Cybercrime, cooperazione e meccanismi di attuazione della futura convenzione Onu

Dal 29 Agosto al 9 Settembre 2022, il Centro Pio La Torre ha partecipato a New York alla Terza Sessione del Comitato Ad Hoc per l’elaborazione di una nuova Convenzione internazionale per contrastare l’uso delle tecnologie dell’informazione e comunicazione per scopi criminali.
Una volta aperta la sessione, la Presidente H.E. Boumaiza Mebarki ha sottolineato l’urgenza di questo nuovo testo in fase di elaborazione, soprattutto a causa della continua emergenza di nuove modalità di commissione dei reati, nella loro forma cyber. L’obiettivo della Presidenza è di procedere in modo spedito con la redazione della nuova convenzione, affinché quest’ultima possa essere conclusa nei tempi stabiliti.
I temi analizzati durante questa Terza Sessione, indicati dalla “Provisional Agenda” sono stati: la cooperazione internazionale, l’assistenza tecnica, le misure preventive, i meccanismi di attuazione, le disposizioni finali e il preambolo.

Le prime riunioni di questa sessione estiva si sono concentrate interamente sull’argomento più vasto, ovvero la cooperazione internazionale.
Data la sua ampiezza, la Presidenza ha optato per un metodo già adottato durante la Seconda Sessione del Comitato Ad Hoc, ovvero suddividere la materia in argomenti che concernono ognuno un aspetto diverso. Ad ogni argomento erano riferite delle domande proprio per analizzare la questione nel dettaglio. In questo modo è stato possibile trattare ciascun aspetto della cooperazione internazionale, dando la possibilità a tutti gli Stati e gli stakeholders di esprimersi.
La base della collaborazione internazionale è la fiducia tra gli Stati, fondamentale per instaurare solide relazioni che possano durare nel tempo. Inoltre, l’obiettivo principale di tale collaborazione è fornire mezzi, scambio di informazioni e prove, assistenza tecnica, per sopperire all’inadeguatezza di alcuni metodi, non abbastanza incisivi per combattere il cybercrime.
Tra gli strumenti principali per attuare la cooperazione internazionale vi sono certamente l’estradizione e l’assistenza giudiziaria reciproca, da includere all’interno della convenzione, insieme anche ad operazioni congiunte, e norme sulla confisca.
Lo strumento più diffuso però resta l’estradizione: gli Stati hanno ribadito che le discipline sul tema si riferiscano ai reati contemplati all’interno della nuova convenzione, richiamando anche le modalità seguite in UNTOC e UNCAC.
Per quanto riguarda invece le modalità di trasmissione delle richieste di cooperazione, principalmente dell’estradizione, ma non solo, la maggior parte degli Stati si è espressa favorevolmente a seguire i canali tradizionali, come i canali diplomatici. Un’evoluzione si è avuta per quanto riguarda la trasmissione delle informazioni e prove elettroniche: diversi Paesi hanno infatti supportato l’utilizzo di canali elettronici, più rapidi ed immediati, ma protetti comunque da password, onde evitare dispersioni di informazioni.
In casi particolarmente urgenti, l’intervento tramite i canali dell’INTERPOL può essere risolutivo, specialmente grazie al suo programma “Red Notice”.
Il bilanciamento tra le norme relative alla cooperazione internazionale e i diritti e le libertà fondamentali è un importante aspetto da tenere in considerazione, specialmente in riferimento alla protezione della privacy e dei dati personali.
Il rifiuto da parte di uno stato di collaborare, che sia mediante l’estradizione o comunque altro mezzo, è principalmente dipendente dalla violazione di diritti umani e libertà, o comunque in caso di grave pregiudizio in capo ai soggetti interessati.
Seppur gli Stati concordano sul nesso tra rifiuto di collaborare e tutela dei diritti, è sorta però una diatriba in riferimento alla possibilità di disciplinare tale aspetto nella convenzione, oppure rimetterlo alla competenza degli ordinamenti giuridici interni.
Un metodo approvato dal Comitato al fine di realizzare una incisiva collaborazione internazionale è di istituire dei network attivi 24/7, affinché possano fornire un primo supporto, e dare consigli per attenuare o prevenire gli attacchi informatici.

Un altro tema trattato durante la Terza Sessione del Comitato Ad Hoc è stato, come già anticipato in precedenza, l’assistenza tecnica. Gli Stati sono pressoché sulla stessa lunghezza d’onda in merito a questo argomento, infatti sono state poche le divergenze di opinione.
La sezione relativa all’assistenza tecnica dovrebbe concentrarsi sulle pratiche riferite alle indagini, per migliorare le capacità interne degli Stati al fine di combattere il cybercrime, prevedendo e formulando anche delle contromisure. L’assistenza tecnica consiste propriamente in programmi di formazione degli organi giudiziari, operatori, personale di polizia, fornendo loro materiali e nozioni per contrastare la criminalità informatica non solo a livello globale, ma anche a livello locale.
Come già detto, l’istituzione all’interno degli Stati Membri di network che siano accessibili 24/7 per fornire aiuti in caso di attacco informatico è stata accolta da tutti, proprio per garantire un supporto immediato, non appena la lesione si è verificata, cercando di individuare gli autori il prima possibile e di attenuare gli effetti dell’attacco. È stata riconosciuta dal Comitato Ad Hoc l’importanza dei contributi dell’UNODC e dell’INTERPOL per fornire assistenza tecnica agli Stati che si trovano in condizioni meno favorevoli.
Un aspetto sollevato dagli Stati Uniti, che è stato accolto da diversi Stati Membri, è di evitare di essere eccessivamente prescrittivi nell’indicazione delle modalità di attuazione dell’assistenza tecnica. Gli USA suggeriscono invece di rimanere flessibili e tecnologicamente neutri, evitando quindi il rischio di non comprendere all’interno delle discipline anche fattispecie e tecnologie future, ancora in fase di sviluppo.

Il tema delle misure preventive è stato vivamente discusso.
Gli Stati hanno accolto di buon grado l’idea di creare programmi di formazione e diffusione dell’informazione per migliorare la conoscenza sul cybercrime. È necessario cercare di agire prima che il reato si consumi, appunto prevenendolo e prevedendolo, attraverso la divulgazione di conoscenze. La cooperazione con gli stakeholders specialmente in questo ambito è fondamentale, perché possono fornire una diffusione delle informazioni sulle minacce informatiche a tutti i livelli, tramite l’educazione nelle scuole e all’università, pratiche di cybersecurity da insegnare agli operatori e al personale delle aziende.
È stato però ribadito dalla maggior parte degli Stati del Comitato che non si tratta di un trattato sulla cybersecurity, ma di un trattato sul cybercrime: seppur tali pratiche siano efficienti nella battaglia contro la criminalità informatica, l’obiettivo della nuova convenzione resta quello di disciplinare le fattispecie delittuose propriamente dette, insieme alle loro diverse manifestazioni.
Anche in quest’ambito delle misure preventive, così come nel caso dell’assistenza tecnica, non bisogna essere troppo prescrittivi: è opportuno istruire la gente comune, promuovendo l’educazione e la collaborazione tra il settore pubblico e privato, sviluppare nuovi metodi di tutela al fine di garantire diritti e libertà fondamentali.

Per quanto riguarda i meccanismi di attuazione della futura convenzione, quasi tutti gli Stati convengono nell’istituire la Conferenza delle Parti, metodo utilizzato anche per le convenzioni UNTOC e UNCAC, seguendone infatti i modelli, non solo perché particolarmente efficienti ma anche perché inclusivi: la Conferenza delle Parti dà infatti la possibilità a tutti gli Stati di esprimersi liberamente sui temi in esame, e mantenere anche la coerenza con gli altri strumenti già esistenti.
Nonostante la maggior parte dei Membri del Comitato conviene con questa modalità, altri Stati come Russia, Cina e non solo hanno suggerito di costituire oltre alla Conferenza delle Parti anche una Commissione Tecnica Internazionale per verificare la corretta applicazione all’interno degli Stati, quindi una maggiore supervisione.

La discussione relativa alle disposizioni finali si è occupata principalmente dell’inclusione di una previsione sugli effetti della nuova convenzione in relazione agli altri trattati già esistenti, al fine di garantire la coerenza con il quadro internazionale.
La possibilità di includere anche delle norme che possano sviluppare dei protocolli addizionali è stata presa in considerazione da diversi Stati, specialmente in vista delle nuove tecnologie ancora in fase di evoluzione. Eppure però altri Membri del Comitato hanno sostenuto fosse prematuro trattare tale argomento: allo stato attuale, è preferibile concentrarsi principalmente sul corpo della convenzione.

Seppur all’interno della “Provisional Agenda” fosse indicato tra gli argomenti da discutere anche il preambolo, tutti gli Stati hanno concordato nel trattare del tema successivamente. Soltanto quando la convenzione sarà redatta nella sua interezza sarà possibile realizzare un preambolo con l’indicazione dei suoi principi fondamentali tra cui collaborazione, assistenza, trasparenza, sovranità degli Stati ecc, insieme anche agli obiettivi e agli scopi della futura normativa sul cybercrime.

Questa Terza Sessione del Comitato Ad Hoc ha avuto successo, nonostante le evidenti divergenze di opinione, specialmente in riferimento al tema della cooperazione internazionale.
L’obiettivo delle future riunioni sarà individuare delle soluzioni comuni che possano essere ottimali per le esigenze di tutti gli Stati Membri.
L’appuntamento è rinnovato alla prossima Intersessional Consultation dedicata ai multi-stakeholders, giorni 3 e 4 Novembre 2022. 

 English Version 

Between Cooperation and Mechanisms of Implementation of the future Convention: the Third Session of the Ad Hoc Committee 

From 29th August to 9th September 2022, Centro Pio La Torre participated to the Third Session of the Ad Hoc Committee to elaborate a comprehensive international convention on countering the use of information and communications technologies for criminal purposes.
Once the session had opened, Chair H.E. Boumazia Mebarki underlined the importance of the under-development new convention, especially for the constant emergency of new modalities of commission of crimes, in their cyber form. The purpose is to carry on with the redaction of the convention, so that it could be concluded as soon as possible.
The themes analyzed during this Third Session, indicated in the “Provisional Agenda”, were: international cooperation, technical assistance, preventive measures, mechanisms of implementation, final dispositions and preamble.

The first meetings of this summer session focused entirely on the broadest item, international cooperation.
Given its breadth, Chair opted for a method already used in the Second Session of the Ad Hoc Committee, that is dividing the matter in different topics, concerning different aspects.
Each topic referred to some questions, in order to analyze the item in detail. This method is useful to deal with all the aspects of international cooperation, giving the possibility to Member States and stakeholders to express on it.
The basis of international cooperation is trust among States, essential to establish strong relations that can last. Moreover, the main objective of this collaboration is to provide means, exchange of information and evidence, technical assistance, in order to face up to the inadequacy of some methods, not quite incisive to combat cybercrime.
Among the instruments to implement international cooperation, certainly extradition and mutual legal assistance are noteworthy to be included into the convention, along with joint operations and rules on confiscation. But, the most popular means is extradition: States clarified that disciplines on this instrument should refer to crimes contemplated within the new convention, recalling also methods followed in UNTOC and UNCAC.
About the discussions on the modalities of transmission of requests of cooperation, the majority of States is favorable to follow traditional channels, like diplomatic channels. But an evolution came up on the transmission of information and electronic evidence: a lot of countries supported the use of electronic channels, faster and more immediate, in any cases protected by passwords, in order to avoid the possibility to disperse information. In urgent cases, the help provided by INTERPOL channels could be critical, especially through the “Red Notice” program.
The balance between dispositions on international cooperation and fundamental rights and freedoms is an important aspect which would be taken into account, in reference to the protection of privacy and personal data. Indeed, a State’s refusal to collaborate mainly depends on the violation of human rights and freedoms, or in case of serious damage to interested people.
Even though States agree on the nexus between the grounds for refusal and protection of rights, there is a disagreement whether to discipline this aspect within the convention, or transmit it to domestic legal systems.
A method approved by the Committee to realize an incisive international cooperation is to establish 24/7 network of points of contact, providing for a first response, giving suggestions to attenuate or prevent IT attacks.

Another theme analyzed at the Third Session of the Ad Hoc Committee was technical assistance. The section on this matter, included in the convention, should refer to best practices of investigation, to enhance domestic capacities of States to combat cybercrime, elaborating countermeasures also. Technical assistance concerns training programs and courses dedicated to judicial bodies, operators, law enforcement, providing tools and notions to counter information technology threats, both at global and local levels.
As it was said, the establishment within Member States of 24/7 network of points of contact for providing help in case of IT attacks was supported by the Committee, in order to guarantee an immediate backing when the damage had occurred, trying to identify the authors as soon as possible.
Moreover, it was recognized the importance of contributions offered by UNODC and INTERPOL, to provide technical assistance to those States in less favorable conditions.
An aspect to take into consideration, raised by the United States of America, is to avoid being overly prescriptive in the indication of modalities of implementation of technical assistance. USA suggests to be flexible and technologically neutral, so avoiding the risk to exclude future technologies, still developing.

The item on preventive measures was discusses a lot.
States agreed on the idea to create training programs and to spread information improving knowledge on cybercrime. It is necessary to act before the crime has occurred, so preventing it. Cooperation with stakeholders is fundamental because they may spread information on IT threats to all levels, through education at school and university, learning cybersecurity practices.
Also, in this area of preventive measures, as in the case of technical assistance, the text should not be too prescriptive: it is advisable to teach ordinary people, promoting education and collaboration between the public and private sectors, developing new methods of protection in order to guarantee fundamental rights and freedoms.

As regard the mechanisms of implementation of the future convention, almost all States agreed on the establishment of the Conference of Parties, method used also for UNTOC and UNCAC. These two models are followed not only because particularly efficient, but also because of the inclusiveness: Conference of Parties gives the possibility to all States to freely express on the matter in hand, keeping also consistency with the other instruments already existent.
Despite the majority of Members of this Committee agreeing on this modality, other countries like the Russian Federation, China and others suggested to establish also an International Technical Commission to verify the correct application in domestic legal systems.

The discussion on final dispositions dealt with the inclusion of a provision on the effects of the new convention in relation with other treaties already existent, in order to guarantee the consistency in the international framework.
The possibility to include rules on the development of additional protocols was considered by a lot of States, especially in view of the new technologies. And yet, some other States have argued that it was premature to deal with this topic: at present, it is preferable to focus primarily on the core of the convention.

Although within the "Provisional Agenda" the preamble was also indicated among the topics to be discussed, all states agreed in dealing with the topic later. Only when the convention is drafted in its entirety, it will be possible to create a preamble with an indication of its fundamental principles including collaboration, assistance, transparency, state sovereignty, etc., together with the objectives and purposes of the future convention.

This Third Session of the Ad Hoc Committee was successful, despite the evident differences of opinion, especially in reference to the topic of international cooperation.
The goal of future meetings will be to identify common solutions that can be optimal for the needs of all Member States.
The appointment is renewed at the next Intersessional Consultation dedicated to multi-stakeholders, on 3rd and 4th November 2022.