempre fatto, per difendere gli spazi reali.

---

 BIBLIOGRAFIA

• Batacchi P., L’evoluzioni dei conflitti moderni, Ricerca Ce.Mi.S.S., 2010;

• Beck U., Conditio Humana. Il rischio nell’età globale, Laterza, Bari, 2008;

• Bosco F., Cyberterrorismo e cyberwarfare: profili giuridici e analisi della casistica a livello internazionale, in Cassano G., Scorza G., Vaciago G. (a cura di), Diritto dell’Internet. Manuale operativo. Casi, legislazione, giurisprudenza, Cedam, Padova, 2012;

• Campagnoli M. N., I nuovi volti del terrore. Dal terrorismo islamico al cyberterrorismo, Key, Vicalvi, 2017;

• Carli C., Cyber warfare vs leggi umanitarie, in Informazioni della Difesa, 5/2013;

• Cavaliere A., Considerazioni critiche intorno al D.l. antiterrorismo n. 7 del 18 febbraio 2015, in Diritto Penale Contemporaneo, fasc. 2, 2015;

• Collin B., The future of cyberterrorism, in Crime and Justice International, marzo 1997;

• Denning D. E., Activism, hacktivism, and cyberterrorism: the Internet as a tool for influencing foreign policy, Georgetown University, 2000;

• Desouza, K. C., Hensgen, T., Semiotic emergent framework to address the reality of cyberterrorism, in Technological Forecasting and Social Change, Vol. 70, N. 4, 2003;

• Fletcher G. P. The indefinable concept of terrorism, in J. Int’l Crim. Just., 2006;

• Flor R., Cyber-terrorismo e Diritto Penale in Italia, in Diritto Penale e Modernità. Le nuove sfide fra terrorismo, sviluppo tecnologico e garanzie fondamentali, Atti del convegno Trento 2 e 3 ottobre 2015, Università degli Studi di Trento, Quaderni della facoltà di Giurisprudenza, Fornasari G., Wenin R. (a cura di), Trento, 2017;

• Gori U., Intelligence e terrorismo nel sistema internazionale post-bipolare, in Osservatorio dell’Istituto di Studi Militari Marittimi, Anno XVI – n.138, 2006;

• Lay S., Pascarella M., Hacktivismo, cyberterrorismo e misure di contrasto, The Alpha Institute of Geopolitics and Intelligence, Roma, 2016;

• Levy P. Il virtuale, Raffaello Cortina Editore, Milano, 1997;

• Lupària L. (a cura di), Sistema penale e criminalità informatica, Giuffrè, Milano, 2009;

• Mele S., Privacy ed equilibri strategici nel cyber-spazio, in Diritto, Economia e Tecnologie della Privacy, anno I, numero unico, 2010.

• Militello V., Terrorismo e sistema penale: realtà, prospettive, limiti, in Diritto Penale Contemporaneo, 1/2017;

• Militello V., The foreign fighters: the enemy within, lezione tratta dal corso “Jean Monnet Module 2016-2018 Mobility, Security and the New Media. Focus 2017: Security”, dipartimento di Giurisprudenza, Università degli Studi di Palermo, 19 maggio 2017;

• Pelissero M., Contrasto al Terrorismo Internazionale e il Dritto Penale al Limite, in Gli speciali di Questione Giustizia, settembre 2016;

• Pisano V., L’intervento militare quale moltiplicatore del terrorismo globale? Apporto e limiti delle forze armate e dell’intelligence militare nella lotta contro il terrorismo, Ricerca Ce.Mi.S.S., 2008;

• Rosenau J. N., Study of world politics: volume II: globalization and governance, Routledge, London-New York, 2006;

• Sanfelice di Monteforte F., ONU, NATO e UE contro il terrorismo, in Gori U., Lisi S. (a cura di), Cyber Warfare 2016. Dalle strategie e tecnologie cyber contro il terrorismo all’IOT e Impresa 4.0, FrancoAngeli, Milano, 2017;

• Santini S., L’Unione Europea compie un nuovo passo nel cammino della lotta l terrorismo: una prima lettura della Direttiva 2017/541/UE, in Diritto Penale Contemporaneo, fasc. 7-8/2017;

• Spena A. Lotta al terrorismo e diritto penale del nemico, lezione tratta dal corso “Jean Monnet Module 2016-2018 Mobility, Security and the New Media. Focus 2017: Security”, dipartimento di Giurisprudenza, Università degli Studi di Palermo, 5 maggio 2017;

• Talihärm A. M., Cyberterrorism: in theory or in practice?, in Defence Against Terrorism Review, vol. 3, n. 2, 2010;

• United Nations Office on Drugs and Crime, The use of internet for terrorist purpose, United Nations, New York, 2012;

• Zampetti R., Sicurezza nazionale e spazio cibernetico. Una minaccia “invisibile” nell’era digitale, in Archivio Disarmo, SIS N. 1/2015;

• Ziccari G., Informatica giuridica. Manuale breve, Giuffré Editore, Milano, 2006.

SITOGRAFIA

• https://www.cesi-italia.org/articoli/145/dal-riciclaggio-al-cyberlaundering;

• https://eur-lex.europa.eu/legal-content/IT/TXT/?uri=celex:32008L0114;

• https://www.foreignaffairs.com/articles/united-states/2010-09-01/defending-new-domain;

• http://oldsite.nautilus.org/archives/info-policy/workshop/papers/denning.html;

• https://www.sicurezzanazionale.gov.it/sisr.nsf/wp-content/uploads/2014/02/quadro-strategico-nazionale-cyber.pdf;

• https://www.sunzi.it/cap-3;

• https://www.youtube.com/watch?v=CbiMFGAAbug;

• https://it.wikipedia.org/wiki/Battaglia_di_Vienna.

---