In questi giorni è in corso la quinta sessione di negoziati relativa alla Convenzione che l’ONU sta elaborando in tema di contrasto al cybercrime, il comitato preposto all’elaborazione della bozza della Convenzione ha infatti aperto i lavori nel febbraio 2022 mentre in questi giorni, a Vienna, si sta svolgendo il penultimo round di negoziati, che precede la chiusura dei lavori prevista per l’inizio di settembre 2023, quando si chiuderanno i negoziati di New York, dopodiché per l’inizio del 2024 è prevista l’adozione della Convenzione (e quindi la sua apertura alla firma da parte dei singoli stati, l’effettiva entrata in vigore della Convenzione è però subordinata all’adozione da parte di un certo numero di stati, per ora la bozza comprende un range di ipotesi che va da trenta a settanta stati ratificanti la Convenzione).
Il contenuto della Convenzione
Con la Convenzione sul cybercrime le Nazioni Unite si sono proposte l’ambizioso obiettivo di superare il principale strumento normativo transnazionale in materia, ovvero la Convenzione di Budapest, adottata l’8 novembre 2001 in seno al Consiglio d’Europa ed aperta alla ratifica anche da parte di stati esterni al Consiglio, che ha riscosso notevole interesse ed è stata adottata da 68 stati (tra cui Stati Uniti, Canada, Giappone, Filippine, Australia, etc.), oltre a ricevere due aggiornamenti di rilievo, contenuti in altrettanti protocolli addizionali, l’ultimo dei quali è stato adottato il 17 novembre 2021 ed è teso a rafforzare gli aspetti procedurali della cooperazione internazionale, specie di fronte all’aumentare della complessità dei reati informatici (implementando misure di collaborazione con i fornitori di servizi online), nonché a coordinare le disposizioni della Convenzione con le salvaguardie necessarie in tema di protezione dei dati personali.
Nonostante questo obiettivo di superamento della Convenzione di Budapest, non bisogna pensare che la Convenzione ONU si ponga in contrasto con le soluzioni adottate dal Consiglio d’Europa, anzi l’obiettivo delle Nazioni Unite è proprio quello di estendere ad una platea più ampia di stati (e possibilmente a quegli stati in cui spesso si rifugiano i cybercriminali) i principi della Convenzione di Budapest.
Le bozze circolate della Convenzione ONU (che richiamano infatti da vicino molte disposizioni della Convenzione di Budapest) si aprono con delle definizioni generali in tema di ICT, dispositivi ICT, informazioni, attacchi informatici ed altre di rilievo per la Convenzione (tra cui “botnet” e pornografia minorile), per proseguire poi con una serie di principi generali prima di iniziare ad elencare le condotte che i vari stati aderenti alla Convenzione dovranno presidiare con sanzione penale (che in larga parte riprendono proprio l’elenco di cui alla Convenzione di Budapest).
Le bozze della Convenzione proseguono poi con disposizioni procedurali e di cooperazione internazionale, per poi chiudersi con i meccanismi di implementazione e di ratifica della Convenzione.
Proprio l’obiettivo di ampliare la base di consenso per l’adozione della Convenzione ha però come contraltare la difficoltà di raggiungere definizioni comuni (una su tutte la definizione centrale della Convenzione, ovvero quella di cybercrime) e la tensione verso quelli che sembrano “passi indietro” rispetto al testo della Convenzione di Budapest (cristallizzati ad esempio dalle proposte di Cina, Russia e India di eliminare alcune clausole che sottolineavano la necessità di rispettare i diritti umani e gli obblighi dei vari stati aderenti alle convenzioni internazionali sul tema).
I problemi della Convenzione
Nonostante i lavori del comitato procedano secondo calendario, infatti, il percorso per l’approvazione della Convenzione è ancora lungo e irto di ostacoli, anche per la delicatezza del tema trattato e per l’impatto della Convenzione sul diritto penale interno degli stati che decideranno di ratificarla.
Quanto a quest’ultimo profilo il timore è quello di un eventuale insuccesso della Convenzione (che avrà tanto più impatto quanto più estesa sarà la sua platea di adozione) dovuto alla necessità di una significativa riforma per allineare i codici penali e di procedura penale dei singoli stati al contenuto della Convenzione.
Quanto al primo profilo le preoccupazioni più impattanti sono quelle relative alla tutela della libertà di espressione, con le disposizioni della Convenzione che potrebbero prestarsi a interpretazioni di comodo e forzature per reprimere gli oppositori (ad esempio la disciplina in tema di “umiliazione” tramite strumenti informatici di persone o gruppi di persone sulla base di razza, etnia, lingua, origini o orientamenti religiosi).
Il rischio strumentalizzazioni, i nodi privacy
Nonostante numerosi trattati e convenzioni in seno alle Nazioni Unite che proteggono la libertà di espressione, da più parti si è evidenziato il rischio che queste misure specifiche e contenute in una normativa di alto profilo come quella di contrasto al cyber-crime, possano essere oggetto di strumentalizzazioni (e non trovino giusta collocazione in una normativa in tema di cybercrime transnazionale, come del resto accaduto con la Convenzione di Budapest, che non contiene disposizioni sul tema).
La Convenzione è anche particolarmente delicata da un punto di vista privacy, ed in questo senso il Garante per la protezione dei dati comunitario (EDPS, European Data Protection Supervisor) già lo scorso maggio ha espresso in una nota la propria preoccupazione per il fatto che la Convenzione, se non adeguatamente allineata con la normativa privacy europea, potrebbe rivelarsi un escamotage per superare i limiti al trasferimento dei dati prescritti dal GDPR.
Del resto, nel corso dei negoziati, gli stessi Stati Uniti hanno evidenziato come la tutela dei dati personali non sia un diritto previsto nei trattati ONU (nonostante le molteplici iniziative nel settore portate avanti dalle Nazioni Unite) e quindi il vivo timore del Garante europeo appare più che giustificato visti anche i generici richiami alla tutela dei dati personali presenti nelle bozze finora circolate della Convenzione.
Un’altra disposizione che ha destato perplessità è quella relativa alle “special investigative techniques”, che includono la sorveglianza elettronica o “di altro tipo” degli indagati.
Queste disposizioni preoccupano molti attivisti per i diritti umani in quanto sembrano legittimare prassi nazionali non rispettose dei diritti degli individui (e del diritto alla protezione dei dati personali), specie se non esistono regole precise per delimitare con precisione i casi in cui questa tipologia di indagini è ammessa (e magari accompagnata dalla sanzione di inutilizzabilità dei dati raccolti per indagare su altre fattispecie penali non di competenza della Convenzione).
La preoccupazione è oltretutto rafforzata dalla possibilità di condivisione transnazionale del risultato di questa sorveglianza (che peraltro nelle bozze circolate sembra poter avvenire su decisione del paese che ha effettuato l’attività di sorveglianza, senza che sia necessaria una richiesta da parte del paese destinatario dei dati raccolti).
Gli obblighi di cooperazione
Ulteriore argomento molto discusso è quello relativo alla cooperazione che la Convenzione prescrive di ottenere da service provider, individui e imprese. In particolare, nelle bozze è previsto che gli inquirenti possano richiedere ad un soggetto di conservare dati in formato elettronico in suo possesso e di consentire alle autorità accesso agli stessi.
I problemi che emergono da una simile disposizione sono molteplici e destano preoccupazione su più livelli, da un lato infatti la disposizione sembra prescrivere un obbligo di cooperazione (es. di fornire le password dei propri sistemi informatici) in capo all’indagato e/o a terzi, e dall’altro lato la disposizione sembra imporre ai provider di servizi di consentire l’accesso agli inquirenti ai propri sistemi (e a questo punto si ripropone l’annosa questione relativa alla necessità, da parte di questi provider, di rendere accessibili i dati che conservano in forma crittografata per conto dei clienti creando delle backdoor nei propri sistemi, obbligo che, sebbene la norma non lo dica espressamente, potrebbe essere ricavato implicitamente dalla sua attuale formulazione).
Infine, da più parti si è evidenziato come alcune proposte relative alle fattispecie penali da inserire nella Convenzione omettano un elemento che invece era sempre presente nelle fattispecie penali costruite dalla Convenzione di Budapest, ovvero la necessità che il comportamento teso al compimento del reato informatico fosse caratterizzato da intenzionalità. Le fattispecie proposte da alcuni stati per la Convenzione ONU (ad esempio da Egitto e India) sembrano invece dimenticare questo aspetto centrale della normativa in tema di cybercrime, con il rischio che vengano criminalizzate condotte involontarie.
Prospettive
Il round di negoziati di Vienna sta affrontando in questi giorni molte delle problematiche che abbiamo evidenziato in questo articolo. La sede europea di fatto ha contribuito a mettere in risalto le derive rispetto alla Convenzione di Budapest e i timori in tema di diritti umani e di tutela dei dati personali.
Ciononostante, è evidente che il compromesso politico alla base della Convenzione comporta un difficile bilanciamento fra l’interesse ad una larga adesione all’accordo e l’interesse ad un approccio più rigido e garantista.
La presenza di un “gold standard” come la Convenzione di Budapest rappresenta un ingombrante metro di paragone per la Convenzione ONU, che nell’offrire soluzioni non al passo con questo strumento con vent’anni di storia alle spalle e un consolidato seguito mostra con maggiore evidenza rispetto a casi simili le proprie debolezze.
Del resto, però, l’adesione di più stati ad una Convenzione di questo tipo (specie degli stati la cui cooperazione sarebbe più che mai necessaria per ridurre le “zone franche” di cui godono i cybercriminali) è senz’altro un obiettivo da perseguire, l’importante è che la Convenzione non si riveli un grimaldello che consenta agli stati meno democratici di violare i diritti umani dei propri cittadini in nome della battaglia al crimine informatico.
