Modellare l’architettura per combattere il cybercrime: una nuova opportunità per il legislatore penale

18/04/202117/04/2021 redazione

A cura di: Giulio Soana

Sin dalla sua introduzione, internet ha sollevato domande in termini di prevenzione, investigazione e repressione della criminalità; segnatamente, la natura globale, istantanea e semi-autonoma delle sue interazioni mina la struttura tradizionale della macchina penale fondata su Stati sovrani i quali delineano i limiti di tale sovranità sulla base dei rispettivi confini territoriali. Questa apparente irreconciliabilità tra Stati territoriali e tecnologia globale ha portato alcuni a vaticinare la fine del monopolio statuale, per lo meno online; combinando elementi anarchici e liberisti, alcuni tra i primi utilizzatori e creatori di internet ritenevano di muoversi in un mondo nuovo, a-territoriale ed a-statuale, dove il controllo era agli utenti e nessuna autorità centrale aveva il potere né la possibilità tecnica di imporre il proprio comando.

Tale approccio è stato elegantemente condensato da John Barlow nella sua “Dichiarazione di indipendenza del cyberspazio”.

Governi del Mondo Industriale, stanchi giganti di carne e acciaio, io vengo dal Ciberspazio, la nuova sede della Mente. A nome del futuro, chiedo a voi del passato di lasciarci in pace. Non siete benvenuti tra noi. Non avete sovranità là dove ci riuniamo.
Noi non abbiamo un governo eletto, e non abbiamo intenzione di averne, quindi mi rivolgo a voi con non più grande autorità che quella con cui la libertà stessa ha sempre parlato. Io dichiaro che lo spazio sociale globale che noi stiamo costruendo sarà naturalmente indipendente dalle tirannie che cercate di imporci. Non avete alcun diritto morale di governarci e non possedete alcuno strumento di costrizione che dobbiamo realmente temere.[1]

A fronte di questo approccio originale, alcuni accademici[2] hanno notato una peculiarità della struttura di internet: mentre l’architettura del mondo materiale, intesa come l’insieme di leggi naturali che regolano la configurazione ed i limiti fisici dell’azione, è per il legislatore un dato sotto il controllo di un terzo (la Natura o Dio, a secondo delle convinzioni personali) l’architettura di internet è artificiale e, pertanto, modificabile dal legislatore. Tale semplice differenza apre un mondo di opportunità per il regolatore il quale ha a sua disposizione, mediante la manipolazione del codice sottostante la tecnologia di volta in volta normata, una nuova e più efficiente modalità per disciplinare i comportamenti; tale maggiore efficienza è dovuta alla natura ineludibile ed inesorabile della regolamentazione architetturale o mediante codice informatico: mentre la regolazione tradizionale governa i comportamenti tramite la minaccia di una sanzione, tale forma di legislazione impedisce ex-ante ogni comportamento il quale si muova al di fuori dei limiti stabiliti. In tal senso, mentre la regolamentazione tradizionale qualifica i comportamenti in termini di legittimità, la regolamentazione architetturale si basa sul binomio validità/invalidità; in quest’ottica, escludendo le condotte che crackano il codice, la disobbedienza non è possibile in quanto non riconosciuta dalla tecnologia stessa. Per esemplificare, nel cyberspazio il codice informatico vincola in un modo simile alla legge di gravità nel mondo fisico: solo che la legge di gravità non può essere modificata dal legislatore a differenza del codice informatico. In letteratura questa forma di regolamentazione è stata magistralmente messa in scena mediante il concetto di neo-lingua rappresentato da Orwell nel suo celebre romanzo 1984: nel libro il governo attraverso la manipolazione della struttura della lingua ed, in particolare, mediante la rimozione di determinate parole si poneva lo scopo di eliminare i concetti sottostanti a tale parola e conseguentemente regolare l’azione umana; in questo senso, il governo Orwelliano utilizzava una modifica nell’architettura della lingua per prevenire determinate azioni umane eliminandone il sostrato espressivo.

Tale attitudine regolatoria di internet è ulteriormente ampliata in ambito di tecnologie basate sulla block-chain; invero, la block-chain permette di programmare regole ad implementazione ed esecuzione automatica – i c.d. smart contracts – mediante i quali sarebbe possibile costituire ambienti compliant-by-design; questa circostanza ha portato alcuni studiosi a dichiarare la nascita di una nuova forma di legge, codificata, eseguita automaticamente e decentralizzata: la lex criptographia[3].

Ora, a prescindere dai cambiamenti tellurici pronosticati da alcuni – a cui si crede poco – ciò che è certo è che il legislatore penale ha a disposizione una nuova e più efficiente arma per regolamentare la criminalità online ed offline; e che, soprattutto, è necessario comprendere come utilizzare coscientemente tale nuovo strumento, nonché i suoi limiti al fine di evitare scenari orwelliani. Invero, se una maggiore cogenza e certezza dell’applicazione della normativa penale online è sicuramente necessaria al fine di regolare un mondo che in quasi tutti gli ambiti – dalle perquisizioni all’accertamento della giurisdizione – somiglia sempre più al far west, con un livello altissimo di impunità ed un comportamento delle autorità investigative spesso indistinguibile da quello di un hacker, è anche opportuno stabilire sin dall’inizio limiti precisi che permettano di garantire un controllo corretto ed equilibrato da parte dello Stato.

In quest’ottica, primo fondamentale passo è che il legislatore comprenda questa nuova opportunità che il progresso tecnologico gli offre ed inizi ad utilizzarla; invero, in ambito penale vi è una tendenza gattopardesca a ritenere che, seppur tutto cambia, il diritto penale ed i principi a questo propri possano resistere indenni ed immodificati alla tempesta. Tale approccio non solo comporta una perdita di efficacia del diritto penale – si pensi a quanto sta accadendo in termini di giurisdizione penale e principio di territorialità – ma anche un’occasione persa per il legislatore; invero, se il progresso tecnologico pone nuove sfide, questo fornisce anche preziose opportunità per migliorare l’efficienza della repressione penale sia in ambito cyber che analogico.

In secondo luogo, tale approccio alla regolamentazione impone uno spostamento nella scansione temporale della normazione penale: questa, invece che porsi nel momento dell’implementazione della nuova tecnologia quale reazione alle patologie, vecchie e nuove, a questa ricollegate, deve essere sviluppata al momento della progettazione della tecnologia, ovvero al momento dell’ideazione degli aggiornamenti di quest’ultima. Tale scansione temporale comporta un diverso rapporto tra penalisti e sviluppatori basato non sull’imposizione unilaterale, bensì sul dialogo volto alla comprensione delle reciproche necessità. Un proficuo dialogo dovrebbe essere fondato su due pilastri: primo, un meccanismo simile a quello previsto per l’interpello in materia tributaria, per cui lo sviluppatore della tecnologia potrebbe sottoporre all’ente regolatore il proprio codice al fine di verificarne ex ante la compatibilità con il dettato legislativo ed iniziare un eventuale dialogo con il regolatore al fine di effettuare le necessarie modifiche. Secondo, cominciare a pensare alla legislazione penale non solo nel linguaggio ordinario ma anche in computer readable language – i.e. codice informatico; in tal senso, ogni legislazione in ambito cyber che si rivolga a modifiche architetturali, dovrebbe contenere sia enunciati tradizionali sia la corrispondente traduzione in codice informatico.

Da ultimo, al fine di ideare, scrivere ed applicare simili normative è necessario sviluppare nuovi profili professionali i quali, seppur saldamente ancorati in un ambito, abbiano la competenza e l’expertise necessaria a comprendere i problemi di volta in volta affrontati nella loro interezza. Invero, lo sviluppo di tali nuove forme di legislazione non può prescindere né dall’ingegneria né dal diritto, ma deve basarsi su un dialogo tra queste due scienze che produca soluzioni tecnicamente efficaci e giuridicamente corrette. Serve insomma che diritto e ingegneria comprendano che, almeno in ambito di cyber criminalità, rappresentano due facce della stessa medaglia.

Per concludere, la regolamentazione architetturale rappresenta un’opportunità formidabile per il legislatore penale: è giunto il momento che questi lo comprenda ed inizi ad utilizzarla, così da mettere ordine in un’area che necessita di sistematizzazione e comprensione; è inoltre essenziale che i formatori colgano le necessità di questo nuovo mondo e adattino i percorsi formativi di conseguenza.

[1] J. Barlow, “A Declaration of the Independence of Cyberspace”, Davos, 1996 disponibile qui https://www.eff.org/it/cyberspace-independence, versione originale: “Governments of the Industrial World, you weary giants of flesh and steel, I come from Cyberspace, the new home of Mind. On behalf of the future, I ask you of the past to leave us alone. You are not welcome among us. You have no sovereignty where we gather. We have no elected government, nor are we likely to have one, so I address you with no greater authority than that with which liberty itself always speaks. I declare the global social space we are building to be naturally independent of the tyrannies you seek to impose on us. You have no moral right to rule us nor do you possess any methods of enforcement we have true reason to fear”.

[2] Si veda su tutti L. Lessig, Code and other laws of cyberspace, edizione 2006

[3] Si veda su tutti il pensiero di P. De Filippi come espresso ad esempio in A Wright – P. De Filippi, “Decentralized technology and the rise of lex criptographia”, Marzo 2015