Se l’identità personale è un valore tutelato dall’ordinamento giuridico, che riconosce all’individuo il diritto a mantenere il controllo sulla libera rappresentazione di sé agli occhi della società, con l’avvento dell’era dell’informazione anche l’identità digitale, che è la rappresentazione di un individuo reale identificabile in colui che utilizza il dataset in cui essa è memorizzata, diventa un bene da preservare. Ma, che fare quando si cerca di attentare a questa preziosa risorsa?
“Al giorno d’oggi possiamo affermare che ogni individuo vive una doppia esistenza – spiega Marco Tullio Giordano, avvocato presso il Foro di Milano specializzato in cybersecurity e protezione dei dati personali, partner di 42Law Firm, una società di avvocati e tecnici delle nuove tecnologie, e co-fondatore di LT42, una delle prime legal tech company italiane -. Parallelamente al proprio vissuto quotidiano nel mondo reale, deve fare i conti con il proprio essere digitale, cioè la trasposizione della sua persona e delle sue relazioni sul web. La rete permette non solo di estendere quantitativamente la propria socialità, creando interconnessioni con persone distanti, conosciute o fino a quel momento estranee, ma anche di amplificare la qualità delle relazioni sociali tradizionali che, dal mondo reale, si spostano e si completano su piattaforme di messaggistica istantanea, social network, blog e forum. Così come nel mondo reale, tuttavia – continua – anche in Internet i diritti e gli interessi legittimi degli individui sono talvolta messi in pericolo da condotte contrarie alle norme del diritto e ai principi del vivere comune”.
Quali sono gli strumenti giuridici che tutelano l’identità digitale dei cittadini?
In una fase de iure condendo, nella quale i principi di diritto non sono ancora perfettamente cristallizzati e sono oggetto di costante dibattito tra gli interpreti, sembra che la tutela giuridica dell’”essere digitale” sia attualmente garantita dalle norme poste a tutela della persona (art. 494 c.p. ed art. 640 ter comma 3 c.p.) e della sua immagine (art. 9 codice civile, artt. 96 e 97 della legge 633/1941 sul diritto d’autore), della sua riservatezza (Codice della privacy e Regolamento Europeo sulla protezione dei dati personali), della sua reputazione ed onorabilità (art. 595 c.p.) e infine della sicurezza ed inviolabilità del suo domicilio informatico (art. 615 ter c.p.).
Quali sono i principali rischi connessi al trattamento dei dati personali in rete?
Deve premettersi che le stesse caratteristiche che valorizzano il medium digitale (ad esempio la delocalizzazione, l’asincronicità, la possibilità di una comunicazione one-to-many o many-to-many), tendono il più delle volte ad amplificare le conseguenze di eventuali aggressioni all’individuo e ai suoi dati personali o sensibili. Il rischio principale è la persistenza di eventuali danni discendenti da uno scorretto trattamento in rete. Già nel 2010, in un articolo pubblicato sul New York Times destinato a passare alla storia per gli studiosi della privacy, Jeffrey Rosen, professore di legge alla George Washington University, teorizzava che The Web Means the End of Forgetting, mettendo in guardia sulla difficoltà nell’eliminazione delle informazioni personali pubblicate su Internet e l’impossibilità di garantirne l’oblio, con conseguente condanna all’eterna memoria. Da quella riflessione, passando per una altrettanto storica sentenza della Corte Europea di Giustizia nel caso Google/Costeja nel 2014, si è giunti alla costituzione del diritto alla cancellazione dei dati, riconosciuto dal più recente GDPR. Un rischio secondario e conseguente, purtroppo, è invece quello connesso all’eventuale e successivo utilizzo dei dati personali illecitamente sottratti o raccolti senza consenso, da parte degli autori dei reati informatici, magari per conseguire un ulteriore ingiusto profitto in fattispecie contro la fede pubblica o il patrimonio.
Nel nostro sistema giuridico, il furto di identità digitale può rientrare in una o più ipotesi di reato?
Nel nostro ordinamento, il furto di identità digitale è equiparato alla sostituzione di persona e punito dall’art. 494 c.p.: chiunque, al fine di procurare a sé o ad altri un vantaggio o di recare ad altri un danno, induce taluno in errore, sostituendo illegittimamente la propria all’altrui persona, o attribuendo a sé o ad altri un falso nome, o un falso stato, ovvero una qualità a cui la legge attribuisce effetti giuridici, è punito con la reclusione fino ad un anno. Ulteriori conseguenze potrebbero venire poi dall’utilizzo dell’identità altrui per commettere specifici reati, come ad esempio la frode informatica con indebito utilizzo dell’identità digitale altrui, prevista e punita dall’art. 640 ter comma 3 del codice penale.
Può fare un esempio specifico?
Sostituire in rete la propria identità a quella di altri al fine di trarre in inganno i terzi e, così facendo, procurarsi un profitto o generare un altrui danno è considerato un reato. La giurisprudenza ha inoltre avuto modo di chiarire che è illecito, ad esempio, aprire un profilo social in nome dell’ex partner ed utilizzarlo per diffamarlo o procurargli un danno, così come è punito aprire una casella di posta elettronica a nome di terzi, qualora essa venga poi utilizzata con l’intento di trarre in inganno i destinatari delle relative comunicazioni, attribuendosi ad esempio una qualità o un potere che invece spetta ad altri. In questo caso, il bene giuridico tutelato è duplice: il diritto alla personalità del titolare dell’identità, ma anche la fede pubblica, cioè la lecita aspettativa di affidamento fiduciario in capo ai rispettivi interlocutori.
Quali sono le tecniche più utilizzate per appropriarsi illecitamente dell’identità di un soggetto?
Il livello base dell’impegno necessario a chi voglia appropriarsi dell’identità digitale altrui è costituito, semplicemente, dall’appropriazione indebita delle “tracce digitali” – briciole della nostra esistenza – che noi stessi, quotidianamente, lasciamo in rete. Un profilo pubblico e senza restrizioni su Facebook, una galleria Instagram ritraente l’individuo in scene di vita pubblica o familiare, un curriculum vitae caricato su LinkedIn, rappresentano una buona occasione per chi intende appropriarsi dell’identità altrui o compiere attacchi informatici basati su tecniche di social engineering: basterà copiare tutto per riutilizzare i dati personali in altrettanti profili fake. Se ciò non bastasse, con un impegno relativamente maggiore, gli hackers possono porre in essere tentativi di phishing, smshing, spoofing e altre tecniche fraudolente per entrare in possesso di credenziali di accesso e informazioni riservate utilizzate a custodia di profili social o finanziari: è il caso del tipico sms o email fraudolenta provenienti da un mittente fittizio, in cui si chiede di inserire la propria password di Instagram o i codici di accesso all’home banking.
Quando la creazione di un falso profilo sui social network può essere considerato un illecito?
I diritti della personalità e il diritto all’immagine sono già tutelati sul piano civile, così come del resto il diritto alla protezione dei dati personali e quindi ad un loro corretto utilizzo da parte di terzi. La semplice apertura di un profilo – ancorchè di fantasia – con pubblicazione di immagini altrui è già un illecito civile e, oltre alla sua rimozione, l’interessato può ottenere il risarcimento di ogni ulteriore danno dimostrabile. Qualora, tuttavia, l’utilizzo del nome, dell’immagine, dell’identità altrui sia poi utilizzata per porre in essere condotte illecite come la diffamazione, la sostituzione di persona, la truffa, o anche solo per procurare un danno a terzi, magari per spiare un conoscente, porre in essere condotte persecutorie o di stalking o bullizzare un compagno di classe, si applicano le norme penali e l’autore può essere sottoposto ad un conseguente procedimento giudiziario.
Quando invece non lo è?
Soltanto nel caso in cui gli autori di un profilo intestato ad un terzo abbiano provveduto ad indicare la circostanza o, ove necessario, abbiano ricevuto il permesso dall’interessato, non vi sarà nulla da temere: è il caso di profili satirici o celebrativi, ad esempio un profilo dissacrante aperto per ironizzare su un personaggio pubblico, o una pagina gestita dal fan club di un artista.
Quali sono le tutele legali per chi subisca un furto d’identità digitale?
Al giorno d’oggi, se si ha un po’ di dimestichezza con i social network, i motori di ricerca e le app, è quasi sempre possibile per le persone offese segnalare contenuti illeciti o contrari ai termini d’uso delle social media platform, come i falsi profili, al fine di chiederne l’immediata sospensione o rimozione, per violazione dei diritti della personalità, di immagine o d’autore. In secondo luogo, se l’intervento di cui sopra non andasse a buon fine, la strada migliore è quella di rivolgersi il prima possibile a un legale o alle forze di polizia giudiziaria specializzate nella gestione di investigazioni informatiche (ad esempio la Polizia Postale e delle Telecomunicazioni, il Nucleo Speciale Tutela Privacy e Frodi Tecnologiche della Guardia di Finanza, gli uffici delle Procure della Repubblica che si occupano del contrasto al cybercrime).
Quanto è importante la tempestività nelle segnalazioni?
E’ tutto: intervenire nelle prime ore o nei giorni immediatamente successivi ai fatti è determinante per raccogliere le evidenze probatorie necessarie all’accertamento della verità e chiedere l’immediato oscuramento di contenuti illeciti, anche per evitare la successiva ulteriore incontrollata diffusione dei dati sottratti. Infine, attivandosi personalmente presso le società che gestiscono i motori di ricerca, o affidandosi a servizi di tutela della reputazione digitale, vi è la possibilità di azionare le opportune richieste per la cancellazione dei dati ancora presenti su pagine web e applicazioni e, così facendo, ottenere il “diritto all’oblio”, garantito a tutti i cittadini dal Regolamento Europeo sulla protezione dei dati personali.
Cosa rischia chi commette questi reati?
Dopo un primo periodo di incertezza legislativa e di vuoto normativo, oggi possiamo dire che le pene per gli autori di illeciti digitali sono piuttosto rigide. Se la sola sostituzione di persona è punita con la reclusione fino ad un anno, l’utilizzo illecito di dati personali per finalità di profitto o, peggio, di nocumento, può arrivare a pene detentive ancora più severe. La diffamazione via web, del resto, prevede quale pena alternativa che venga comminata una sanzione pecuniaria, con espressa finalità di colpire l’autore del reato nei suoi interessi economici e, al contempo, distogliere i terzi dal porre in essere condotte simili. Un altro aspetto da tener presente è che, mentre i reati meno gravi possono giovare eventualmente della remissione di querela da parte delle persone offese (è il caso in cui un soggetto diffamato viene risarcito per le espressioni subite e ritira la denuncia), alcune ipotesi prevedono la procedibilità d’ufficio, con conseguente obbligatorietà per le autorità penali di perseguire i rispettivi autori in altrettanti processi penali.