L’8 agosto 2024, il Comitato intergovernativo di esperti ha approvato all’unanimità la Convenzione delle Nazioni Unite contro la Criminalità Informatica. Il testo definitivo è stato approvato durante la sesta sessione conclusiva dei lavori, tenutasi a New York dal 29 luglio al 9 agosto 2024.
Ora il trattato attende l’approvazione finale dell’Assemblea Generale ed entrerà in vigore una volta ratificato da 40 Stati membri. La convenzione sarà aperta per l’adesione sino al 31 dicembre 2026.
Non appena pubblicata la notizia della sua approvazione non sono mancate le critiche da parte dei difensori dei diritti umani, degli studiosi della privacy e della cybersecurity”. Analizziamole.
Analisi degli elementi più significativi della Convenzione Onu contro la criminalità informatica
Il titolo scelto nell’ultima revisione del testo è stato mantenuto come titolo breve della Convenzione.
Il titolo scelto
L’aggiunta di un nuovo titolo più lungo tra parentesi specifica ulteriormente il termine “Cybercrime” come “Crimini commessi attraverso l’uso di un sistema di tecnologia dell’informazione e della comunicazione”. È importante notare come questo termine si riferisce ai reati definiti dalla Convenzione, in virtù dell’interpretazione comune del termine “sistema di tecnologia dell’informazione e della comunicazione” di cui alle definizioni contenute nella Convenzione stessa [1].
Questa decisione mira a conciliare le posizioni degli Stati membri che avrebbero preferito il titolo “Convenzione delle Nazioni Unite contro la criminalità informatica” e quelli che erano favorevoli alla “Convenzione delle Nazioni Unite per contrastare l’uso delle tecnologie dell’informazione e della comunicazione a fini criminali” [2]. Poiché diversi Stati membri ritengono che quest’ultima proposta abbia un campo di applicazione più ampio, il titolo è stato modificato in modo da corrispondere al termine “sistema di tecnologia dell’informazione e della comunicazione” contenuto nell’articolo 2(a) della Convenzione.
Il preambolo del testo definitivo
Il preambolo del testo definitivo mantiene le variazioni apportate durante la sessione conclusiva, con alcune modifiche aggiuntive di non particolare rilevanza. L’unica nota degna di rilievo si trova al punto 3, dove i termini “e la criminalità organizzata transnazionale, come” sono stati aggiunti dopo “terrorismo” per fornire un’enumerazione non esaustiva di tipi di criminalità organizzata transnazionale la cui scala, velocità e portata sono aumentate dall’uso di un sistema di tecnologia dell’informazione e della comunicazione (TIC): il testo finale è quindi il seguente: “[…] Concerned that the use of information and communications technology systems can have a considerable impact on the scale, speed and scope of criminal offences, including offences related to terrorism and transnational organized crime, such as trafficking in persons, the smuggling of migrants, the illicit manufacturing of and trafficking in firearms, their parts, components and ammunition, drug trafficking and trafficking in cultural property […]”.
Definizioni
L’articolo 2 del testo definitivo riproduce l’articolo 2 del progetto con due modifiche.
In primo luogo, è stata eliminata la definizione del termine “child” dal paragrafo 1 (i). Le discussioni del Comitato ad hoc hanno dimostrato che persistono divergenze sull’opportunità di utilizzare la definizione contenuta nella Convenzione sui diritti dell’infanzia e dell’adolescenza o quella contenuta nel Protocollo per prevenire, reprimere e punire la tratta di persone, in particolare di donne e bambini, allegato alla Convenzione delle Nazioni Unite contro la criminalità organizzata transnazionale (Protocollo sulla tratta di persone).
Come compromesso, la Presidenza ha proposto di non definire il termine “bambino” e di lasciare l’interpretazione di questo termine negli articoli pertinenti della Convenzione al diritto interno degli Stati parte. Inoltre, la definizione di “materiale di abuso o sfruttamento sessuale su minori” contenuta nell’articolo 14, paragrafo 2, è stata modificata per stabilire una soglia di età unica ed uniforme di 18 anni, in conformità con il quadro giuridico internazionale.
Alla sessione conclusiva, l’età al di sotto della quale il materiale pertinente costituisce un crimine e dovrebbe di conseguenza essere proibito ha costituito una questione controversa e saliente. Un certo numero di Stati membri ha chiesto di fissare l’età a 18 anni, come definito nel Protocollo sulla tratta di esseri umani e riflesso nella Convenzione sulla tratta di esseri umani, mentre un altro gruppo di Stati membri ha chiesto un approccio più flessibile. In questo quadro la proposta della presidenza si astiene dal definire il termine “bambino” nella Convenzione e lascia quindi la definizione alle leggi nazionali degli Stati membri, pur stabilendo una protezione fino all’età di 18 anni.
In secondo luogo, il contenuto del paragrafo 2 dell’articolo 2, che mirava a sottolineare la flessibilità degli Stati parte nell’utilizzare termini diversi da quelli usati nella Convenzione nel tradurre gli obblighi della Convenzione nel diritto interno, è stato spostato dal progetto di testo alle Note interpretative. La collocazione di questa disposizione nelle Note interpretative riflette il parere della maggior parte degli Stati membri, espresso durante la sessione conclusiva. Secondo questo punto di vista, è generalmente accettato che l’attuazione di un trattato internazionale non richieda che gli Stati contraenti applichino nel loro diritto interno esattamente gli stessi termini stabiliti nel trattato in questione.
Diritti umani
Il paragrafo 1 dell’articolo 6 [3] della Convenzione incorpora l’ex articolo 5 della proposta della Presidenza, che è stato mantenuto come dichiarazione generale di alto livello secondo cui tutte le misure adottate per attuare la Convenzione sono guidate dagli obblighi in materia di diritti umani assunti da ciascuno Stato Parte.
Il paragrafo 2 è invece frutto dell’intento di alleviare la preoccupazione espressa da diverse delegazioni riguardo all’ampia gamma di reati che la nozione di “reato grave” può comprendere. I reati devono, infatti, essere di natura transnazionale e coinvolgere un gruppo criminale organizzato (che includono i criteri di un vantaggio finanziario o materiale diretto o indiretto). Con questi requisiti aggiuntivi, vengono escluse dal campo di applicazione della Convenzione alcune condotte non materiali o finanziariamente motivate (come quelle politiche o moralmente motivate) che potrebbero essere trattati in modo diverso nelle varie giurisdizioni per quanto riguarda il loro carattere o gravità penale. Pertanto, questa disposizione ribadisce che la Convenzione non deve essere interpretata allo scopo di violare alcun diritto umano, sia esso economico, sociale e culturale o civile e politico.
Particolarmente degno di nota, il fatto che Stati come, ad esempio, l’Iran e la Russia abbiano tentato di eliminare alcune clausole a tutela dei diritti umani, ma la loro proposte sono state ampiamente respinte.
Trasferimento di dati personali
L’articolo 36 riprende il testo del progetto, che ha recepito la proposta del coordinatore delle consultazioni informali svoltesi dopo la sesta sessione del Comitato ad hoc. La disposizione stabilisce che uno Stato che trasferisce dati personali ai sensi della Convenzione lo debba fare in conformità al proprio diritto interno e agli obblighi che la Parte trasferente può avere in base al diritto internazionale applicabile. Gli Stati Parte non sono tenuti a trasferire dati personali se i dati non possono essere forniti in conformità alle loro leggi applicabili in materia di protezione dei dati personali. Qualora il trasferimento di dati personali non sia conforme a quanto sopra indicato, gli Stati Parte possono cercare di imporre condizioni appropriate, in conformità con tali leggi applicabili, per ottenere la conformità al fine di rispondere a una richiesta di dati personali.
La norma stabilisce inoltre che gli Stati contraenti assicurino che i dati personali ricevuti ai sensi della Convenzione siano soggetti a garanzie effettive e adeguate nei rispettivi quadri giuridici. Al fine di trasferire i dati personali a un Paese terzo o a un’organizzazione internazionale, uno Stato Parte dovrà notificare la propria intenzione allo Stato Parte cedente originario e richiederne l’autorizzazione. Lo Stato Parte trasferirà tali dati personali solo con l’autorizzazione dello Stato Parte cedente originario, che potrà richiedere che l’autorizzazione sia fornita in forma scritta.
Le questioni aperte
Alla luce dell’analisi svolta sino ad ora, la prima considerazione che emerge con chiarezza è che il testo della risoluzione rivista per l’esame da parte dell’Assemblea Generale contiene alcune modifiche rispetto alla versione precedente apportate sulla base del feedback ricevuto dalle delegazioni che ne rappresentano le caratteristiche geografiche, politiche e sociali.
Diritti umani e tutela dei minori
Lato diritti umani, ad esempio, la definizione di minore e le differenziazioni in base all’età del minore sarebbero stati molto importanti per mantenere la presunzione di minorità in un approccio che cerca di fornire il massimo livello di protezione ai bambini. Quanto più basso è il limite di età, tanto più difficile è per le forze dell’ordine combattere i crimini online e tanto più facile è per i trasgressori rivendicare la mancanza di intenzionalità sostenendo che il materiale ritrae una persona che sembra più grande del limite di età stabilito. L’aver limitato la portata di questa protezione e lasciato aperta la questione alla legislazione dei singoli Stati membri è frutto di un compromesso che non va di sicuro a vantaggio dei minori e della uniforme applicazione della Convenzione.
D’altro canto, c’è chi sostiene che, sebbene vi sia un consenso sulla necessità di combattere la pornografia infantile e lo sfruttamento sessuale dei minori, il trattato possa portare alla criminalizzazione di comportamenti come i selfie intimi o le immagini scattate consensualmente da minori [4].
Diffusione non consensuale di immagini intime
L’articolo 17 in materia di diffusione non consensuale di immagini intime prevede che ciascuno Stato adotti le misure legislative e di altro tipo necessarie per definire quali reati, ai sensi del proprio diritto interno, se commessi intenzionalmente e senza diritto, la vendita, la distribuzione, la trasmissione, la pubblicazione o la messa a disposizione in altro modo di un’immagine intima di una persona per mezzo di un sistema di tecnologia dell’informazione e della comunicazione, senza il consenso della persona raffigurata nell’immagine. Ai sensi di tale norme per “immagine intima” si intende “una registrazione visiva di una persona di età superiore ai 18 anni effettuata con qualsiasi mezzo, compresa una fotografia o una registrazione video, di natura sessuale, in cui le parti sessuali della persona sono esposte o la persona è impegnata in un’attività sessuale, che era privata al momento della registrazione, e rispetto alla quale la persona o le persone raffigurate mantenevano una ragionevole aspettativa di privacy al momento del reato”. Restano esclusi da tale disposizione i minori di 18 anni. Nel tentativo di raggiungere un compromesso, è stato aggiunto il paragrafo 6 secondo il quale gli Stati membri sono liberi di stabilire, in conformità con il loro diritto interno e in linea con i loro obblighi internazionali, altre forme di diffusione di immagini intime.
Le possibili implicazioni sulla privacy e la sorveglianza globale
Quello che invece infastidisce maggiormente le aziende tecnologiche sono, come accennavamo, le possibili implicazioni sulla privacy e la sorveglianza globale. Uno Stato, infatti, può, per indagare su qualsiasi crimine punibile con un minimo di quattro anni di reclusione secondo la propria legge nazionale, chiedere alle autorità di un’altra nazione qualsiasi prova elettronica legata al crimine, nonché richiedere dati ai fornitori di servizi Internet. L’articolo 29 rubricato Raccolta in tempo reale dei dati sul traffico prevede che gli Stati membri della Convenzione dovranno adottare le misure legislative e di altro tipo necessarie per consentire alle proprie autorità competenti di:
- raccogliere o registrare, mediante l’applicazione di mezzi tecnici nel territorio di uno Stato membro; e
- obbligare un fornitore di servizi, nell’ambito delle sue capacità tecniche esistenti a:
- raccogliere o registrare, attraverso l’applicazione di mezzi tecnici nel territorio di tale Stato membro; o
- cooperare e assistere le autorità competenti nella raccolta o registrazione di dati sul traffico, in tempo reale, associati a specifiche comunicazioni nel suo territorio trasmesse per mezzo di un sistema di tecnologia dell’informazione e della comunicazione.
Prevedendo un maggiore scambio di informazioni tra autorità pubbliche e aziende private, la Convenzione imporrebbe quindi ai fornitori di servizi digitali oneri molto incisivi per garantire agli inquirenti l’accesso ai dati rilevanti nelle indagini sui crimini cyber [5]. Ma a giudizio dei firmatari della Joint Statement on the Proposed Cybercrime Treaty Ahead of the Concluding Session del 23 January 2024, tali previsioni rischiano di autorizzare illecite pratiche di sorveglianza statale, inibire l’esercizio della libertà di espressione negli spazi digitali ed erodere gravemente la privacy individuale, finendo per vanificare le tutele conquistate in tal senso negli ultimi anni. La Dichiarazione, tra le altre, invitava le delegazioni a “evitare di approvare qualsiasi disposizione di sorveglianza che possa essere abusata per minare la sicurezza informatica e la crittografia”. Tuttavia, nonostante questa richiesta, il contenuto dell’art. 29 è rimasto lo stesso della versione precedente.
L’approvazione con riserva di alcune delle disposizioni più importanti della convenzione
Infine, ulteriore elemento critico, è costituito dal fatto che l’approvazione di alcune delle disposizioni più importanti della convenzione (sovranità nazionale, giurisdizione, misure necessarie per l’identificazione, il rintracciamento, il congelamento o il sequestro degli strumenti utilizzati per commettere i reati ai fini di un’eventuale confisca, raccolta in tempo reale dei dati sul traffico), è avvenuta con la procedura dell’agree ad referendum, che costituisce un particolare tipo di approvazione “con riserva” da parte degli Stati. La riserva espressa dai negoziatori non impegna i propri governi come una accettazione espressa o un consenso unanime, indebolendo la forza e la portata delle disposizioni contenute nel trattato e affievolendone in grande parte l’efficacia. Ma non solo, le già deboli disposizioni sulla protezione dei testimoni e delle vittime dei reati previsti dalla Convenzione sono state ulteriormente indebolite e rese praticamente facoltative e soggette alla volontà degli Stati, lasciando gli individui senza alcun ricorso per cercare di ottenere la protezione e la restituzione dei proventi della criminalità informatica, in particolare nei Paesi in cui non esistono tutele o garanzie nazionali in tal senso.
La possibile aggiunta di ulteriori reati
Per concludere, va ricordato che il Comitato ad hoc ha deciso di continuerà i suoi lavori, in conformità con le risoluzioni 74/247 e 75/282 dell’Assemblea Generale, al fine di negoziare un progetto di protocollo aggiuntivo alla Convenzione, che includa, tra l’altro, ulteriori reati. A tal fine, saranno convocate due sessioni della durata di 10 giorni ciascuna: la prima sessione che avrà luogo due anni dopo l’adozione della Convenzione da parte dell’Assemblea Generale e la seconda sessione nell’anno solare successivo, rispettivamente a Vienna e a New York. La difficoltà di redigere questo Protocollo sarà quella di individuare, tra le diverse proposte che erano state presentate e non hanno trovato accoglimento nel testo finale della Convenzione i veri “crimini informatici”. Ricordiamo infatti che alcune delle fattispecie proposte nel corso dei negoziati, come ad esempio, reati di droga e terrorismo non hanno una definizione universale di cyber crime, mentre altri come la blasfemia o la distribuzione di materiali che invitano ad atti illegali motivati da odio o inimicizia politica, ideologica, sociale, razziale, etnica o religiosa sono del tutto incoerenti con lo scopo della Convenzione.
Note
[1] Secondo tale articolo per Information and communications technology system si intende any device or group of interconnected or related devices, one or more of which, pursuant to a program, gathers, stores and performs automatic processing of electronic data e cioè qualsiasi dispositivo o gruppo di dispositivi interconnessi o collegati, uno o più dei quali, in base a un programma, raccoglie, memorizza ed esegue l’elaborazione automatica di dati elettronici.
[2] Si veda in questo senso Statement by the Russian Federation in the ad hoc committee to elaborate a comprehensive international convention on countering the use of information and communications technologies for criminal purposes.
[3] Art. 6
1. States Parties shall ensure that the implementation of their obligations under this Convention is consistent with their obligations under international human rights law.
2. Nothing in this Convention shall be interpreted as permitting suppression of human rights or fundamental freedoms, including the rights related to the freedoms of expression, conscience, opinion, religion or belief, peaceful assembly and association, in accordance and in a manner consistent with applicable international human rights law.
[4] https://www.firstonline.info/cybercrime-onu-approva-la-prima-risoluzione-contro-la-criminalita-informatica/
[5] Cfr. in questo senso https://www.ictsecuritymagazine.com/articoli/crimini-informatici-in-arrivo-il-trattato-delle-nazioni-unite/ e più di recente Katitza Rodriguez, The UN Cybercrime Convention: Analyzing the Risks to Human Rights and Global Privacy, Just Security, 27 agosto 2024.
