Data don't breach!

Interessante esperimento quello che negli USA ha portato a creare un database contenente informazioni relative ad un centinaio di consumatori inserendo dati inventati: nome, residenza, e-mail, telefono. Un’anagrafica fittizia ma studiata con attenzione affinché risultasse credibile anche ad un occhio più attento: nomi ricorrenti negli USA, indirizzi e-mail sensati rispetto al nome, numeri di telefono che corrispondono alla zona di residenza, e così via. Inoltre, i tecnici della FTC hanno inserito, per ciascuna stringa individuale, dati relativi ad uno tra tre tipici strumenti di pagamento elettronico: carta di credito, portafoglio bitcoin, ed un online payment service non meglio specificato (potrebbe trattarsi di Paypal o provider simile).Ci sono voluti solo 9 minuti prima che i malfattori che frequentano la rete provassero ad impiegare per fini illegali le identità altrui. In totale, sono stati effettuati 1.200 tentativi di utilizzo illecito dei dati. La Polizia Postale italiana dice che i furti d’identità spesso non vengono scoperti, o magari lo sono solo dopo 12-18 mesi. Perché spesso non ce ne accorgiamo nemmeno: entrano nel nostro pc, nel nostro profilo social e non lo vediamo. Una versione evoluta di ricerca credenziali è il vishing, in cui la mail ti chiede, per fregarti meglio, di chiamare un finto call center, che ti chiederà a voce quei dati. I criminali selezionano le vittime e ne osservano le abitudini, imparano chi sono e cosa fanno tramite tutte le informazioni che lasciano sui social network. Così, quando mandano la mail, sono più credibili. Come il trashing (sì, potrebbero frugare nella carta che butti al riciclo e trovare tutti i tuoi dati bancari su quell’estratto conto che hai soltanto appallottolato…). Il fenomeno del c.d. “identity theft”, ovvero del furto di identità in rete è per lo più riconducibile a due principali fattori: la errata custodia delle credenziali di autenticazione e la creazione di un account falso da parte di un terzo (c.d. "fake").

Il problema sta nel fatto che il social network, al momento della registrazione, non fornisce all'utente alcuno strumento in grado di potergli consentire una immediata capacità di individuazione dell'illecito, e quando ne viene a conoscenza, è spesso ormai troppo tardi.

 Pur non corrispondendo “materialmente” ad una sostituzione della persona, in mancanza di una fattispecie incriminatrice specifica, il furto di identità in rete viene ricondotto dalla giurisprudenza di legittimità nell'ambito del reato di cui all'art. 494 c.p., relativo alla “sostituzione di persona Sul punto, la Cassazione si è pronunciata più volte ritenendo che la condotta di chi crea ed utilizzi account o caselle di posta elettronica servendosi dei dati anagrafici di un terzo soggetto, inconsapevole, è in grado di indurre in errore, non il fornitore del servizio, bensì l'intera platea di utenti, i quali, convinti di interloquire con un soggetto, si troveranno ad interagire, invece, con una persona diversa da quella che a loro viene fatta credere, integrando così la fattispecie di reato prevista dalla norma (Cass. Pen. n. 46674/2007). L'applicabilità dell'art. 494 c.p. ricorre altresì laddove viene creato un preciso profilo al quale è associata una reale immagine della persona offesa. A tal proposito, gli Ermellini hanno ritenuto integrata la figura di reato in esame nella condotta del soggetto che realizzi e si avvalga di un determinato profilo su un social network che riproduca la foto della vittima (persona offesa) ascrivendo alla stessa una descrizione degradante e, attraverso tale identità, utilizzi il sito comunicando con gli altri iscritti e condividendone i contenuti (Cass. Pen. n. 25774/2014).Giova osservare, da ultimo, che il legislatore, con d.l. n. 93/2014 (convertito dallal. n. 119/2014) ha introdotto, per la prima volta, nel codice penale, il concetto di “identità digitale”.  Infatti, l'art. 9 del citato decreto, rubricato  “Frode informatica commessa con sostituzione di identità digitale” ha modificato l'art. 640-ter c.p., con l'inserimento di un terzo comma, ove il legislatore ha previsto la pena della reclusione da due e sei anni e la multa da 600,00 euro a 3.000,00 euro nel caso in cui il fatto sia commesso mediante furto o indebito utilizzo dell'identità digitale in danno di uno o più soggetti; trattasi di un delitto per il quale è prevista la querela della persona offesa salvo che ricorra l'ipotesi di cui al 2° o 3° comma dell'art. 640-ter ovvero altra circostanza aggravante.

Emblematica in tal senso è stata la vicenda che aveva coinvolto una donna di Trieste che, subito dopo essere stata licenziata dalla sua datrice di lavoro, ha inteso vendicarsi inserendo le iniziali del nome ed il numero di telefono della stessa in una chat per incontri a sfondo sessuale, facendole così ricevere, anche in ore notturne, molteplici chiamate e messaggi provenienti da vari utenti della chat interessati ad incontri o a conversazioni di tipo erotico. Condannata per il reato di sostituzione di persona, l'autrice del "furto" giungeva fino in Cassazione, ma i Giudici del Palazzaccio rigettavano il ricorso in quanto "l'inserimento in una chat telematica di incontri personali, del numero di utenza cellulare di altra persona associato ad un nickname pure a costei riferibile, al fine di danneggiarla facendola apparire sessualmente disponibile, integra il reato di cui all'art. 494 c.p., nella modalità dell'attribuzione di un falso nome". Nelle motivazioni della sentenza in esame, il Giudice evidenzia una riflessione in merito alla natura dalla norma applicata. La tutela fornita dall'art. 494 del Codice Penale, infatti, dovendo intervenire in presenza di "inganni relativi alla vera essenza di una persona o alla sua identità o ai suoi attributi reali", potendo questi per la loro collocazione in Rete evidentemente oltrepassare la ristretta cerchia di uno specifico destinatario, non è rivolta in modo esclusivo alla fede privata e alla tutela civilistica del diritto al nome, ma ha ad oggetto in linea più ampia la pubblica fede. Ora lo sai.

Io PECco!

Chi di voi è senza peccato, scagli per primo la pietra o invii una pec!

La Posta Elettronica Certificata (PEC) è il mezzo informatico che consente di inviare e-mail con valore legale equiparato ad una raccomandata con ricevuta di ritorno, come stabilito dalla vigente normativa (DPR 11 Febbraio 2005 n.68). Attualmente la PEC non è uno standard internazionale ma, un insieme di regole e norme italiane. Inoltre esistono altre tecniche di firma digitale e di tracciamento della consegna analoghe alla PEC ma già da anni disponibili per le e-mails tradizionali ed utilizzate per lo scambio di documenti a livello internazionale previo accordo tra mittente e destinatario (come ad esempio il sistema RFC 3798).Il 19 gennaio 2009, infatti, l'art. 16 del D.L. n. 185 del 2008 ha subito, in fase di conversione in legge, modifiche rilevanti che rendono non più obbligatoria la PEC per cittadini, liberi professionisti e aziende, qualora essi abbiano a disposizione un analogo indirizzo di posta elettronica basato su tecnologie che certifichino data e ora dell'invio e della ricezione delle comunicazioni ed integrità del contenuto delle stesse, garantendo l'interoperabilità con analoghi sistemi internazionali.

La PEC, dunque, pare nata già vecchia e comunque estranea al circuito internazionale: l’ennesimo intervento novellistico del legislatore se ne è finalmente accorto. Inoltre, per quel che più conta ai fini dell’amministrazione della giustizia la PEC ha la sua veridicità nel documentare in modo certo ed inequivocabile la spedizione/invio, con il riscontro, ricevuta/consegna. La PEC si perfeziona solo se sono presenti tutti i requisiti e le modalità esposte nelle grafiche rappresentate. Se c’è una discrepanza, la stessa non ha più validità legale.I maggiori problemi sono la sincronizzazione degli orari, la gestione delle ricevute invio/ricezione e l’appaiamento in orario consequenziale di tutte le ricevute (e quindi non solo di quelle invio/ricezione) come da codifica.

Per gli Avvocati, avere un indirizzo PEC è un obbligo sancito dall’art. 16 comma 7 della L. 2/2009; tale indirizzo deve poi essere anche comunicato al proprio Consiglio dell’Ordine, il quale, a sua volta, provvede a comunicarlo al Ministero della Giustizia attestandolo come unico indirizzo utilizzabile per le comunicazioni da e verso i Tribunali. Il Ministero della Giustizia provvede a sua volta ad inserire tale indirizzo PEC in un registro informatico, consultabile telematicamente chiamato RegInde. L’indirizzo PEC che risulterà comunicato all’Ordine, diventerà dunque l’unico domicilio elettronico di riferimento per l’avvocato nel Processo Telematico (ricezione dei biglietti di cancelleria telematici e deposito degli atti telematici).
L’avvocato sprovvisto di PEC dovrà recarsi in Tribunale presso la/e Cancelleria/e per verificare l’eventuale presenza di comunicazioni a lui indirizzate e relative ai procedimenti nei quali risulti costituito quale difensore di parte.

In materia penale, dalla lettura di tali testi normativi emerge la scelta del mezzo telematico come strumento "normale" per la notifica di atti inerenti a procedimenti penali nei confronti di persona diversa dall'imputato, ivi compreso il suo difensore. Tuttavia, come risulta dal combinato disposto dei commi 1 e 2 dell'art. 51, l'impiego di questa specifica modalità veniva ad essere subordinata all'emanazione, ad opera del Ministro della Giustizia, di un decreto ministeriale, chiamato ad individuare gli Uffici giudiziari dotati di adeguati servizi di comunicazione. In attuazione di quest'ultima previsione era stato emanato, in data 12 settembre 2012, apposito decreto del Ministero della Giustizia. Tale quadro normativo è profondamente mutato per effetto del D.L. 18 ottobre 2012, n. 179, pubblicato nella Gazzetta Ufficiale il 19 ottobre 2012, n. 45, e in vigore dal successivo 20 ottobre, convertito con modificazioni in L. 17 dicembre 2012, n. 221. Con tale previsione si torna a disporre che, per quanto concerne i procedimenti penali, le notifiche a soggetti diversi dall'imputato sono effettuate via P.E.C. dagli Uffici giudiziari individuati da un apposito decreto del Ministro della Giustizia.Tuttavia, contrariamente a quanto accaduto per i procedimenti civili, non è stata inserita alcuna norma transitoria specificamente dedicata a quegli Uffici per i quali il suddetto decreto era già stato emanato sotto la vigenza del D.L. n. 112 del 2008.Infine è intervenuto l'art. 1, comma 19, punto 1, lett. a) e b), della L. 24 dicembre 2012, n. 228, che ha inserito nell’art. 16, comma 9, del D.L. n. 221 una nuova lett. c-bis), che prevede che le disposizioni che qui interessano (commi da 4 a 8) “acquistano efficacia a decorrere dal 15 dicembre 2014”.La questione giunge pertanto davanti alle SS.UU. che risolvono i dubbi riconoscendo validità legale alle notifiche via pec eseguite al difensore anche prima  del 15 dicembre 2014; qualora gli Uffici fossero già stati autorizzati con decreto ministeriale.

In ambito civilistico, l’obbligo di indicare l’indirizzo di posta elettronica certificata esonera l'avvocato dall’elezione di domicilio quando si trova a dover patrocinare una causa fuori dalla circoscrizione del tribunale cui è assegnato .Lo hanno stabilito le Sezioni Unite della Cassazione, con la sentenza 20 giugno 2012, n. 10143. La Suprema Corte precisato che, stante il mutato contesto normativo che prevede ora in generale l'obbligo per il difensore di indicare, negli atti di parte, l'indirizzo di posta elettronica certificata, la domiciliazione ex lege presso la cancelleria dell'autorità giudiziaria innanzi alla quale è in corso il giudizio si applicherà soltanto se il difensore, non adempiendo all'obbligo prescritto dall'art. 125 c.p.c., non abbia indicato l'indirizzo di posta elettronica certificata comunicato al proprio ordine. Ovviamente, questo bellagio, fino alla prima richiesta copie dal fascicolo di causa dove ci troveremo davanti al bivio tra l’intraprendere un viaggio per nuovi lidi o (meglio) eleggere domicilio presso l’amico devoto domiciliatario.