«Il risultato di molte lotte e battaglie»
A dicembre 2024, l'Assemblea generale delle Nazioni Unite si esprimerà sulla nuova Convenzione sulla criminalità informatica. Il DFAE e il DFGP hanno guidato la delegazione svizzera nei negoziati. Irene Grohsmann, della Divisione Sicurezza Internazionale del DFAE, e Andrea Candrian e Sara Pangrazzi, entrambe dell'Ufficio federale di giustizia del DFGP, ne ripercorrono i momenti salienti.
Intervista in presenza e da remoto sui negoziati per la Convenzione dell’ONU sulla cibercriminalità con Irene Grohsmann (DSI, a destra), Andrea Candrian e Sara Pangrazzi (UFG, a schermo). © DFAE
Ad agosto 2024, dopo due anni e mezzo dal loro avvio, i negoziati per la nuova Convenzione dell’ONU sulla cibercriminalità si sono conclusi con il consenso di tutte le parti. Che risultato è stato raggiunto?
Irene Grohsmann (IG): Questa è la prima convenzione dell’ONU dedicata al tema della cibercriminalità e il fatto che il testo sia stato adottato all’unanimità rappresenta un successo per il multilateralismo.
Sara Pangrazzi (SP): Il risultato raggiunto è tanto più straordinario se si considera che le posizioni negoziali di partenza erano molto distanti l’una dall’altra, al punto che anche i colloqui esplorativi hanno richiesto molto tempo per essere conclusi e poter così avviare concretamente i lavori. I contrasti di opinioni hanno perdurato fino alla fine. Il testo adottato è quindi il frutto di un arduo compromesso tra visioni discordanti e, in parte, anche tra ordinamenti giuridici divergenti.
Di che cosa tratta la convenzione negoziata?
Andrea Candrian (AC): Il testo si concentra su tre ambiti d’azione: la criminalizzazione da parte degli Stati contraenti; gli aspetti procedurali, ossia le misure predisposte a livello nazionale per contrastare i reati e la cibercriminalità; e la cooperazione internazionale, vale a dire la maniera in cui gli Stati collaborano nella lotta contro la cibercriminalità.
Nel 2019 la Svizzera non appoggiò la risoluzione che diede avvio ai negoziati per la convenzione. Perché questo scetticismo?
IG: La Svizzera temeva che una convenzione dell’ONU potesse abbassare l’attuale livello di protezione. Esiste, infatti, un’altra convenzione sulla cibercriminalità, la cosiddetta Convenzione di Budapest del Consiglio d’Europa, che la Svizzera ha ratificato. Insomma, non era chiaro se gli standard del testo dell’ONU sarebbero stati all’altezza di quelli già fissati dal Consiglio d’Europa a livello regionale.
Eppure, quando vennero avviati i negoziati nel 2022, la Svizzera decise di parteciparvi. Perché?
IG: Per la delegazione svizzera era chiaro che si sarebbe seduta al tavolo negoziale se alla fine fosse stato aperto. Partecipare ai negoziati è infatti l’unico modo che abbiamo per far valere la nostra visione e ottenere l’inserimento di punti che consideriamo importanti: si tratta pur sempre di una convezione dell’ONU e la Svizzera, in quanto membro attivo dell’organizzazione, intende contribuire a plasmare i processi multilaterali e, se opportuno, appoggiarli.
Secondo Lei è valsa la pena partecipare ai negoziati?
AC: Assolutamente sì: è vero che la Convenzione di Budapest è stata ratificata da quasi 80 Stati ed è stata usata come base orientativa da oltre 120 Paesi in tutto il mondo per modificare o riformare i loro ordinamenti penali in materia di cibercriminalità, ma resta comunque una convenzione del Consiglio d’Europa. La convenzione dell’ONU ci apre la possibilità di trovare nuovi partner nella lotta contro la cibercriminalità e, al contempo, di salvaguardare i diritti umani grazie all’introduzione di garanzie procedimentali e meccanismi di protezione.
Quali erano i principali obiettivi della Svizzera all’inizio dei negoziati e in che misura sono stati raggiunti?
IG: Per la delegazione svizzera era importante, da un lato, che fossero definiti chiaramente l’ambito di applicazione, le condotte costituenti reato ‒ che avrebbero dovuto limitarsi alla cibercriminalità intesa in senso stretto ‒ e i motivi per poter rifiutare di collaborare con altri Stati; e, dall’altro, che i diritti umani fossero salvaguardati attraverso opportune garanzie di protezione. Sono tutte condizioni necessarie per poter agire entro i limiti imposti dal nostro ordinamento giuridico.
Perché inizialmente il concetto di cibercriminalità era controverso?
IG: Il concetto di cibercriminalità può riferirsi a reati commessi sia attraverso mezzi informatici (i cosiddetti core cybercrimes) sia semplicemente con il loro ausilio. La delegazione svizzera si è impegnata per un’interpretazione il più possibile limitata alla prima fattispecie, ossia ai reati, come l’hackeraggio, perpetrabili esclusivamente attraverso tecnologie dell’informazione e della comunicazione (TIC). Al contrario, i reati che prevedono l’impiego dei mezzi informatici come strumenti meramente ausiliari ‒ e che quindi possono, ma non devono, avere una componente informatica ‒ vengono generalmente commessi nel mondo reale, anche se aiutandosi con le TIC; considerare questi reati come cibercrimini significherebbe andare ben al di là di un’interpretazione in senso stretto e includere nella definizione di cibercriminalità anche attività criminali quali la pianificazione di attentati terroristici mediante telefoni cellulari.
Attività che quindi avrebbe dovuto essere annoverata tra i cibercrimini.
IG: Esattamente: diversi Stati volevano che la convenzione adottasse questa interpretazione più ampia del concetto di cibercriminalità, ed è stato anche proposto di includere i reati di genocidio e di propaganda di stampo nazista. Per noi sarebbe stato eccessivo. Il testo adottato è circoscritto perlopiù ai reati perpetrati attraverso mezzi informatici, a eccezione del reato di sfruttamento sessuale di minore mediante la rete Internet, che utilizza gli strumenti informatici come semplice ausilio. Dal nostro punto di vista questo è positivo.
Quali erano le linee rosse per la delegazione svizzera?
AC: La delegazione si sarebbe opposta all’obbligo di varare norme penali per orientamenti assimilabili essenzialmente a ideologie e alla perseguibilità di individui che «si riuniscono con uno scopo» in quanto attentanti contro lo Stato: ci sarebbe stato un forte rischio che la convenzione dell’ONU venisse usata come pretesto per limitare pesantemente i diritti fondamentali.
SP: Per la delegazione svizzera era anche imprescindibile che ogni provvedimento giurisdizionale fosse associato a precise norme di protezione da rispettare a livello sia nazionale che, in caso di cooperazione tra gli Stati, internazionale. Durante in negoziati si è anche discusso della possibilità di depotenziare il principio di territorialità ‒ ovvero il concetto di appartenenza a un territorio ‒, data la natura transfrontaliera della rete Internet. La convenzione dell’ONU rimane tuttavia fedele al principio della sovranità dello Stato, e questo è importante dal punto di vista dell’assistenza giudiziaria internazionale, che quindi continua a muovere dall’unità «Stato» che coopera con un altro Stato e può verificarne e considerarne il quadro normativo. Dal punto di vista della delegazione svizzera non sarebbe infatti stato accettabile dover venir meno alle basi giuridiche vigenti in Svizzera in materia di procedimento penale e salvaguardie.
Per la Svizzera è fondamentale che i diritti umani che si applicano «offline» siano rispettati anche «online». Questo sarebbe quindi garantito anche dalla convenzione dell’ONU?
AC: Sì: l’attuale bozza di convenzione consente alla Svizzera e alle autorità competenti in materia di assistenza giuridica internazionale di rifiutare di collaborare con altri Stati nei casi in cui tale collaborazione minacci diritti fondamentali quali la protezione dei diritti umani.
SP: Gli articoli di salvaguardia ‒ come quelli relativi ai diritti umani o ai motivi per rifiutare di collaborare con altri Stati ‒ sono stati al centro di aspri dibattiti. Fino al termine dei negoziati, alcuni Stati erano totalmente contrari a questi articoli o li volevano indebolire significativamente. L’inclusione di questi articoli è il risultato di molte lotte e battaglie.
Diverse ONG hanno sollevato la critica che «grazie» alla convenzione dell’ONU sarà più facile sorvegliare le conversazioni tra privati e che il segreto delle fonti giornalistiche sarà applicato in maniera meno rigorosa a chi denuncia o segnala illeciti (i cosiddetti whistleblowers). È vero?
SP: L’articolo 6 stabilisce esplicitamente che la convenzione non può essere usata per perseguitare persone sulla base delle loro opinioni o religioni né per calpestare altri diritti umani. Qualora questi diritti fossero interpretati in maniera diversa negli ordinamenti giuridici di altri Stati, è possibile attivare il meccanismo di protezione della doppia perseguibilità, secondo cui solo se una condotta è perseguibile anche in Svizzera è possibile collaborare con gli Stati in questione.
Quanto alla sorveglianza «più facile», anche in questo caso la convenzione non cambia fondamentalmente nulla: i provvedimenti giurisdizionali continueranno a essere emanabili solo in presenza di sospetto di reato e al soddisfacimento di precise condizioni; inoltre, come ho già ricordato, sono sempre associati a clausole di salvaguardia. Non sarà quindi possibile «distorcere» i diritti procedurali in vigore nei diversi Paesi.
Dal punto di vista delle tecnologie dell’informazione 20 anni rappresentano un’eternità: dall’adozione della Convenzione di Budapest a oggi hanno subito una notevole evoluzione. La convenzione dell’ONU riesce a colmare le lacune che si sono aperte sulla scia di questa evoluzione tecnologica?
AC: Pur avendo 23 anni, la Convenzione di Budapest è sorprendentemente attuale in quanto è stata per la maggior parte elaborata e redatta in maniera tecnologicamente neutra; non si perde nelle specificità degli ultimi sviluppi tecnologici, come lo spamming e l’intelligenza artificiale, ma indica le condotte che dovrebbero costituire reato, le norme di diritto processuale penale in vigore nei diversi Paesi e le modalità di cooperazione internazionale. È per questo motivo che ancora oggi funziona relativamente bene e che non è così importante chiedersi quali lacune dovrebbero essere colmate. Dal mio punto di vista, il valore aggiunto della convenzione dell’ONU risiede nella possibilità di allargare la cerchia dei partner degli Stati contraenti. Questa possibilità può essere d’aiuto per i procedimenti penali internazionali e, di riflesso, per l’attuazione del diritto.
IG: La neutralità tecnologica della Convenzione di Budapest è stata ripresa nel catalogo dei reati tipizzati dalla convenzione dell’ONU. Lo consideriamo un successo.
Che cosa succederà adesso? La bozza di convenzione ripasserà al vaglio dell’Assemblea generale, ovvero dell’organo che ha conferito l’incarico per la sua elaborazione?
IG: Esattamente: il comitato competente dell’ONU ha concluso i lavori e ha passato il testimone all’Assemblea generale. A dicembre 2024 l’Assemblea generale dovrebbe adottare formalmente il testo, che poi sarà aperto alla firma degli Stati.
E per la Svizzera quali sono le prossime tappe?
AC: La Svizzera ha approvato il risultato dei negoziati, ma non ha ancora deciso se firmare la convenzione: ora spetta alle autorità competenti della Confederazione esaminare il testo adottato e presentare una proposta in merito al Consiglio federale.
La nuova Convenzione dell’ONU sulla cibercriminalità entrerà in vigore una volta che sarà stata ratificata da almeno 40 Stati e solo da quel momento potrà essere usata come base per la collaborazione tra i Paesi. Va poi ricordato che la Svizzera è uno di quei Paesi in cui il diritto penale internazionale emanante da una convenzione non è direttamente applicabile. In caso di ratifica, dovranno quindi essere elaborate le basi giuridiche e sarà necessario passare da una procedura di consultazione dei portatori di interessi, delle associazioni, dei partiti o dei Cantoni, come pure dall’avallo parlamentare.
