Truffe digitali e furti d'identità al tavolo Onu

Dal 30 Maggio al 10 Giugno 2022, il Centro Pio La Torre ha partecipato alla Seconda Sessione del Comitato Ad Hoc per l’elaborazione di una nuova Convenzione internazionale per contrastare l’uso delle tecnologie dell’informazione e comunicazione per scopi criminali.
Una volta aperta la sessione, la Presidente Boumaiza Mebarki ha presentato il rapporto relativo alla prima Intersessional Consultation dedicata agli multi-stakeholders, sottolineando l’importanza dei contributi forniti proprio da organizzazioni non governative, società civile e settore privato, al fine di garantire un dialogo interattivo con gli Stati Membri.
Ai sensi di quanto previsto dalla “Provisional Agenda”, i temi analizzati durante questa seconda sessione del Comitato Ad Hoc sono stati: norme sulla criminalizzazione, previsioni generali, discipline procedurali e meccanismi di attuazione. Ciò rappresenta il cuore della nuova convenzione contro il cybercrime.
Al fine di evitare la possibilità di condurre un processo negoziale approssimativo, la Presidenza ha optato per un metodo inclusivo di partecipazione al dibattito, ideando alcune domande da sottoporre agli Stati Membri circa le questioni da trattare.
In merito alle disposizioni sulla criminalizzazione, affinché alcune tipologie di reati non venissero tralasciate, la Presidente ha preferito dividere la materia in cinque gruppi.
Il primo gruppo si è occupato dei cd. cyber-dependent crime1, come l'accesso illegale, l'interferenza di dati e sistemi, l'uso improprio di dispositivi o malware. Il dibattito ha esaminato la questione dell’elemento soggettivo, sottolineando principalmente la natura intenzionale di questo tipo di reati. Inoltre, in relazione alle specifiche condotte poste in essere, è stato analizzato anche il concetto di danno: seppur secondo alcuni Stati Membri esso dovrebbe configurarsi, la maggior parte dei delegati ha suggerito di considerare la nozione di danno come circostanza aggravante. Anche gli attacchi informatici alle infrastrutture critiche dovrebbero essere considerati un'aggravante.
Inoltre, il tentativo di cyber-dependent crime dovrebbe essere sanzionato, per aver messo in pericolo sistemi o informazioni riservate.
Infine, un tema molto dibattuto che ha però visto una prospettiva comune è stato l'inclusione di definizioni ampie, evitando quelle restrittive che possano limitare il raggio d’azione delle disposizioni legislative, cercando invece di coinvolgere quante più fattispecie delittuose possibili.
Il secondo gruppo di domande proposte dalla Presidenza si è concentrato sui reati in materia di identità, truffa, contraffazione e violazione del copyright, richiamando quindi la categoria dei cyber-enabled crime2.
La discussione ha principalmente riguardato la cd. “fraud”, perpetrata in tutto o in parte tramite le tecnologie dell’informazione e comunicazione, e se si tratti di un reato tanto ampio da poter contenere altre condotte come furto, truffa, reati finanziari e reati relativi agli strumenti di pagamento elettronico.
Anche un altro importante reato è stato discusso, ovvero la falsificazione, specialmente in relazione alla sua pericolosità, e se possa anch’esso contenere altre condotte criminose, ad esempio la creazione di informazioni per indurre in errore gli utenti.
I reati relativi all’identità sono stati approfonditi, specialmente a causa del coinvolgimento di dati sensibili e informazioni riservate: molti delegati preferirebbero distinguere il furto di identità da altri comportamenti come l'utilizzo di dati personali per commettere reati, ma in generale, la maggior parte degli Stati Membri ha convenuto sull'inclusione di questi temi nella nuova convenzione, essendo pratiche fortemente diffuse.
La violazione del copyright è stata ritenuta invece non necessaria ai fini della nuova convenzione, non solo perché la materia è già disciplinata da altri strumenti regionali e internazionali, ma anche perché il copyright è regolato principalmente dal diritto interno di ogni Stato.
Le domande relative al terzo gruppo hanno analizzato fattispecie come abusi sessuali su minori online, estorsioni sessuali su minori, revenge porn, coinvolgimento di minori nella commissione di atti illegali.
Premesso che i minori debbano avere la massima tutela, a causa della loro vulnerabilità ed esposizione ai rischi di Internet, secondo alcuni delegati è preferibile utilizzare i parametri di età indicati nella Convenzione sui Diritti dell'Infanzia, al fine di garantire una piena salvaguardia. Inoltre, la Convenzione di Budapest insieme alla Convenzione di Lanzarote potrebbe essere un buon punto di riferimento per elaborare le discipline del nuovo strumento giuridico delle Nazioni Unite. In generale, risultano necessarie delle norme specifiche su produzione, diffusione e vendita di materiale pedopornografico; di notevole attenzione anche l'estorsione e lo sfruttamento sessuale dei minori, in quanto comportamenti lesivi: i bambini non sono ancora abbastanza maturi per poter comprendere effettivamente cosa succede, e soprattutto non sono in grado di esprimere validamente il consenso sessuale. Per questo motivo, gli Stati Membri hanno suggerito di definire questi comportamenti in modo flessibile, per assorbire quante più connotazioni possibili.
Anche il grooming online e il revenge porn dovrebbero essere definite e disciplinate nella nuova convenzione ONU, in quanto pratiche tra le più popolari degli ultimi anni.
Gli ultimi due gruppi di domande proposte dalla Presidenza, discussi insieme, hanno trattato rispettivamente i reati connessi al terrorismo, alla discriminazione, al razzismo, alla xenofobia, alla distribuzione di stupefacenti, al traffico di armi e alla criminalità organizzata (quarto gruppo) e al riciclaggio di denaro, favoreggiamento, partecipazione, tentativo, intralcio alla giustizia (quinto gruppo).
Il dibattito relativo ai suddetti gruppi è stato il più controverso: da un lato, molti Stati Membri hanno proposto di non includere nella nuova convenzione i reati legati alla discriminazione, al razzismo, al traffico di armi e di droga perché potrebbe esserci il rischio di concentrarsi su materie già disciplinate da altre convenzioni internazionali; d'altra parte, alcuni delegati hanno sostenuto fortemente l'aggiunta di tali temi, dal momento che questi fenomeni sono in forte aumento attraverso l'uso delle tecnologie dell’informazione e comunicazione, specialmente il terrorismo e la criminalità organizzata, nelle loro forme cyber (cyber-terrorism, cyber-organized crime).
Partecipazione, favoreggiamento e tentativo sono considerati da alcuni Stati Membri rilevanti per la futura convenzione, sebbene altri abbiano suggerito l’attuazione delle normative interne.
La maggior parte dei delegati ha convenuto anche sull'inclusione del riciclaggio di denaro, soprattutto nella sua manifestazione nel cyberspace.
L'unica questione accolta pacificamente da tutti è stata in riferimento all’estensione della responsabilità penale alle persone giuridiche, coerentemente con le disposizioni dell'UNTOC (Convenzione di Palermo).
La discussione sulle disposizioni generali ha affrontato diverse tematiche. Oltre ad alcune indicazioni circa le finalità e sull’ambito di applicazione della convenzione, è stata sottolineata l'importanza di utilizzare un linguaggio tecnologicamente neutro all'interno del testo, senza quindi specificare tutti gli strumenti che possono essere utilizzati per commettere un crimine informatico, onde evitare il rischio di limitare il raggio d'azione di questa convenzione, diventando poco utile per il futuro. Invece, l'approccio neutrale alla tecnologia potrebbe adattarsi alla costante evoluzione e sviluppo delle tecnologie dell’informazione e comunicazione.
Inoltre, è opportuno utilizzare una terminologia simile alle precedenti convenzioni UNTOC e UNCAC per mantenere il medesimo filo conduttore. Entrambi sono dei veri e propri modelli da seguire, soprattutto in riferimento alla struttura della convenzione stessa.
Inoltre, gli Stati Membri sono favorevoli all'utilizzo di prove elettroniche, che non dovrebbero essere limitate ai reati indicati in questo nuovo documento giuridico internazionale, ma anche ad altre fattispecie delittuose, al fine di diffondere l’utilizzo di tale pratica.
Si è discussa anche della presenza di una disciplina specifica sui diritti umani: la maggior parte degli Stati Membri preferirebbe includere disposizioni dedicate ai diritti e alle libertà fondamentali, ma altri hanno sottolineato che questa convenzione dovrebbe essere finalizzata più alla prevenzione della criminalità, e non ai diritti umani. Pertanto, una tutela dovrebbe essere contemplata, con però maggiore enfasi sulla libertà di espressione e sul diritto alla privacy.
Settore privato e ONG hanno espresso il loro parere sulle disposizioni generali: in particolare hanno sottolineato che il principio di sovranità non è il punto centrale della convenzione, quale è invece la collaborazione internazionale tra gli Stati e i multi-stakeholders, al fine di armonizzare il quadro giuridico globale. Essi hanno inoltre ribadito l'inclusione di specifiche tutele dei diritti umani e del diritto alla privacy.
Come per la criminalizzazione, la Presidenza ha preferito dividere il tema delle previsioni procedurali in quattro gruppi, per attuare un’analisi dettagliata.
Il primo gruppo di domande proposto si è concentrato su aspetti generali come questioni relative alla giurisdizione, a causa della natura senza confini/transfrontaliera del cyberspace.
Inoltre, le misure procedurali non dovrebbero trovare applicazione solo in riferimento ai reati specificamente previsti dalla convenzione, ma anche ad altre fattispecie delittuose, vista la costante evoluzione della criminalità informatica. Nell'applicazione di tali misure sarebbe opportuno seguire i principi di necessità, proporzionalità e sovranità degli Stati.
Secondo gli Stati Membri, all'interno del capitolo sulle misure procedurali dovrebbero essere incluse anche le discipline sulle prove elettroniche, strumenti e tecniche investigative.
Il secondo gruppo di domande proposte dalla Presidente ha analizzato le specifiche misure procedurali da applicare, tra cui: raccolta di informazioni e metadati trasmessi attraverso le tecnologie dell’informazione e comunicazione; informazioni archiviate o dati informatici archiviati; raccolta in tempo reale dei dati; perquisizione e sequestro. I delegati hanno proposto anche di aggiungere misure già previste in altri strumenti internazionali, come la Convenzione di Budapest.
Il terzo e il quarto gruppo di questioni sono stati discussi insieme e il dibattito ha raggiunto una visione comune sulle specifiche discipline da includere nel capitolo dedicato alle misure procedurali e all'applicazione della legge. In particolare, la maggioranza degli Stati Membri ha convenuto sull'inserimento di disposizioni in materia di sequestro e confisca, richiamando le discipline previste dalla legge di riferimento, l'UNTOC. Accolta positivamente anche l’inclusione di discipline su tutele previste per testimoni e vittime di criminalità informatica. I delegati hanno inoltre concordato circa le misure per rafforzare la collaborazione con le forze dell'ordine e tecniche investigative speciali, richiamando le discipline previste dall'UNTOC, al fine di mantenere il rispetto dell’attuazione degli altri strumenti internazionali.
Sul tema delle misure procedurali e dei meccanismi di attuazione sono intervenuti anche multi-stakeholders, che hanno riaffermato l'importanza della collaborazione tra settore privato, ONG, organizzazioni intergovernative e Stati Membri.
Nonostante il successo ottenuto dalla Seconda Sessione del Comitato Ad Hoc, le divergenze di opinioni espresse non hanno consentito la formazione di un orientamento comune, soprattutto sulla criminalizzazione. Da un lato, molti Stati Membri preferiscono concentrarsi maggiormente sui cyber-dependent crime, in forte aumento, rispetto ai reati tradizionali che possono essere perpetrati attraverso l'uso delle tecnologie dell’informazione e comunicazione; dall'altro si manifesta una forte volontà di includere i cyber-enabled crime, soprattutto per quei comportamenti che coinvolgono minori, terrorismo e reati contro il patrimonio.
Diversi punti di vista sono stati espressi anche in merito alla regolamentazione delle previsioni procedurali, con alcuni delegati che preferirebbero una disciplina dettagliata, altri che opterebbero per semplici linee guida, che consentano agli ordinamenti nazionali di analizzare la materia secondo le loro norme nazionali.
Lo scopo del Comitato Ad Hoc per le prossime sessioni è quello di trovare un equilibrio tra le diverse necessità, tenendole tutte in considerazione, al fine del raggiungimento del consenso.

English version 

The Second Session of the Ad Hoc Committee to Elaborate a Comprehensive
International Convention on Countering the Use of Information and
Communications Technologies for Criminal Purposes was held in Vienna,
from 30^th
May to 10^th
June 2022.

In accordance with the “Provisional Agenda”, after the opening of
the session, the Chair Boumaiza Mebarki presented the report on the
first intersessional consultation with multi-stakeholders, specifying
the importance of statements made by the NGOs, civil society,
academia and the private sector in order to guarantee interactive
dialogues with Member States, suggesting ideas to include in the new
convention.

The
main themes discussed during this second session of the Ad Hoc
Committee were: provisions on criminalization, general provisions and
provisions on procedural measures and law enforcement. Indeed, they
represent the core of this new convention against cybercrime. For
this reason, in order to avoid the possibility to conduct a rough and
coarse process of negotiation, the Chair had theorized an inclusive
method to participate to the debate, creating some questions to
submit to Member States about the topics to deal with.

Starting
from the provisions on criminalization, in order to avoid that some
types of crimes could not be treated very well, the Chair preferred
to divide the subject in five groups.

The
first group concerns cyber-dependent crimes¹,
such as illegal, unlawful and unauthorized access, interference of
data and systems, obstruction of computer programs, misuse of devices
or malicious software and so on. The debate examined the question of
mens rea in a very punctual manner, underlining the intentional
nature of these kind of offences. In relation to the specific
conducts perpetrated, the concept of harm was analyzed: even though
some States deemed that it should occur, the most part of delegates
suggested to consider the concept of harm as an aggravating
circumstance.

Also,
cyber-attacks to critical infrastructures should be considered an
aggravating circumstance.

Moreover,
the attempt to commit cyber-dependent crime should be criminalized,
for having endangered systems or confidential information.

And
at last, a very debated topic which brought to a common perspective
was on the inclusion of wide definitions, avoiding restrictive ones
which may limit the range of actions of the legislative provisions.

The
second group of questions proposed by the Chair focused on
identity-related offences, fraud, forgery and infringement of
copyright, thus belonging to the cyber-enabled crime category².
The discussion concerned mostly the feature of fraud, perpetrated
entirely or partially through the use of ICTs, and whether it is such
a broad offence that may cover other conducts like theft, scam,
financial offences and electronic payment tools offences. Another
important crime, forgery, committed fully or in part online, was
debated, especially in relation to its dangerousness, and whether it
may contain other criminal conducts, for instance creation of
information to mislead users.

Identity-related
offences were taken into account during the discussion because of
their content, related to sensitive data and confidential
information: many delegates would prefer to distinguish identity
theft from other conducts as the use of personal data to commit
crimes. But in general, the most part of Member States agreed on the
inclusion of these topics in the new convention.

The
violation of copyright was considered not necessary to be provided
for, not only because this matter is already disciplined by other
regional and international instruments, but also because copyright is
covered by domestic law.

Questions
related to the third group concerned mostly online child sexual
abuse, child sexual extortion, revenge porn, violation of privacy,
involvement of minors in the commission of illegal acts.

Premising
that minors must have maximum protection, because of their
vulnerabilities and exposition to the risks of the Internet,
according to some delegates it is preferable to use the age
parameters indicated in the Convention on the Rights of the Child, in
order to guarantee an extended safeguard. Moreover, the Budapest
Convention together with the Lanzarote Convention could be good point
of reference to elaborate disciplines of the new UN legal instrument.

On
criminalization, production, diffusion, selling of child sexual
material is necessary punishable. Child sexual extortion and
exploitation should be taken into account, because harmful conducts:
children are not mature enough to understand what is happening,
especially if they are under the age to express the sexual consent.
For this reason, Member States suggested to define all of these
behaviors in a very flexible way, to cover as many connotations as
possible.

Also,
online grooming and revenge porn should be defined and disciplined
into the convention, because they are some of the most popular
practices of the last few years,

The
last two groups of questions proposed by the Chair on respectively
terrorism-related offences, offences related to discrimination,
racism, xenophobia, distribution of narcotic drugs, arms trafficking
and organized crime (fourth group) and money laundering, aiding,
abetting, participating in, attempt, obstruction of justice (fifth
group) were discussed together.

The
debate on these two groups was the most controversial one, about the
criminalization item: on the one hand, a lot of Member States
proposed to not include in the new convention offences related to
discrimination, racism, arms and drugs trafficking because there
could be the risk to go off-topic, and besides they are already
disciplined by other international conventions; on the other hand,
some delegates strongly supported the addition of such themes, since
these phenomena are increasing steeply through the use of ICTs, such
as terrorism and organized crime in their cyber manifestations
(cyber-terrorism and cyber-organized crime).

Participation
in, aiding, abetting and attempt were considered by some Member
States relevant for the future convention, although others suggested
a domestic discipline.

The
most part of delegates agreed on the inclusion of money laundering,
especially in its cyber form.

The
only question approved by everyone was on the extension of the
criminal liability to legal persons, consistently with the UNTOC
provisions.

The
discussion about general provisions dealt with a lot of matters.
Indeed, besides some general indications on purposes and scope of the
convention, the importance to use technological neutral language
within the text was underlined, thus without specifying all ICTs
which can be used to commit a crime, or there would be the risk to
limit the range of action of this convention, becoming useless for
the future. Instead, the technology neutral approach could adapt to
the constant evolution and development of ICTs.

Moreover,
using terminology similar to the previous conventions UNTOC and UNCAC
is appropriate to maintain the same narrative thread. Both of them
are true models to follow, especially in reference to the structure
of the convention.

Furthermore,
Member States were in favor of using electronic evidence, which
should not be limited to the offences indicated into this new
international legal document, but also to other crimes, in order to
spread practice to use.

The
presence of a discipline on human right was debated too: the most
part of Member States preferred to provide for provisions dedicated
to fundamental rights and freedoms, but others stressed on the point
that this convention is aimed to crime prevention, and not on human
rights. Thus, a protection should be contemplated, with more emphasis
on freedom of expression and right to privacy.

Private
Sector and NGOs had the opportunity to have the floor and express
their opinions on general provisions: more specifically they
underlined that the principle of sovereignty is not the point of the
convention, which is international collaboration among countries and
also multi-stakeholder, in order to harmonize the international legal
framework. Moreover, they stressed on the inclusion on specific
protections of human rights and right to privacy.

Just
like in the scope of criminalization, the Chair preferred to divide
the item of procedural measures in four groups, to deal with the
aforementioned topic in detail.

The
first group of questions proposed focused on general aspects such as
issues that may arise on jurisdiction, because of the
borderless/cross-border nature of cyberspace. Procedural measures and
law enforcement provisions should not be applied only in reference to
the crimes specifically provided for by the convention, but also to
other offences, in view of the constant evolution of cybercrime. In
the application of such measures, it would be appropriate to follow
principles of necessity, proportionality and sovereignty of States.

According
to Member States, within the chapter on procedural measures there
should be also disciplines on electronic evidence, investigative
tools and techniques.

The
second group of questions proposed by the Chair analyzed the specific
procedural measures to be applied. The well-liked ones were:
collection of information and meta data transmitted by means of ICTs;
information stored or stored computer data; real-time collection of
traffic data; expedited preservation of stored computer data;
production orders; search and seizure. Delegates proposed also to add
measures already provided in other international instruments, like
the Budapest Convention. The third and the fourth groups of questions
were discussed together, and the debate reached a commonly agreed
line on those specific disciplines to include in the chapter
dedicated to procedural measures and law enforcement. In particular,
the majority of Member States agreed on the addition of provisions on
freezing, seizure and confiscations, recalling disciplines provided
in the law of reference, which is UNTOC.

There
was no opposition even for provisions on specific protections for
witnesses and victims of cybercrime.

Delegates
agreed on the inclusion of measures to enhance collaboration with law
enforcement authorities and special investigative techniques,
recalling disciplines provided for by UNTOC, in order to maintain
compliance with the other international instruments.

On
the theme of procedural measures and law enforcement intervened also
multi-stakeholders, which reaffirmed the importance of the
collaboration between private sector, NGOs, intergovernmental
organizations and Member States.

Although
the success reached by the Second Session of the Ad Hoc Committee,
differences of expressed opinions did not allow the formation of a
common orientation, especially on the criminalization. On the one
hand, many Member States prefer to focus more on cyber-dependent
crimes, significantly increasing, compared to traditional crimes
which can be perpetrated through the use of ICTs; on the other hand,
a strong will to include cyber-enabled crimes is shown, mostly for
those conducts which involve children, terrorism and economic-related
offences.

Also,
different points of view were spoken up in regard to the regulation
of procedural measures, with some delegates who would prefer a
detailed discipline, and others who would opt for simple guidelines,
allowing domestic legal systems to analyze the matter according to
their national rules.

The
purpose of the Ad Hoc Committee for the next sessions is to strike a
balance between different necessities, taking into account all of
them, in order to reach the consensus.

1^
Cyber-dependent
crimes are those criminal conducts which necessitate of a
technological support, without which it would not be possible to
perpetrate an offence included into this category.

2^
Cyber-enabled
crimes concern traditional offences, characterized by legal systems,
and committed by authors with the use of ICTs. In this category,
technology has an accessory and secondary role: it may facilitate
the commission of a crime, or it can be used to expand the effects.