Un reato informatico è un “ reato penale che può essere commesso su o per mezzo di un sistema informatico generalmente connesso ad una rete ”.
Si tratta quindi di una nuova forma di criminalità e delinquenza che si differenzia dalle forme tradizionali in quanto si colloca in uno spazio virtuale, il “ cyberspazio ”. Negli ultimi anni, la democratizzazione dell'accesso ai computer e la globalizzazione delle reti sono stati fattori nello sviluppo della criminalità informatica.
La criminalità informatica raggruppa tre tipi di reati:
In Francia, la criminalità informatica è legalmente presa in considerazione dalla legge sulla protezione dei dati (legge relativa all'elaborazione dei dati, ai file e alle libertà di6 gennaio 1978).
Inoltre, sono stati adottati numerosi testi normativi. Possiamo citare ad esempio il decreto del24 marzo 2006 sulla conservazione dei dati di traffico previsti dalla legge sulla sicurezza quotidiana.
La lotta alla criminalità informatica è in rapida evoluzione ed è oggetto di numerose discussioni in Francia. Ad esempio, il piano di lotta alla criminalità informatica presentato nel febbraio 2008 contiene misure volte a modernizzare i metodi di indagine. Inoltre, nello stesso anno, ad ottobre, è stato presentato il piano digitale 2012, che contiene proposte relative alla lotta alla criminalità informatica.
Nonostante questo sviluppo permanente, il sistema legislativo francese sulla criminalità informatica è "disperso" in vari testi. Non è quindi facile, tanto per i professionisti quanto per i profani, sapere con precisione cosa è oggi riconosciuto come atto criminale informatico dal diritto francese. Myriam QUÉMENER e Joël Ferry, in Cybercriminalité Défi Mondial ( 2 ° edizione) descrivono il sistema legislativo e regolamentare francese come “un po 'esoterica 'macchia'”.
Il 23 novembre 2001i paesi membri del Consiglio d'Europa così come gli Stati Uniti , il Canada , il Giappone e il Sud Africa , hanno adottato la convenzione sulla criminalità informatica , frutto di un lungo processo di negoziazione (ventisette versioni precedenti e quattro anni di trattative formali) . È una convenzione penale internazionale volta a combattere la criminalità informatica. Nel 2007, solo quattordici stati avevano ratificato la convenzione sui quarantasette firmatari.
Inoltre, nel 2003, è stato aperto alla firma il protocollo aggiuntivo alla convenzione sulla criminalità informatica, che mirava ad ampliare il campo di applicazione della convenzione ai reati di propaganda razzista o xenofoba commessi tramite le reti internet. Questo protocollo, non ratificato dagli Stati Uniti, prevede anche misure di facilitazione dell'estradizione e di assistenza giudiziaria.
La Francia ha ratificato questi due testi con la legge n o 2005-493 del19 maggio 2005 che autorizza l'approvazione della Convenzione del Consiglio d'Europa sulla criminalità informatica e del protocollo aggiuntivo alla presente Convenzione.
La Convenzione sulla criminalità informatica del 2001 ha tre obiettivi specifici:
Il primo asse è l'armonizzazione delle legislazioni nazionali per quanto riguarda la definizione dei reati elencati dalla Convenzione. Si tratta quindi di incriminare quattro serie di reati che sono:
Il secondo asse, poi, di natura procedurale, definisce le modalità di indagine e di azione penale più adatte alla globalizzazione della rete Internet. La Convenzione prevede norme per garantire i diritti degli individui, ma anche per facilitare lo svolgimento di un'indagine. In tal senso si possono citare, tra le altre, le norme che disciplinano la conservazione dei dati archiviati, la conservazione e la divulgazione rapida dei dati di traffico, la ricerca dei sistemi informatici, il sequestro dei dati informatici, la raccolta dei dati in tempo reale. relative al traffico e all'intercettazione di dati relativi ai contenuti.
Infine, il terzo asse riguarda l'instaurazione di un sistema di cooperazione internazionale rapido ed efficiente. Accanto alle tradizionali forme di cooperazione penale internazionale , previste in particolare dalle Convenzioni europee sull'estradizione e sulla mutua assistenza giudiziaria , la Convenzione sulla criminalità informatica prevede forme di assistenza giudiziaria corrispondenti alle competenze precedentemente definite dalla Convenzione. Tali condizioni sono necessarie affinché le autorità giudiziarie e i servizi di polizia di uno Stato membro possano agire per conto di un altro Stato nella ricerca di prove elettroniche , senza tuttavia svolgere indagini o perquisizioni transfrontaliere. Inoltre, i dati eventualmente acquisiti devono essere tempestivamente comunicati allo Stato interessato.
Indubbiamente, questo testo internazionale - costituisce un complemento indispensabile alle legislazioni nazionali per contenere il fenomeno di questa nuova criminalità “camaleonte” di cui non si conoscono ancora – almeno con certezza – tutti i “colori” e le minacce.
Inoltre, il 17 gennaio 2005il Consiglio dell'Unione europea ha adottato la Decisione quadro 2005/222/ GAI del Consiglio "sugli attacchi contro i sistemi di informazione" , che consentirà l'armonizzazione delle norme penali sulle principali attività criminali contro i sistemi di informazione, violazione dell'integrità di un sistema e violazione dell'integrità di dati.
Dopo gli attacchi internazionali del 2017 ( NotPetya e WannaCry in particolare) il cyber risk è il secondo rischio più temuto dalle aziende di tutto il mondo.
Il 60% degli attacchi informatici in tutto il mondo nel 2011 ha avuto origine dagli Stati Uniti .
Cybercrime è riconosciuto da molti esperti come la nuova forma di criminalità nel XXI ° secolo. Pertanto, per controllarlo, la Francia ha istituito molti corpi di combattimento. Ecco alcuni esempi di investigazione informatica :
Nel 1998, all'interno della gendarmeria, è stato creato il dipartimento per la lotta alla criminalità informatica all'interno del servizio tecnico per la ricerca e la documentazione giudiziaria (STRJD, ora SCRC ). Questa unità si è evoluta ed è diventata la Divisione per la lotta alla criminalità informatica (DLCC) composta dal Dipartimento di coordinamento e supporto digitale (DCAN), dal Dipartimento di indagini su Internet (D2I), dal Dipartimento di prevenzione e monitoraggio dei fenomeni su Internet (DPSPI ) e il Dipartimento per la repressione degli attacchi ai minori su Internet (DRAMI) che integra il Centro nazionale per l'analisi delle immagini pedopornografiche (CNAIP).
Il 15 maggio 2000È stato creato l'Ufficio centrale per la lotta alla criminalità in materia di tecnologie dell'informazione e della comunicazione ( OCLCTIC ), all'interno della direzione centrale della polizia giudiziaria presso il Ministero dell'Interno . In particolare, riunisce la piattaforma per la segnalazione di contenuti illegali su Internet. Nello stesso anno, oltre all'azione di OCLCTIC, è stata istituita la Direzione della Sorveglianza Territoriale (DST), che ha il compito di svolgere le indagini giudiziarie relative ad atti di hacking su sistemi informatici, stabilimenti a regime restrittivo o dati riservati della difesa.
Inoltre, nel 2006 è stato creato l'OCRVP, un ufficio centrale per la repressione della violenza contro le persone, la cui missione è il coordinamento, a livello nazionale, della lotta contro i reati violenti contro le persone, in particolare riguardo alla pedopornografia su Internet .
Infine, la polizia nazionale dispone di servizi speciali come il SITT, il servizio informatico e dei tracciati tecnologici. I dipartimenti di polizia giudiziaria interregionale e regionale dispongono di ICC (CyberCriminality Investigators) precedentemente chiamati ESCI (Investigators Specialized in Computer Crime). Ci sono anche varie brigate specializzate, come l'Information Technology Fraud Investigations Brigade (BEFTI).
Il 30 giugno 2014, il magistrato Marc Robert presenta la sua relazione a Bernard Cazeneuve , Axelle Lemaire , Arnaud Montebourg e Christiane Taubira , per mettere in atto misure legali e tecniche volte a ridurre i rischi associati alla sicurezza informatica e migliorare la protezione degli utenti di Internet. Marc Robert sostiene la creazione di un Centro di allerta, l'apertura di un Internet 17, l'istituzione di una delegazione interministeriale per la lotta alla criminalità informatica posta sotto la diretta responsabilità del Primo Ministro, ecc. .
Gli Stati hanno capito subito che per essere più efficace la lotta alla criminalità informatica doveva essere europea. Le competenze in questo ambito sono state poi rapidamente affidate all'INTERPOL, il cui ruolo è quello di facilitare lo scambio di informazioni al fine di contrastare efficacemente tutte le forme di criminalità ed in particolare la criminalità informatica.
Europol ha anche il compito di facilitare lo scambio di informazioni tra le forze di polizia nazionali, in particolare nel settore della criminalità informatica. L' Unione Europea (UE) ha istituito un Centro europeo per la criminalità informatica all'interno di Europol: EC3 ( Centro europeo per la criminalità informatica ). L'EC3 è competente a sostenere le indagini dei servizi specializzati degli Stati membri dell'UE in settori quali tutte le frodi online, in particolare le frodi con carte di credito, lo sfruttamento sessuale online dei bambini (pornografia infantile su Internet), gli attacchi informatici contro sistemi infrastrutturali nell'UE. EC3 fornisce anche supporto in termini di analisi criminale strategica agli Stati membri, in particolare producendo analisi tematiche delle minacce sulle ultime tendenze in materia di criminalità informatica.
EUROJUST, organo dell'Unione Europea, ha il compito di migliorare l'efficienza delle autorità competenti degli Stati membri nella lotta alla criminalità organizzata transfrontaliera, e quindi in particolare alla criminalità informatica transnazionale.
Inoltre, nel 2004 è stata creata ENISA , un'agenzia europea responsabile per la sicurezza delle reti e dell'informazione, che ha diverse missioni, tra cui in particolare la raccolta e l'analisi dei dati relativi agli incidenti legati alla sicurezza, o l'ulteriore monitoraggio dello sviluppo di standard per le reti e prodotti e servizi per la sicurezza delle informazioni, ma anche la promozione delle attività di valutazione e gestione dei rischi.
Infine, c'è il programma europeo Safer internet plus che combatte i contenuti illegali, il trattamento dei contenuti indesiderati e dannosi e che promuove un ambiente più sicuro.
Sfortunatamente, la lotta alla criminalità informatica non è facile. Ci sono diversi ostacoli legali e non legali a questa lotta. In primo luogo, la vastità delle reti informatiche, ma anche la velocità di commissione dei reati, la difficoltà di raccogliere prove, e infine le modalità di indagine e controllo che possono rivelarsi lesive dei diritti fondamentali , in particolare della legge. anonimato e libertà di espressione.
A livello giuridico, ciò che pone oggi molte difficoltà è il fatto che lo stesso comportamento in Francia e all'estero non è considerato allo stesso modo. Può costituire un reato in un paese e non nell'altro. Possiamo citare ad esempio la "promozione della cannabis", o la "provocazione per sorprendere i pedofili". Questo porta ad un altro problema quello della legge applicabile. La criminalità informatica, infatti, “sconvolge il principio classico della territorialità del diritto penale”. Il diritto francese sarà applicabile non appena in Francia si sia verificato un elemento costitutivo del reato ( TGI de Paris 17 e chambre,26 febbraio 2002). Così, ad esempio, la semplice ricezione da parte dell'utente costituisce un elemento costitutivo dell'infrazione. Ma se non vi è alcun elemento costitutivo del reato in Francia, la legge francese non sarà applicabile.
È quindi necessario lottare ogni giorno contro i paradisi legali "cyber paradise", per una migliore efficienza della normativa in materia di cyber crime.
Per Jean-Loup Richet (Research Fellow presso ESSEC ISIS), un'altra difficoltà nella lotta al cybercrime è la rapida diffusione di nuove tecniche di hacking, la riduzione dei costi delle attività criminali e infine la riduzione delle conoscenze necessarie per diventare un cybercriminale . Le barriere all'ingresso, infatti, non sono mai state così ridotte: i servizi offerti dalle piattaforme di cloud computing possono essere deviati per lanciare campagne di spam a un costo inferiore, craccare una password o addirittura aumentare la potenza di una botnet. Secondo Jean-Loup Richet, non è più necessario essere un esperto IT per diventare un criminale informatico: le comunità di hacker black hat commercializzano software che consentono ai propri utenti di effettuare attacchi informatici senza alcuna competenza tecnica (Crimeware-as-a-service). Le comunità online di criminali informatici contribuiscono allo sviluppo del crimine informatico, fornendo suggerimenti, tecniche, strumenti chiavi in mano e in alcuni casi anche offrendo tutoraggio ai principianti che desiderano diventare criminali informatici.
Secondo la Rivista francese di criminologia e diritto penale , la difficoltà nella lotta alla criminalità informatica risiede anche nell'ambiguità del quadro normativo. Se l'obiettivo di un attacco informatico è il sistema informatico dell'avversario, allora questo sistema può essere assimilato all'avversario stesso. La questione è quindi se stabilire un quadro giuridico tra le macchine ei loro proprietari per identificare questi atti criminali.
Essendo difficile valutare il costo della criminalità informatica, vengono fornite diverse cifre.
Secondo due studi condotti da FBI e IBM nel 2006, la criminalità informatica costa 67 miliardi di dollari l' anno solo negli Stati Uniti.
Secondo il capo dell'Interpol Khoo Boon Hui , l'80% dei crimini informatici nel 2012 era legato a bande organizzate transfrontaliere e rappresentava un costo finanziario ( 750 miliardi di euro l'anno in Europa) maggiore dei costi combinati del traffico di cocaina, marijuana ed eroina. Secondo un rapporto del Center for Strategic and International Studies (CSIS) dell'editore di sicurezza McAfee , le attività di criminalità informatica costano tra $ 375 miliardi e $ 575 miliardi all'anno.
Il crimine informatico e l'hacking hanno pesato molto sulle vendite del gioco The Witness di Jonathan Blow quando è stato rilasciato, al punto che il suo creatore ha ammesso che ciò lo avrebbe messo a rischio di limitarlo gravemente per la creazione di un nuovo gioco in seguito.
“Ogni anno, più di 26 milioni di francesi sono vittime di crimini informatici, di cui 9,17 milioni subiscono una perdita finanziaria netta. Al di là dei privati, le aziende francesi sono sempre più prese di mira, per danni di 8,7 milioni di euro” nel 2019.
L' hacking o la criminalità informatica sono argomenti, principali o meno, di molti film, come ad esempio: