Convention on Cybercrime: what's new?

News about the implementation of the Convention on Cybercrime. All the news were collected by Internet and by institutional sources

RUSSIA
Russia has refused to sign the European Convention on Cyber Crime. A corresponding resolution has been passed by the RF President Vladimir Putin. Russia did not manage to agree upon appropriate terms for cross-border access to data-processing networks. Several experts believe Russia will lose nothing in case of signing the Convention.
Russian does not intend to sign the European Convention on Cyber Crime. The RF President Vladimir Putin held to acknowledge invalid the ordinance ‘On signing the Convention on Cyber Crime’ of November 15th, 2005, the N & I Agency RIA Novosty reports. In accordance with the given ordinance Russia is to decide independently whether to join the Convention, provided the provisions of Item ‘b’ Article 32, which ‘might damage the sovereignty and security of member countries and their citizens’ rights’, might be revised. The given item reads ‘Party may, without the authorisation of another Party access or receive, through a computer system in its territory, stored computer data located in another Party, if the Party obtains the lawful and voluntary consent of the person who has the lawful authority to disclose the data to the Party through that computer system’. The Convention on Cybercrime was enforce on July 1st, 2004. By the end of 2005 it was signed by 38 EU member countries, US, Canada, Japan, and SAR. The given Convention is the first document presenting classification of cyber offences. The list consists of illegal access, illegal interception of computer data and systems, data and system interference, misuse of devices, etc. The document also contains provisions describing cooperation of the law enforcement bodies in those cases when malefactors domicile in different countries and are subject to different laws. The Convention contains provisions pertaining to private information security of internet providers’ customers in case the information is required to investigate cyber crimes.
According to Veniamin Levtsov, director of information security development at LETA IT-company, not signing the Convention is unlikely to derive from the current situation in the world. ‘The ordinance of the RF President of November 2005 reads that Russia is ready to ratify the Convention provided the item on cross-border access to computer systems is revised, - Mr. Levtsov says. – That is a reasonable requirement. Russia’s point of view was not counted, so Russian refused to ratify the document’.
Experts point to two possible reasons. Firstly, cyber criminals earn well stealing money from bank accounts, through credit cards fraud and industrial espionage. At the same time each cyber malefactor has the opportunity to focus on his favorite activity. Some specialize in writing malcodes, others in spam sending, the third rent bot networks, the fourth steal credit card numbers, the fifth produce counterfeit plastic cards, etc. The global division of labour is prospering.
Secondly, the possibility to be caught is very low. There are such countries like Panama, where cyber malefactors might do what they want. Neither US, Europe, or Russia can exert pressure over such countries. Moreover, there is no adequate cooperation even between developed countries. Meanwhile, malefactors turn to their oversea colleagues due to labour division. Contemporary groups of cyber criminals consist of different countries’ citizens, i.e. US, Brazil, China, Russia and CIS.
Specialists do not consider developing an alternative Convention on Cybercrime in Russian reasonable. ‘Other steps should be undertaken: obligatory provision and industrial standards relating to information security should be introduced, - says Veniamin Levtsov. – Rather tough criminal legislation on cybercrime has already been enforced in Russia’.
‘Cybercrime is not limited to spam, virus, bot networks and DOS attacks, - says Aleksey Dolya. – It also relates to leakages. There were groups of criminals consisting of insiders, who stole information from bank accounts, which was then sold by their abettors in the internet. It is impossible to combat such groups having no corresponding regulations’.
‘The number of internet users is increasing from day to day, so it is not incidentally that the state is paying more attention to information security and protection in the internet, in particular’, - says Andrey Albitov, head of Eset Russian Representation Office. It should be noted Vladimir Putin has made another important decision regarding information security in Russia. He signed the ordinance on the state secrets protection from internet leakages.

(fonte: C-News, 2008)

NEW ZEALAND
The government of New Zealand has outlined plans to make the country party to the Convention on Cybercrime by 2009.

(fonte: CybercrimeLaw)

ALGERIA
Cybercrime is on the rise in Algeria. An inter-ministerial committee is now working on a bill to keep terrorists and others from using information technology for illegal activities

(fonte: magharebia.com)

Responsabilità medica, lesioni personali colpose ed il dies a quo per la querela

Cassazione Penale - Sentenza 3 aprile 2008 , n. 13938

Salute e Sanità - Lesioni personali colpose - Querela della persona offesa - Decorrenza del termine.

Il termine per la presentazione della querela inizia a decorrere quando la persona offesa ha la cognizione di tutti gli elementi di natura oggettiva e soggettiva che consentono la valutazione dell'esistenza del reato. Pertanto, in materia di lesioni personali dovuti a colpa medica, il termine inizia a decorrere quando la persona offesa viene a conoscenza della violazione delle regole cautelari nel trattamento della patologia e dell'influenza causale di questa violazione sull'evento dannoso verificatosi.

"Omissis. Va anzitutto premesso che l'accertamento svolto dal giudice di merito sulla tempestività, o tardività, della querela involge anche un accertamento di fatto che, se condotto con corretti criteri logico giuridici, si sottrae al controllo di legittimità.

Nel caso in esame l'accertamento di fatto condotto dal giudice di merito non è posto in discussione; con il ricorso si contesta invece la correttezza dei criteri utilizzati dal giudice di merito per individuare il momento iniziale del decorso del termine per la proposizione della querela che, per giurisprudenza costante, coincide con quello in cui il titolare del diritto di querela viene a completa conoscenza del fatto reato nei suoi elementi costitutivi di natura oggettiva e soggettiva.

Questa conoscenza non può essere limitata, come ritiene la sentenza impugnata, alla sola consapevolezza dell'esistenza di conseguenze della patologia che ha riguardato la persona ma deve quanto meno estendersi alla possibilità che, su questa patologia, abbiano influito errori diagnostici o terapeutici dei medici che hanno seguito il caso. Diversamente difetterebbe la consapevolezza dell'astratta esistenza di un'ipotesi di reato che non si realizza solo con il verificarsi di un evento materiale ma richiede che la persona offesa abbia coscienza, sia pure sommaria, della violazione di regole cautelari nel trattamento della patologia e dell'influenza causale di questa violazione sull'evento dannoso verificatosi.

In questo senso va interpretata la giurisprudenza di legittimità (compresa quella richiamata nella sentenza impugnata) dalla quale si evince che il termine inizia a decorrere quando la persona offesa abbia la piena cognizione di tutti gli elementi di natura oggettiva e soggettiva che consentono la valutazione dell'esistenza del reato (v. in questo senso Cass., sez. III, 19 dicembre 2005 n. 3943, D., rv. 233483 in tema di violenza sessuale a minore; sez. V, 19 dicembre 2005 n. 5944, A., rv. 233846, in tema di diffamazione "progressiva" a mezzo stampa;; 6 febbraio 2003 n. 11781, B., rv. 223909; sez. II, 24 luglio 2002 n. 299923, B., rv. 222083; sez. V, 20 gennaio 2000 n. 3315, P. rv. 215580).

Orbene non è possibile, nel caso di lesioni colpose astrattamente riconducibili a responsabilità medica, che la mera conoscenza delle conseguenze subite in esito al trattamento terapeutico costituisca consapevolezza dell'esistenza del reato perché difetta ancora, nella persona offesa, la consapevolezza della circostanza che il medico ha violato le regole dell'arte medica cagionando le lesioni.

Nel caso in esame il Tribunale si è limitato all'accertamento della consapevolezza dell'esistenza degli esiti della malattia senza indagare se la paziente fosse a conoscenza degli errori diagnostici e terapeutici ipotizzati e senza verificare se questa conoscenza sia intervenuta solo dopo l'espletamento della consulenza medico legale.

Il ricorso proposto deve dunque ritenersi fondato senza che debba farsi riferimento all'esistenza, nel nostro ordinamento, di una presunzione di tempestività della querela che può essere vinta solo se chi vi ha interesse ne prova la tardività (su questo principio v., da ultimo, Cass., sez. VI, 24 giugno 2003 n. 35122, S., rv. 226327). Omissis."
(fonte: norma.dbi.it)

Rivista di Giurisprudenza ed Economia d'Azienda

Si sta svolgendo oggi, presso la Facoltà di Giurisprudenza di Verona, il convegno "L'efficienza del lavoro nelle amministrazioni pubbliche", durante il quale sarà presentato il terzo numero (1/2008) della RIVISTA DI GIURISPRUDENZA ED ECONOMIA D'AZIENDA.

La rivista è edita, dal 2008, da Franco Angeli Editore.

Nei precedenti post ho già pubblicato numerose informazioni sui contenuti del primo numero 2008.

Le novità che saranno presto introdotte, a partire dal secondo numero 2008, riguardano principalmente la nuova area "Diritto bancario", che è stata formalmente inserita fra le altre aree di cui la rivista si occupa.

Diritto penale e fraud management: il ruolo dei modelli di organizzazione, gestione e controllo

Per "fraud management" si intende, comunemente, la "gestione delle frodi".

Il termine viene utilizzato, in particolar modo nel settore privato ed aziendale, per indicare le attività di lotta e prevenzione delle frodi, comprese quelle di rilevamento delle anomalie, di identificazione delle situazioni a maggior criticità e sviluppo della capacità di reazione, attraverso la selezione delle contromisure e il miglioramento dei processi coinvolti.
Sul piano penalistico, oltre ai reati riconducibili al c.d. Identity fraud (cfr. Flor R., Phishing, identity theft e identity abuse. Le prospettive applicative del diritto penale vigente, in Riv. it. dir. proc. pen., 2007, 899 e ss.) rilevano le recenti disposizioni in materia di responsabilità da reato degli enti, introdotte con la L. n. 48/2008 di ratifica della Convenzione Cybercrime all'art. 24 bis del D.lgs n. 231/2001.
Lo strumento previsto dalla legge, che può assumere un ruolo chiave nella gestione delle frodi, è il modello di organizzazione e di controllo (conosciuto come modello "231").
Al di là della sua valenza "formale" "ante factum" e "post factum", rileva la concreta ed effettiva implementazione di un sistema di controllo, di gestione e di prevenzione degli illeciti.
Da un lato, è vero che l'adozione di un modello organizzativo non è obbligatoria. Dall'altro lato, però, esso può comportare una serie di benefici sia sul piano sanzionatorio e/o cautelare, che su quello economico.
Al convegno Banche e sicurezza 2008, che si terrà a Roma il 26 e 27 maggio, dedicherò una parte della mia relazione su "Identity fraud e diritto penale" al tema "Diritto penale e fraud management", partendo dalle valutazioni sui dati empirici esaminati (in particolare, ricavati da: Global economic crime survey 2007, CSI/FBI Computer crime and security survey 2007, IC3 Report - Internet crime report 2007).

The role of Law and Ethics in the Globalized Economy

I received the information about the conference from Prof. Straus, Director of the Max Planck Institute for Intellectual Property, Competition and Tax Law and of the Munich Intellectual Property Law Center.

The Max Planck Institute for Intellectual Property, Competition and Tax Law, the European Academy of Sciences and Arts and the Bavarian Ministry of Economic Affairs, Infrastructure, Transport and Technology will organize a Conference on the Role of Law and Ethics in the Globalized Economy on May 22 and 23, 2008 in Munich.

Program (click)

Caso Vierika: la sentenza della Corte d'Appello di Bologna

Corte di Appello di Bologna, Sez. II Pen., Sentenza 30 gennaio 2008

Di seguito si riportano i punti principali della motivazione della Corte d'Appello di Bologna.

" [omissis] In primo luogo si pongono indubbie la materialità dell’accesso attraverso il worm “Vierika” e la diffusione indiscriminata del medesimo.Esse sono state provate dalle deposizioni citate Broi, Rasetti e Forte, in merito alle segnalazioni sulla diffusione del virus effettuate da alcune società di informatica (F-Secure Corporation, Symbolic SpA), alle lamentele pervenute al provider Tiscali poiché il programma era annidato sugli spazi web da esso gestiti, nonché dal counter del sito http://web.tiscalinet.it/krivojrog/vierika/Vindex.html dal quale risultavano829 accessi (vedi annotazione GdF 13.3.01); agli accessi corrispondono necessariamente altrettante ricezioni della mnail “Vierika is here”, altrettante installazioni automatiche, immediate ed occulte degli script contenuti nell’attachment alla mail, altrettante occulte riconfigurazioni di registro di Windows, altrettante involontarie ed indesiderate “navigazioni” al sito suddetto, scaricando il secondo script di programma.Tale meccanismo ha indubbiamente il carattere dell’abusività richiesto dalla norma incriminatrice, ravvisabile prima nella fraudolenta induzione in errore dell’utente che riceveva la mail “Vierika is here”, ingannato dall’estensione “.jpg” dell’attachment, che indicava un file immagine, il quale conteneva invece la prima stringa di comandi, e poi nel sistema occulto di scarico del secondo script, realizzato attraverso la riconfigurazione occulta della protezione, e la reimpostazione della home page del browser, il tutto sempre all’ insaputa dell’utente.Sempre all’insaputa dell’utente, e contro la sua volontà, il programma “clandestino” insediato nel sistema informatico provvedeva ad inviare a tutti gli indirizzi della rubrica della posta elettronica (se gestita con l’applicativo “Outlook”, peraltro di larga diffusione) l’email con l’allegato vitale Vierika.jps.vbs, con il cosiddetto effetto autoreplicante.

La Corte non ritiene che la norma incriminatrice, posta come premesso a tutela del domicilio informatico, possa essere interpretata con tale effetto riduttivo di tutela; la lettera dell’art. 615 ter infatti richiede unicamente l’abusività dell’accesso al sistema, ovvero la permanenza contro lo jus prohibendi del titolare, ma non pretende l’effettiva conoscenza, da parte dell’agente, dei dati protetti.Avuto riguardo alle specificità dei sistemi informatici e delle trasmissioni telematiche, che consentono la manipolazione e l’uso di un enorme numero di dati senza la diretta interlocuzione con ognuno di essi da parte dell’agente, introdurre in via interpretativa l’ulteriore requisito della conoscenza effettiva dei dati manipolati, a corredo esplicativo della nozione di “accesso abusivo”, equivarrebbe ad una sostanziale vanificazione della ratio incriminante.Nella fattispecie le modalità dell’azione (ovvero la creazione del programma autoreplicante ed il suo “lancio” nel web) erano univocamente dirette ad inviare ed installare occultamente e fraudolentemente il programma, di cui XXXXX ha ammesso la paternità, ad una comunità indiscriminata ed inconsapevole di utenti, usandone i dati personali della rubrica di posta.Ciò appare sufficiente per integrare la nozione di “accesso abusivo” penalmente rilevante, giacché è nel prelievo indesiderato dei dati personali dal domicilio informatico che va individuato il vero bene personalissimo protetto dalla norma, e non tanto nella conoscenza o conoscibilità di quelli da parte del soggetto agente.In altri termini alla specificità dei sistemi informatici, che consentono l’uso di dati senza la “conoscenza” di essi, come tradizionalmente intesa, da parte dell’operatore, va correlata l’interpretazione della nozione di accesso posta dalla norma incriminante.Nella prospettazione difensiva dell’appellante altro elemento caratterizzante la fattispecie incriminatrice, e non integrato, è costituito dall’assenza di elusione di misure di sicurezza informatiche, tali non potendo definirsi semplici opzioni di configurazione di un applicativo. In proposito si presentano totalmente condivisibili, ad avviso della Corte, le valutazioni svolte dal giudice di prime cure (pag. 18 della sentenza impugnata), da richiamarsi integralmente.Come detto il programma Vierika, per potersi installare, modificava occultamente (con il primo script di comandi) le impostazioni di protezione di Internet Explorer; ciò non è posto in discussione dalla difesa, che le qualifica piuttosto come opzioni di configurazione del sistema.Nella sostanza le “impostazioni di protezione” regolano l’esecuzione automatica di download e contenuti attivi durante la navigazione Internet, permettendo di configurare diversi livelli di protezione, con richiesta o meno di conferma da parte dell’utente e con eventuali barriere automatiche per determinati programmi o contenuti attivi.Esse quindi non possono che rientrare nella nozione di “misure di sicurezza” a protezione del sistema; misure elementari, facilmente aggirabili, già predisposte nell’applicativo, ma comunque qualificabili misure di protezione, giacché esse attinenti esclusivamente non alla configurazione di Explorer (modalità di fruizione) ma alla maggiore o minore interazione passiva del sistema informatico, connesso al web, dall’esterno verso il suo interno.Va pertanto confermato il giudizio di sussistenza del reato in esame, condotto nella sentenza impugnata.
La Corte ritiene peraltro fondati i motivi gradati di appello, relativi alla insussistenza delle aggravanti ritenute – in motivazione, giacché l’imputazione è priva di espressa contestazione ed il dispositivo fa riferimento ad una sola aggravante - dal giudice monocratico del Tribunale. Queste, pur non richiamate attraverso specifica indicazione delle norme di legge violate, sono state valutate contestate in fatto nel riferimento espresso, contenuto nella descrizione della condotta incriminata, “danneggiamento di programmi” ed al “pregiudizio per il corretto funzionamento” degli stessi (integranti le previsioni poste ai nn. 2 e 3 del comma 2 dell’art. 615 ter CP).
Invero non è ravvisabile, nelle modalità di installazione e di funzionamento del worm Vierika, in primo luogo alcun “danneggiamento” dei programmi del sistema dell’utente, né alcuna “modificazione” in senso informatico [omissis]. Per conseguenza ne deriva compiutamente integrata la fattispecie delineata e punita dall’art. 615 quinquies CP, e per tale parte va confermata la sentenza di condanna di primo grado.
Per effetto della parziale riforma del giudizio di condanna va rideterminata la pena da infliggersi all’appellante.
Tenuti fermi il riconoscimento delle attenuanti generiche, la sostituzione della pena detentiva ex art. 53 L. 689\81 e la concessione del beneficio della non menzione della condanna, si reputa equo ed adeguato determinare la pena in mesi due di reclusione ed euro 2000 di multa (pena base di mesi tre ed euro 3.000), con pena detentiva sostituita con la pena pecuniaria corrispondente di Euro 2.280 di multa.
Titolo di reato e data di commissione consentono di condonare la pena ex L. 241\06.Nel resto va confermata la sentenza appellata.
[omissis] in parziale riforma della sentenza del Tribunale Monocratico di Bologna in data 21.7.05, dichiara l’appellante responsabile del reato di cui all’art. 615 quinquies CP e con le già concesse attenuanti generiche determina la pena in mesi due di reclusione ed euro 2.000 di multa, sostituendo la pena detentiva con la corrispondente pena pecuniaria di euro 2.280 di multa, e così complessivamente euro 4.280 di multa, che dichiara interamente condonata ex L. 241\06.
Dichiara non doversi procedere nei confronti dell’ appellante XXXXX in ordine al reato di cui all’ art. 615 ter CP, perché, esclusa l’aggravante, lo stesso è improcedibile per difetto di querela.
Conferma nel resto."

Fonti:

http://www.penale.it/

http://www.ictlex.net/

Protezione dei diritti dell'uomo: evoluzione giuridica ed istituzionale

Si terrà a Verona, presso la facoltà di Giurisprudenza, il seminario nell'ambito del corso di dottorato di ricerca in "Diritto ed Economia d'Impresa. Discipline Interne ed Internazionali" sul tema "La protezione dei diritti dell'uomo".

Introdurrà il Prof. Lorenzo Picotti, Professore ordinario di diritto penale e diritto penale dell'informatica e coordinatore del corso di dottorato.

Seguiranno gli interventi:

Protezione dei diritti dell’uomo: evoluzione giuridica e istituzionale

Dr. Johanna Rinceanu

Max Planck Institut für ausländisches und internationales Strafrecht – Friburgo, Germania

¿Quo vadis, prova proibita? Interpretazioni restrittive nell’attuale giurisprudenza spagnola e tutela dei diritti fondamentali

Prof. Dr. Juan-Luis Gómez Colomer
Università Jaume I de Castellon – Spagna

Al seminario parteciperanno, anche attraverso interventi programmati, studenti, dottorandi, assegnisti di ricerca, ricercatori e professori.

Clicca sui nomi per conoscere ulteriori informazioni sui relatori.
Clicca sulla locandina per visualizzarla.