Comprendere il nuovo trattato internazionale delle Nazioni Unite per combattere la criminalità informatica

La nuova Convenzione internazionale delle Nazioni Unite contro la criminalità informatica può bilanciare l'applicazione della legge, la privacy e i diritti umani?Data di pubblicazione30 lug 2024AutoreCharlie Plumb

Nel 2022, il governo della Costa Rica ha dichiarato un emergenza nazionale dopo un attacco ransomware ha portato 27 enti governativi offline, interrompendo le funzioni quotidiane per mesi. Nel 2023, un dipendente di una multinazionale di Hong Kong trasferito $ 25.6 milioni dopo aver ricevuto istruzioni in tal senso durante una chiamata Zoom con colleghi che aveva riconosciuto. Gli altri partecipanti, tuttavia, erano dei deepfake e il denaro è stato inviato a conti falsi.    

La frequenza, la complessità e il costo dei crimini informatici hanno continuato ad aumentare anni recenti, e stanno diventando notoriamente difficile per contrastare. Il consenso e la cooperazione internazionale stanno diventando sempre più critici per affrontare i rischi in rapida evoluzione che questi crimini pongono a Stati, aziende e individui.  

In 2021, l' Comitato ad hoc per elaborare una Convenzione internazionale completa per contrastare l'uso delle tecnologie dell'informazione e della comunicazione a fini criminali ha tenuto la sua prima sessione organizzativa, con l'obiettivo finale di redigere una convenzione per affrontare la criminalità informatica ("la Convenzione"). Tuttavia, definire lo scopo e l'ambito precisi di tale convenzione è irto di complessità; bilanciare la necessità di un'efficace applicazione della legge con la protezione della privacy e dei diritti umani rimane una sfida significativa.    

Dopo tre anni di trattative, questo gruppo terrà la sua riunione conclusiva riconvocata Sessione dal 29 luglio al 9 agosto 2024. Durante questa sessione, si prevede di raggiungere un accordo sul testo finale della Convenzione; la bozza più recente è stato pubblicato il 23 maggio 2024. Il testo della Convenzione potrebbe cambiare in modo significativo durante i prossimi negoziati. Questo primer affronta alcuni aspetti chiave e dibattiti relativi al testo attuale. Possono essere riassunti come segue:  

• La Convenzione criminalizza una serie di crimini fondamentali dipendenti dal cyber e un numero limitato di crimini abilitati dal cyber. Obbliga inoltre gli Stati a sviluppare capacità di indagine e applicazione digitale e ad applicare questi nuovi poteri ad altri crimini commessi tramite reti informatiche;
• Le indagini informatiche possono essere invasive e i gruppi per i diritti digitali discutere che l’ambito di applicazione ampliato e la mancanza di garanzie sufficienti mettono a repentaglio i diritti umani;
• La Convenzione utilizza un linguaggio tecnologicamente neutrale; affronta le attività, non i metodi, in modo da rimanere rilevante anche in caso di evoluzione della tecnologia; e
• La Convenzione si concentra sulla lotta agli usi negativi della tecnologia, non sulla promozione degli usi positivi.  

Che cosa si intende per “crimine informatico”?

Non esiste un consenso internazionale su cosa costituisca un crimine informatico e l'attuale bozza della Convenzione non fornisce una definizione esplicita. Il crimine informatico è utilizzato come termine generico per una gamma di attività online con due ampie categorie: crimini abilitati dal cyber e crimini dipendenti dal cyber.

Molte attività criminali tradizionali vengono condotte online ma non richiedono l'uso di un computer. Queste sono chiamate crimini informaticiEsempi includono il traffico di droga e di armi, il furto di identità, la frode e l'incitamento alla violenza. Crimini informatici, d'altro canto, sono crimini che possono essere commessi solo tramite l'uso di dispositivi ICT (Information and Communication Technology). Non puoi diffondere malware se non c'è un computer o una rete da infettare.  

Negoziazioni sulla portata

Nel corso delle negoziazioni, le parti non sono state d'accordo se questa Convenzione dovesse affrontare i crimini che possono essere commessi solo tramite l'uso di computer o reti, o anche coprire altri crimini se commessi tramite l'uso di una ICT. Nel primo caso, il trattato definirebbe e criminalizzerebbe una serie di crimini dipendenti dal cyber e fornirebbe misure procedurali attraverso le quali gli Stati indagherebbero e farebbero rispettare in modo cooperativo tali attività. Alcuni Stati che si allineano a questa visione, tra cui Nuova Zelanda, Canada, e il Stati Uniti—hanno suggerito che determinati crimini informatici potrebbero rientrare nell'ambito di applicazione del trattato se fossero aumentati in modo esponenziale attraverso l'uso delle ICT, come la frode digitale e la diffusione di materiale pedopornografico.  

Dall'altro lato del dibattito, gli Stati tra cui Russia e di Cina ci si aspetta che la Convenzione affronti un'ampia gamma di attività criminali condotte utilizzando le ICT (cyber-enabled), oltre ai reati informatici. India, Cina e Indonesia erano tra gli Stati che hanno proposto la Convenzione per criminalizzare la diffusione di disinformazione o “informazioni dannose.” La Russia del 2021 sottomissione ha elencato 24 atti illeciti da stabilire ai sensi della Convenzione, tra cui il traffico di stupefacenti, la coercizione al suicidio e i “reati connessi all’estremismo”.  

Le organizzazioni per i diritti umani e digitali si sono opposte a quest’ultima visione, mettendo in guardia dalle gravi minacce ai diritti umani che un’ampia portata comporta, in particolare senza adeguate garanzie e protezioni in atto. Un'ampia portata, sia attraverso crimini informatici definiti o attraverso un linguaggio vago, rischia di criminalizzare contenuti e attività, tra cui dissenso politico, indipendenza giornalismoe risorse LGBTQ+.

Indagare sui crimini commessi tramite le ICT può rivelarsi un processo altamente invasivo e può essere utilizzato per giustificare una sorveglianza su vasta scala. Organizzazioni per i diritti digitali e gli organismi delle Nazioni Unite, tra cui l' Ufficio dell'Alto Commissario per i Diritti Umani, hanno sollevato preoccupazioni su come le leggi nazionali sulla criminalità informatica siano spesso utilizzate per giustificare la limitazione della libertà di parola, di riunione e di associazione.

Esistono ragioni legittime per lo sviluppo delle capacità e la cooperazione internazionale nell'indagine sui crimini commessi tramite le ICT. Tuttavia, i sostenitori dei diritti umani enfatizzare che un ambito di applicazione ristretto, chiare limitazioni ed esplicite garanzie per i diritti umani sono necessari per prevenire la violazione della privacy, la raccolta eccessiva di informazioni, la criminalizzazione della libertà di parola online e l'indebolimento della trasparenza e della fiducia nelle comunicazioni digitali.   

Tuttavia, i sostenitori dei diritti umani sottolineano che un ambito di applicazione ristretto, chiare limitazioni ed esplicite garanzie per i diritti umani sono necessari per prevenire la violazione della privacy, la raccolta eccessiva di informazioni, la criminalizzazione della libertà di parola online e l'indebolimento della trasparenza e della fiducia nelle comunicazioni digitali.

Ambito della bozza attuale: criminalizzazione, applicazione e cooperazione  

L'articolo 3 della bozza più recente definisce l'ambito della Convenzione in due parti. In primo luogo, il testo affronta "la prevenzione, l'indagine e il perseguimento" delle attività criminalizzate nella Convenzione (articoli 7–17), che sono:  

• Accesso illegale a un sistema ICT;
• Intercettazione illegale di dati elettronici;
• Interferenza con dati elettronici o con un sistema ICT;
• Uso improprio dei dispositivi per gli scopi sopra indicati;
• Falsificazione, furto o frode relativi a un sistema ICT;
• Sollecitazione, produzione, distribuzione o possesso di materiale pedopornografico tramite ICT;
• Diffusione di immagini intime senza il consenso del soggetto tramite ICT; e
• Riciclaggio dei proventi di uno qualsiasi dei reati sopra menzionati.

L’articolo 3(b) amplia la portata per includere la raccolta e la conservazione di una serie di dati elettronici relativi ad “altri reati penali” – compresi i reati nazionali – commessi tramite una ICT (articolo 23) e un’ampia cooperazione internazionale nella raccolta e condivisione delle prove (articolo 35).  

Ciò significa che i solidi poteri investigativi che gli Stati sono obbligati a sviluppare ai sensi della Convenzione possono essere esercitati per quasi qualsiasi motivo, purché l'attività presa di mira sia illegale ai sensi del diritto interno di uno Stato. Le misure procedurali e l'applicazione a cui si applica questo ambito includono il potere delle autorità statali di ordinare, riscuotere o ottenere:  

• La conservazione dei dati sul traffico, dei dati sui contenuti e delle informazioni sugli abbonati;
• Dati elettronici specificati memorizzati nel suo territorio;
• L'assistenza dei fornitori di servizi o di altre entità nel controllo dei dati in fase di ricerca e sequestro;
• Raccolta di dati sul traffico in tempo reale; e
• Intercettazione dei dati di contenuto.  

Ciò significa che i solidi poteri investigativi che gli Stati sono tenuti a sviluppare ai sensi della Convenzione possono essere esercitati per quasi qualsiasi motivo, purché l'attività presa di mira sia illegale secondo il diritto interno dello Stato. 

Le disposizioni nell'ambito procedurale obbligano gli Stati a obbligare i fornitori di servizi a mantenere riservato il loro coinvolgimento obbligatorio nella conservazione o raccolta di dati. In teoria, ciò significa che la Convenzione rafforza e legittimaGli Stati possono condurre livelli elevati di sorveglianza potenzialmente invasiva per qualsiasi attività ritenuta illegale ai sensi del loro diritto interno, anche attraverso l'assistenza forzata dei fornitori di servizi in procedure che eludono la trasparenza o la supervisione.  

La definizione di "dati elettronici", che sono soggetti a conservazione, produzione, perquisizione e sequestro, include tutti i dati, indipendentemente dal fatto che siano stati comunicati o meno. Documenti e note salvati su dispositivi personali sono quindi soggetti alla produzione e al sequestro da parte delle autorità.      

Il fatto che questa raccolta si applichi alle leggi nazionali significa che la sorveglianza digitale potrebbe essere condotta per indagare sulle attività protette in gran parte del mondo. Ad esempio, le persone LGBTQ+ potrebbero essere prese di mira in 64 Stati membri delle Nazioni Unite in cui l'omosessualità è illegale (questo numero si basa sui dati del 2023).  

È importante ricordare che gli Stati potrebbero condurre simili indagini digitali nel loro territorio senza questa Convenzione; il trattato richiede agli Stati di emanare una legislazione nei rispettivi Paesi che potrebbe entrare in vigore senza obblighi internazionali. La Convenzione, tuttavia, richiederebbe lo sviluppo globale di questi sistemi. Inoltre, la Convenzione obbligherebbe la cooperazione internazionale su una serie di indagini e procedimenti digitali.  

Ci sono dei vantaggi pratici in questo. Gli Stati hanno l'autorità legittima di raccogliere prove relative a indagini e procedimenti penali, ma molti non hanno l'infrastruttura e i sistemi procedurali per farlo con dati digitali. Questa Convenzione li motiverebbe a sviluppare infrastrutture e procedure, e le disposizioni nel testo prevedono che l'assistenza tecnologica sia resa disponibile per gli Stati in via di sviluppo.  

L’articolo 35 definisce l’ambito della cooperazione internazionale sulla “raccolta, ottenimento, conservazione e condivisione di prove in formato elettronico”. Le disposizioni correlate nell’attuale bozza richiedono “la più ampia misura di assistenza giudiziaria reciproca” per le indagini e le azioni penali per i crimini stabiliti nella Convenzione, nonché per i “crimini gravi” commessi utilizzando una ICT.

Richiedere che queste indagini siano motivate da crimini gravi (o da un'attività criminalizzata nella Convenzione) è anche una limitazione applicata alla raccolta di dati sui contenuti. Un crimine grave è definito nel testo come un crimine per il quale la pena nazionale applicabile comporta una pena massima di quattro anni di reclusione o più. Quindi, uno Stato potrebbe ragionevolmente aumentare la pena per qualsiasi crimine che desidera rientrare nella Convenzione, rendendo così il reato “grave”.     

Tutele e limitazioni

Parallelamente ai dibattiti sulla portata, gli Stati hanno avuto ampi disaccordi sulla misura in cui la Convenzione dovrebbe articolare le salvaguardie per i diritti umani. Mentre il testo di bozza contiene disposizioni sui diritti umani, molte organizzazioni sostengono che non sono sufficienti a prevenire in modo significativo le violazioni dei diritti umani.  

L'articolo 6 fornisce garanzie che si applicano all'intera Convenzione, e l'articolo 24 descrive quelle che si applicano ai poteri di sorveglianza interna. Nessuna delle due disposizioni fa riferimento specifico ai trattati sui diritti umani esistenti; richiedono che l'attuazione del trattato da parte degli Stati sia "coerente con i loro obblighi" ai sensi del diritto internazionale sui diritti umani. L'articolo 6 include anche una garanzia aggiuntiva, adottata da una proposta di Canada, che afferma che gli Stati non possono interpretare alcunché nella Convenzione come “permesso di reprimere i diritti umani o le libertà fondamentali”.    

L'articolo 24 sostiene che l'attuazione dei poteri di sorveglianza è soggetta alle garanzie previste dal diritto interno di ogni Stato. Sfortunatamente, le limitazioni necessarie per garantire i diritti umani sono assenti in molti sistemi giuridici nazionali. L'articolo sostiene anche che questi poteri incorporano il principio di proporzionalità. Tuttavia, non richiede la conformità con altri principi fondamentali, tra cui legalità, non discriminazione, scopo legittimo e necessità.

Intelligenza artificiale nella Convention e oltre

Durante le negoziazioni, le parti hanno concordato in generale sul fatto che la Convenzione dovrebbe utilizzare un linguaggio tecnologicamente neutrale in modo che l'attività rimanga illegale se e quando cambiano metodi o obiettivi. I metodi e i meccanismi utilizzati negli attacchi informatici si evolvono rapidamente e il rilascio di ChatGPT e di altri modelli di intelligenza artificiale (IA) generativa ha dato nuovo significato e portata ai crimini informatici.  

Questa neutralità tecnologica significa che la criminalizzazione non viene elusa attraverso l'uso malevolo dell'IA. L'uso di deepfake per ingannare dipendenti di Hong Kong, ad esempio, è criminalizzato ai sensi dell'articolo 13, che affronta il furto e la frode correlati alle ICT. L'articolo 11 obbliga gli Stati a criminalizzare "un dispositivo, incluso un programma, progettato o adattato principalmente allo scopo di commettere" un crimine dipendente dal cyber, definito negli articoli 7-10. Questo linguaggio sembra criminalizzare i modelli di IA ottimizzati per generare malware e altro codice dannoso.

Allo stesso modo, l'articolo 14 definisce il materiale di abuso sessuale sui minori come un reato, ovvero un contenuto sessualizzato che "raffigura, descrive o rappresenta" un minore. Ciò include la criminalizzazione di Materiale generato dall'intelligenza artificiale; sebbene il testo consenta agli Stati di richiedere che il soggetto sia un bambino reale. L'articolo 16, che criminalizza la "diffusione non consensuale di immagini intime", d'altro canto, affronta "le registrazioni visive di una persona", non i contenuti generati.  

Nel riflettere su questi aspetti, le parti dovrebbero indagare quale problema il trattato sta cercando di affrontare: sta criminalizzando attività dannose che non esistevano prima dell'avvento di Internet o promuovendo il rafforzamento delle capacità e la cooperazione nell'applicazione digitale dei crimini "tradizionali" commessi online? In quest'ultimo caso, quei crimini sono definiti dal diritto nazionale o internazionale? In entrambi i casi, è fondamentale considerare come l'applicazione possa essere ottimizzata per dare priorità in modo efficiente alla distribuzione delle risorse e salvaguardare un'ampia gamma di diritti umani.  

Quando si considerano paesaggi tecnologici dinamici, i decisori politici spesso rispondono segmentando lo spazio digitale come un'area politica separata. Ma è davvero così? Le ICT sono un mezzo integrale con cui individui e istituzioni conducono una serie di attività dannose, benefiche e benigne. Se queste attività sono oggetto di governance, allora è efficace una politica generale sui mezzi con cui l'attività viene condotta? Invece, forse gli Stati dovrebbero considerare se gli strumenti internazionali esistenti specifici per argomento, come quelli dedicati a droga e crimini, possano essere resi più efficaci incorporando dinamiche digitali.

Per saperne di più:  

• Nel gennaio 2024, oltre 100 gruppi provenienti da tutto il mondo hanno firmato un Dichiarazione congiunta sul trattato proposto sulla criminalità informatica prima della sessione conclusivae lo consegnò ai negoziatori dell'ONU.  
• Nel luglio 2024, 22 organizzazioni della società civile hanno firmato un appello urgente ai delegati dell'UE affinché affrontino i difetti critici presenti nella bozza della Convenzione.
• Durante un recente conferenza stampa, la Electronic Frontier Foundation ha condiviso un testo della dichiarazione orale e bozza FAQ sull'argomento e sulla Convenzione.

Per saperne di più: https://unu.edu/cpr/blog-post/understanding-uns-new-international-treaty-fight-cybercrime