Introduzione
Alcuni di voi probabilmente sanno che, come hobby, pubblico libri tradotti da lingue dell’Europa orientale in inglese e olandese – glagoslav.com. Una delle mie recenti pubblicazioni è il libro di un eminente avvocato russo, Anatoly Kucherena, che tratta in Russia il caso Snowden. L’autore ha scritto un libro basato sulla storia vera del suo cliente Edward Snowden – Time of the Octopus, diventato la base per la sceneggiatura del film hollywoodiano recentemente uscito “Snowden”, diretto da Oliver Stone, un importante regista americano.
Edward Snowden è diventato universalmente noto come l'informatore che ha fatto trapelare alla stampa una grande quantità di informazioni riservate sulle “attività di spionaggio” della CIA, della NSA e del GCHQ. Il film mostra, tra le altre cose, l'uso del programma “PRISM”, con cui la NSA poteva intercettare le telecomunicazioni su larga scala e senza la preventiva, specifica autorizzazione individuale del giudice. Molte persone considereranno queste attività come qualcosa di molto lontano da sé e le descriveranno come scene tipiche americane. La realtà giuridica in cui viviamo dimostra il contrario. Ciò che molti non sanno è che situazioni simili si verificano più spesso di quanto si pensi. Persino nei Paesi Bassi. Il 20 dicembre 2016, infatti, la Tweede Kamer ha approvato il disegno di legge piuttosto sensibile per la privacy “Computercriminaliteit III”.
Il disegno di legge Computercriminaliteit III, che deve ancora essere approvato dalla Eerste Kamer (il Senato olandese) e il cui fallimento molti già invocano, è volto a consentire agli agenti investigativi (polizia, Koninklijke Marechaussee e persino servizi di indagine speciali come la FIOD) di svolgere indagini (vale a dire copiare, osservare, intercettare e rendere non accessibili informazioni su) “azioni automatizzate” o “dispositivi automatizzati” (per i non addetti: dispositivi come computer e telefoni cellulari) al fine di individuare la criminalità grave. Secondo il governo, è necessario consentire agli agenti investigativi di – detto senza giri di parole – sorvegliare i cittadini, poiché nell’epoca moderna la criminalità è difficilmente tracciabile a causa dell’aumentata anonimizzazione digitale e della cifratura dei dati. Nella relazione illustrativa del disegno di legge, un documento di 114 pagine molto difficile da leggere, vengono descritti cinque obiettivi in base ai quali i poteri investigativi possono essere utilizzati:
Determinare e registrare determinati dati del dispositivo automatizzato o dell'utente, come l'identità o la posizione: più specificamente, ciò significa che gli agenti investigativi possono accedere segretamente a computer, router e telefoni cellulari per ottenere informazioni come un indirizzo IP o un numero IMEI.
Registrare i dati conservati nel dispositivo automatizzato: gli agenti investigativi possono registrare i dati necessari per “scoprire la verità” e risolvere reati gravi. Si pensi alla registrazione di immagini di pedopornografia e delle credenziali di accesso per community riservate.
Rendere inaccessibili i dati: diventa possibile rendere inaccessibili i dati con cui è stato commesso un reato per porre fine al reato stesso o prevenire reati futuri. Secondo la relazione illustrativa, in questo modo dovrebbe essere possibile combattere le botnet.
L'esecuzione di un ordine di intercettazione e registrazione di comunicazioni (riservate): a determinate condizioni, diventa possibile intercettare e registrare informazioni (riservate) con o senza la collaborazione del fornitore del servizio di comunicazione.
L'esecuzione di un ordine di osservazione sistematica: gli agenti investigativi ottengono la possibilità di determinare la posizione e seguire i movimenti di un sospettato, eventualmente installando da remoto software speciali sul dispositivo automatizzato.
Chi pensa che questi poteri possano essere utilizzati solo in caso di cybercriminalità rimarrà deluso. I poteri investigativi, come descritti al primo e agli ultimi due punti elenco di cui sopra, possono essere applicati a reati per i quali è consentita la custodia cautelare, ossia reati per i quali la legge prevede una pena minima di 4 anni. I poteri investigativi in relazione al secondo e al terzo obiettivo possono essere utilizzati solo per reati per i quali la legge prevede una pena minima di 8 anni. Inoltre, un decreto governativo (algemene maatregel van bestuur) può designare un reato commesso mediante un'azione automatizzata per il quale è di evidente interesse sociale che il reato venga interrotto e i responsabili siano perseguiti. Fortunatamente, l'intrusione in azioni automatizzate può essere autorizzata solo se il sospettato utilizza il dispositivo.
Aspetti giuridici
Poiché la strada per l'inferno è lastricata di buone intenzioni, un buon controllo non è mai un lusso superfluo. I poteri investigativi conferiti dal disegno di legge possono essere esercitati in via riservata, ma la richiesta di applicazione di tale strumento può essere presentata solo da un pubblico ministero (officier van justitie). È necessario il previo consenso di un giudice istruttore (rechter-commissaris) e la Centrale Toetsingscommissie del Pubblico Ministero valuta l'uso previsto dello strumento. Inoltre, come indicato in precedenza, esiste una limitazione generale all'applicazione dei poteri ai reati con una pena minima di 4 o 8 anni. In ogni caso, devono essere soddisfatti i requisiti di proporzionalità e sussidiarietà, nonché i requisiti sostanziali e procedurali.
Altre novità
L’aspetto principale del disegno di legge sulla criminalità informatica III è stato ora discusso. Tuttavia, ho notato che la maggior parte dei media, nei loro appelli d’emergenza, dimentica di trattare due ulteriori argomenti importanti del disegno di legge. Il primo è che il disegno di legge introduce anche la possibilità di utilizzare «adolescenti esca» per individuare i «groomer». I «groomer» possono essere considerati la versione digitale dei loverboy; cercano contatti sessuali digitali con minori. Inoltre diventa più semplice perseguire i destinatari di dati rubati e i venditori fraudolenti che omettono di consegnare i beni o i servizi che offrono online.
Obiezioni al disegno di legge Computercriminaliteit III
Il disegno di legge rappresenta potenzialmente un'enorme violazione della privacy dei cittadini olandesi. L'ambito di applicazione della legge è infinitamente ampio. Posso formulare molte obiezioni, tra cui il fatto che, se si considera la limitazione ai reati con una pena minima di 4 anni, si deduce subito che si tratta probabilmente di un limite ragionevole e che riguarderà sempre reati di una gravità inaccettabile. Tuttavia, una persona che contrae intenzionalmente un secondo matrimonio e rifiuta di informare l'altra parte può già essere condannata fino a 6 anni. Inoltre, è ben possibile che, alla fine, il sospettato risulti innocente. Non solo i suoi dati personali vengono allora esaminati approfonditamente, ma probabilmente anche quelli di altre persone che non avevano nulla a che fare con il reato che, poi, non è stato effettivamente commesso. Dopotutto, computer e telefoni vengono utilizzati 'in particolare' per prendere contatto con amici, familiari, datori di lavoro e innumerevoli altre persone. Inoltre, occorre chiedersi se le persone responsabili dell'approvazione e della vigilanza sulle richieste presentate sulla base del disegno di legge dispongano di una conoscenza sufficientemente specialistica per poter valutare correttamente la richiesta. Cionondimeno, tale normativa sembra quasi un male necessario nell'attuale contesto. Quasi tutti hanno avuto a che fare, almeno una volta, con truffe online e le tensioni aumentano enormemente quando qualcuno acquista un falso biglietto per un concerto tramite un marketplace online. Inoltre, nessuno spererebbe mai che il proprio figlio, durante la navigazione quotidiana, venga in contatto con una figura inaffidabile. La domanda è se il disegno di legge Computercriminaliteit III, con i suoi ampi poteri, sia la strada giusta.
Conclusione
Il disegno di legge Computercriminaliteit III sembra essere diventato un male in qualche modo necessario. Il disegno di legge conferisce alle autorità investigative un’ampia facoltà di accedere ai sistemi automatizzati dei sospettati. A differenza del caso Snowden, il disegno di legge prevede garanzie significativamente maggiori. Resta tuttavia da stabilire se tali garanzie siano sufficienti a prevenire una violazione sproporzionata della privacy del cittadino olandese e, nel peggiore dei casi, a evitare un caso “Snowden 2.0”.
