Honeypot: tra agente provocatore e privacy.

Nel discorso sul concorso un maggiore approfondimento, alla luce dei dubbi avanzati da LANCE SPITZNER, deve essere dedicata alla cosiddetta figura dell’agente provocatore.

Per introdurre l’argomento appare opportuno riportare alcune definizioni:

«Una particolare forma di istigazione è quella realizzata dal c.d. agente provocatore: cioè colui il quale (si tratta non di rado di appartenenti alla polizia) provoca un delitto al fine di assicurare il colpevole alla giustizia. Tale figura, sorta in origine come ipotesi di concorso morale sotto forma di istigazione qualificata, è andata nel corso del tempo ampliandosi fino a comprendere sia casi in cui l’agente provocatore assume la veste di soggetto passivo del reato (come nel caso paradigmatico della truffa), sia quelli in cui un soggetto si infiltra in un’organizzazione criminale alla scopo di scoprirne la struttura e denunciarne i partecipanti»[1].
«(Omissis)… l’agente provocatore, cioè colui che, istigando od offrendo l’occasione, provoca la commissione di reati al fine di coglierne gli autori in flagranza, o comunque, di farli scoprire e punire. Trattasi, in genere, di appartenenti alla polizia i quali, così operando, mirano a rendere possibile la scoperta di un’organizzazione criminale o l’individuazione di un singolo delinquente. Ma, talora, anche privati agenti per fini di vendetta, per liberarsi di certe persone, per zelo giustizialista, ecc»[2].
«Con la nozione di agente provocatore si intende, tradizionalmente, la figura di colui il quale, in veste di appartenete alle forze dell’ordine od anche di privato cittadino, fingendo di essere d’accordo con altra persona, la induce a commettere un reato spinto dal movente di denunciare o far cogliere in flagranza o, comunque, far scoprire il provocato da parte dell’Autorità. Trattasi, cioè, di figura – storicamente nota sin dai tempi della rivoluzione francese… (omissis)… che si colloca dogmaticamente nell’alveo del concorso morale di persone nel reato sotto forma di istigazione»[3].
Tale figura non presenta un carattere omogeneo ed è utilizzata per abbracciare diverse situazioni: dall’infiltrato (colui che si associa ad un’organizzazione criminale al fine di scoprirne i partecipanti, gli scopi…) al c.d. falsus emptor nell’ambito dei reati-contratto ( si pensi al finto acquirente di sostanze stupefacenti, alla cessione di materiale pedopornografico…). In queste situazioni il problema giuridico è quello di valutare se ed in quali termini l’agente provocatore possa essere chiamato a rispondere penalmente dei reati oggetto della sua istigazione o provocazione. Le scriminanti derivano dalla funzione pubblica esercitata dal provocatore. La giurisprudenza più volte chiamata a pronunciarsi sul punto ha intrapreso una strada più rigorosa di quella scelta dalla dottrina prendendo, in estrema sintesi, la seguente posizione:

la Suprema Corte tende ad escludere la responsabilità dell’agente provocatore quando si tratti di un funzionario di polizia, questo perché la condotta viene scriminata dall’adempimento ad un dovere;
la stessa Corte, quando l’agente provocatore è un privato cittadino, ritiene necessario, perché la sua condotta venga scriminata ex art. 51 c.p., che il suo intervento derivi da un ordine legittimo della pubblica autorità, cioè che il soggetto adempia fedelmente all’ordine ricevuto per tutto il tempo “dell’operazione”.
La figura non entra in causa, al contrario, quando il proposito criminoso sia suscitato da, o determinato dal, provocatore al solo fine di vendetta o di lucro; inoltre, la condotta, dell’agente pubblico o privato cittadino, per “scriminare” deve tradursi in una forma di indiretto o marginale intervento esaurendosi in un’attività di osservazione, controllo e contenimento delle azioni illecite altrui[4].

Il comportamento, con le opportune premesse, di chi utilizza un honeypot per fini di sicurezza non è paragonabile, alla luce di quanto esposto, alla figura dell’agente provocatore. Per quanto riguarda la privacy il problema, parlando di honeypot, non sembra porsi, poiché nonostante la grande confusione che regna sul tema nel mondo degli internauti, la legge n. 675 del 1996 (oggi D.Lgs. 196/03) non disciplina la privacy ma si occupa del trattamento dei dati personali[5], come si evince chiaramente dal primo comma dell’art. 1[6]. Quello che viene punito, in poche parole, è la raccolta e il trattamento illecito di dati personali. Quando parliamo di dati raccolti con un honeypot, parliamo di dati intercettati attraverso un “host bucato” e utilizzati (trattati) non per fini commerciali o di altro tipo non espressamente indicati durante il trattamento o eventualmente di dati carpiti a ignari e innocenti internauti attraverso tecniche disniffing, spyware e quant’altro. Si tratta, invece, di preziosi dati raccolti e utilizzati per fini, per così dire, “personali”; per fini, cioè, di prevenzione e studio dei fenomeni criminali allo scopo di migliorare la sicurezza del sistema che si vuole tutelare e proteggere.

Per concludere sul punto l’utilizzazione di un honeypot da parte di privati per fini di sicurezza non appare violare la legge sul trattamento sicuro dei dati personali.

Approfondire ulteriormente l’argomento imporrebbe una riflessione specifica e complessa che esula dallo scopo di questo breve scritto tendente ad illustrare, senza pretesa di soluzione, i problemi giuridici che in astratto potrebbero nascere dall’utilizzo di un honeypot e le difficoltà che un giurista oggi può incontrare nell’esame di alcune paure che nascono e si diffondono tra i fruitori delle nuove tecnologie.


NOTE

[1] FIANDACA – MUSCO, Diritto penale, parte generale, op.cit., 455.

[2] MANTOVANI, Diritto penale, Quarta edizione, Padova , 2001, 553.

[3] G. ABBATTISTA, Agente provocatore: profili di responsabilità, con riguardo anche alla posizione del falsus emptor e del soggetto provocato, in AA.VV., Studi di diritto penale (a cura di CARINGELLA – GAROFOLI), Milano, 2002, 1237 e 1238.

[4] G. ABBATTISTA, Agente provocatore: profili di responsabilità, op.cit., 1238 ss.

[5] STILO, Il diritto all’autodeterminazione informativa: genesi storica di un diritto fondamentale dell’homo tecnologicus in Diritto della Gestione digitale delle informazioni supplemento a questa Rivista, n. 7-8, 2002, 19.

[6] « Finalità e definizioni – La presente legge garantisce che il trattamento dei dati personali si svolga nel rispetto dei diritti, delle libertà fondamentali, nonché della dignità delle persone fisiche, con particolare riferimento alla riservatezza e all’identità personale; garantisce altresì i diritti delle persone giuridiche e di ogni altro ente o associazione.»