In the last decade, cyberattacks against property and critical infrastructures have spread all over the world. Hackers have new tools, such as Artificial intelligence technologies, to facilitate this kind of criminal acts and cyber vulnerabilities are exploited using simple, sophisticated or a combination of several cyberattacks. In fact, Dark web provides a marketplace for malware and stolen data, as well as services such as the distribution of spam, phishing e-mails, web hosting and proxy services which may be used for fraudulent purposes. Multiple victims may be involved in cyberattacks, such as an individual whose identity or account details has been stolen, and the financial institution, government agency or service provider that has been duped. For this reason, cyberattacks like phishing, pharming or ransomware are a cross-cutting problem which does not only violate property, but also security and privacy of Internet users. The cost of this phenomenon extends beyond the direct financial loss, since it includes loss of consumer confidence, time loss, and the emotional impact on victims. Cybercrimes such as computer fraud and extortion guarantee cybercriminals and criminal organizations high profits with limited chances of incurring criminal penalties, because anonymity of the Internet is a huge obstacle in order both to prevent and punish cyberattacks against property and critical infrastructure. Another problem is the trans-border character of offences committed through the Internet. Cybercrime operates outside of any geographical constraints, so cooperation between different States may not be possible if a country does not have substantive laws to prosecute or extradite the perpetrator. The scope of this research is to analyze how new sophisticated cyberattacks can now be punished under national legislation and how substantial penal law should be modified to be effective and efficient to prosecute this kind of illegal activities without violate fundamental principles, such as the principle of legality, subsidiarity and proportionality or liability. Chapter I focuses on the different methods used to perpetrate cyberattacks against property on the web. It describes the various forms of frauds, ranging from online advance-fee-fraud to sim swapping. It examines the techniques and hacker tools implemented by cybercriminals to lure victims online, which increasingly involve the use of phishing and malware. Furthermore, it offers an overview of the most significant European initiatives to address the issue of cybercrime, including the Council of Europe's Convention on Cybercrime and European directives. Chapter II analyses how Italian domestic penal legislation punishes acts preparatory to illegal activities such as computer fraud or computer sabotage. It examines the problem of dual-use nature of many software and the importance of avoiding criminalization of tools produced and placed for legitimate purposes that, though they could be used to commit criminal offences, do not constitute themselves a threat. Chapter III examines sanctions and penalties for online fraud, counterfeiting of non-cash means of payment, computer and data sabotage and other unlawful acts that consist in unlawfully obtaining monetary values from the victims. Chapter IV focuses on the phenomenon of cyberlaundering, as new payment technologies allow their users to move funds electronically, making illegally acquired money appear as if it was derived from legitimate sources without the risks of physically moving large quantities of cash. It also analyses the role of money mules, which play a very important role in cyberlaundering and fraud networks. Chapter V is about comparison of cybercrime domestic penal legislation in Europe. It focuses on the national cybercrime penal frameworks of Germany and Spain, in order to establish how certain cyber-attacks are punished in these countries and to determine whether full harmonization of national legislation in this area has been achieved. Finally, chapter VI attempts to offer solutions to the different problem detected in this research and for developing an effective criminal framework adequate to punish all stages of cyberattacks against property and critical infrastructures.

Negli ultimi anni si è assistito ad una rapida evoluzione degli attacchi cibernetici contro il patrimonio e, più in generale, le infrastrutture critiche. I c.d. cyber-attacchi garantiscono ai criminali informatici ed in specie ad organizzazioni criminali la possibilità di conseguire lauti guadagni a fronte di limitate probabilità di incorrere in sanzioni penali, potendo contare sulla scarsa attenzione e sull’impreparazione delle vittime e potendo celare la loro vera identità dietro l’anonimato, che, almeno in parte, connota ancora il cyberspace o operando indisturbati da Paesi esteri. Il modus operandi dei criminali informatici che agiscono per fini di profitto è ormai consolidato: in primo luogo si tratta di impossessarsi delle credenziali di autenticazione (login, password, ecc.) per accedere abusivamente al sistema informatico della potenziale vittima. In tal senso, vengono offesi (o messi in pericolo), non solo beni giuridici di natura patrimoniale, ma anche nuovi interessi giuridici meritevoli e bisognosi di tutela, quali la riservatezza informatica, la sicurezza informatica, l’integrità di dati e sistemi nonché l’identità digitale. La presente tesi, che consta di sei capitoli, muove da una indagine empirico-criminologica sulle nuove forme di aggressione al patrimonio commesse mediante le nuove tecnologie (cap. I). L’obiettivo della ricerca consiste nell’individuare sul piano giuridico-penale le tecniche di tutela del patrimonio adottate dal nostro legislatore (cap. II, III e IV) e confrontarle con quelle di alcuni ordinamenti che sono oggi all’avanguardia nella protezione degli interessi patrimoniali contro le minacce provenienti dal web. Particolare attenzione sarà rivolta, in tal senso, agli ordinamenti penali spagnolo e tedesco (cap. V). L’indagine comparata consentirà di far emergere, da un lato, le tecniche adottate dai legislatori dei menzionati Paesi per dare attuazione agli obblighi di incriminazione europea in subjecta materia e, dall’altro, per far emergere gli “idealtipi” dei reati tradizionali, informatici e cibernetici posti a tutela del patrimonio. Il metodo comparato consentirà altresì di individuare i principali problemi politico-criminali e dogmatici connessi a questo peculiare settore del diritto penale ed in specie alle norme incriminatrici che puniscono anche meri atti preparatori alla commissione di più gravi reati contro il patrimonio. In primo luogo, si provvederà a descrivere il substrato empirico-criminologico sotteso alle nuove cyber-minacce nei confronti del patrimonio, concentrando in particolare l’attenzione sulle tipologie dei comportamenti fraudolenti online, quali le advance fee fraud e gli “schemi Ponzi”, sulle condotte fraudolente aventi ad oggetto i mezzi di pagamento, l’utilizzo di ransomware e l’impiego di criptomonete per fini di riciclaggio (cap. I). Si verificherà, quindi, anche alla luce degli interessanti dati relativi alla c.d. cifra oscura, se le norme incriminatrici previste nel nostro ordinamento a tutela del patrimonio, siano adeguate a prevenire e contrastare i nuovi fenomeni criminosi commessi mediante l’utilizzo delle nuove tecnologie e l’IA. Particolare attenzione verrà dedicata, in tal senso, al c.d. Cybercrime-as-a-service, vale a dire alla messa a disposizione (sul web ed in specie sul dark web), da parte di gruppi criminali, di skills, risorse umane e tools (malware, ransomware, credenziali, ecc.) che consentono a soggetti meno esperti di conseguire illecitamente profitti online o, comunque, di commettere attività illecite. Successivamente si confronteranno le tecniche di incriminazione adottate nel nostro ordinamento con le raccomandazioni e prescrizione di fonte europea e sovranazionale e con le tecniche legislative adottate in specie in Spagna ed in Germania. Infine, va evidenziato che la dimensione transnazionale del cybercrime pone nuove sfide sia per i legislatori nazionali che per le autorità di law enforcement, perché la singola iniziativa presa a livello statale rischia di rivelarsi inefficace. Sarà, pertanto, approfondita l’analisi delle iniziative e fonti sovranazionali in materia, che si occupano specificamente di rafforzare la tutela del patrimonio dalle nuove minacce cibernetiche, tra cui la Convenzione Cybercrime del Consiglio d’Europa del 2001, che ancor’oggi costituisce il principale strumento internazionale in tale ambito a livello globale, nonché le fonti legislative adottate dall’Unione Europea. In un’ottica di diritto comparato saranno poi analizzati i testi legislativi, la giurisprudenza e gli studi dottrinali degli ordinamenti giuridici tedesco e spagnolo. In questo modo sarà possibile stabilire se le soluzioni interpretative adottate in altri Paesi con legislazione simile alla nostra possano eventualmente essere utilizzate anche per risolvere i problemi applicativi individuati nel nostro ordinamento, verificare se sia stata raggiunta l’auspicata armonizzazione penale nell’ambito del diritto penale dell’informatica ed, eventualmente, ipotizzare come il quadro giuridico europeo possa essere migliorato per garantire l'integrazione europea. In conclusione, verranno individuate, da un punto di vista dogmatico e politico-criminale, le formulazioni normative più idonee per tutelare in modo efficace il patrimonio rispetto alle più insidiose minacce provenienti dal web. In tal senso, verranno formulate, in prospettiva de jure condendo, alcune concrete proposte per l’incriminazione dei nuovi fenomeni criminosi posti in essere mediante l’utilizzo indebito o illecito delle nuove tecnologie, nel rispetto dei fondamentali principi penalistici di rango costituzionale e convenzionale.

Cybercrime e nuove forme di aggressione al patrimonio. Un’indagine in prospettiva europea e comparata

CRESCIOLI, CHIARA
2023

Abstract

In the last decade, cyberattacks against property and critical infrastructures have spread all over the world. Hackers have new tools, such as Artificial intelligence technologies, to facilitate this kind of criminal acts and cyber vulnerabilities are exploited using simple, sophisticated or a combination of several cyberattacks. In fact, Dark web provides a marketplace for malware and stolen data, as well as services such as the distribution of spam, phishing e-mails, web hosting and proxy services which may be used for fraudulent purposes. Multiple victims may be involved in cyberattacks, such as an individual whose identity or account details has been stolen, and the financial institution, government agency or service provider that has been duped. For this reason, cyberattacks like phishing, pharming or ransomware are a cross-cutting problem which does not only violate property, but also security and privacy of Internet users. The cost of this phenomenon extends beyond the direct financial loss, since it includes loss of consumer confidence, time loss, and the emotional impact on victims. Cybercrimes such as computer fraud and extortion guarantee cybercriminals and criminal organizations high profits with limited chances of incurring criminal penalties, because anonymity of the Internet is a huge obstacle in order both to prevent and punish cyberattacks against property and critical infrastructure. Another problem is the trans-border character of offences committed through the Internet. Cybercrime operates outside of any geographical constraints, so cooperation between different States may not be possible if a country does not have substantive laws to prosecute or extradite the perpetrator. The scope of this research is to analyze how new sophisticated cyberattacks can now be punished under national legislation and how substantial penal law should be modified to be effective and efficient to prosecute this kind of illegal activities without violate fundamental principles, such as the principle of legality, subsidiarity and proportionality or liability. Chapter I focuses on the different methods used to perpetrate cyberattacks against property on the web. It describes the various forms of frauds, ranging from online advance-fee-fraud to sim swapping. It examines the techniques and hacker tools implemented by cybercriminals to lure victims online, which increasingly involve the use of phishing and malware. Furthermore, it offers an overview of the most significant European initiatives to address the issue of cybercrime, including the Council of Europe's Convention on Cybercrime and European directives. Chapter II analyses how Italian domestic penal legislation punishes acts preparatory to illegal activities such as computer fraud or computer sabotage. It examines the problem of dual-use nature of many software and the importance of avoiding criminalization of tools produced and placed for legitimate purposes that, though they could be used to commit criminal offences, do not constitute themselves a threat. Chapter III examines sanctions and penalties for online fraud, counterfeiting of non-cash means of payment, computer and data sabotage and other unlawful acts that consist in unlawfully obtaining monetary values from the victims. Chapter IV focuses on the phenomenon of cyberlaundering, as new payment technologies allow their users to move funds electronically, making illegally acquired money appear as if it was derived from legitimate sources without the risks of physically moving large quantities of cash. It also analyses the role of money mules, which play a very important role in cyberlaundering and fraud networks. Chapter V is about comparison of cybercrime domestic penal legislation in Europe. It focuses on the national cybercrime penal frameworks of Germany and Spain, in order to establish how certain cyber-attacks are punished in these countries and to determine whether full harmonization of national legislation in this area has been achieved. Finally, chapter VI attempts to offer solutions to the different problem detected in this research and for developing an effective criminal framework adequate to punish all stages of cyberattacks against property and critical infrastructures.
2023
Italiano
Negli ultimi anni si è assistito ad una rapida evoluzione degli attacchi cibernetici contro il patrimonio e, più in generale, le infrastrutture critiche. I c.d. cyber-attacchi garantiscono ai criminali informatici ed in specie ad organizzazioni criminali la possibilità di conseguire lauti guadagni a fronte di limitate probabilità di incorrere in sanzioni penali, potendo contare sulla scarsa attenzione e sull’impreparazione delle vittime e potendo celare la loro vera identità dietro l’anonimato, che, almeno in parte, connota ancora il cyberspace o operando indisturbati da Paesi esteri. Il modus operandi dei criminali informatici che agiscono per fini di profitto è ormai consolidato: in primo luogo si tratta di impossessarsi delle credenziali di autenticazione (login, password, ecc.) per accedere abusivamente al sistema informatico della potenziale vittima. In tal senso, vengono offesi (o messi in pericolo), non solo beni giuridici di natura patrimoniale, ma anche nuovi interessi giuridici meritevoli e bisognosi di tutela, quali la riservatezza informatica, la sicurezza informatica, l’integrità di dati e sistemi nonché l’identità digitale. La presente tesi, che consta di sei capitoli, muove da una indagine empirico-criminologica sulle nuove forme di aggressione al patrimonio commesse mediante le nuove tecnologie (cap. I). L’obiettivo della ricerca consiste nell’individuare sul piano giuridico-penale le tecniche di tutela del patrimonio adottate dal nostro legislatore (cap. II, III e IV) e confrontarle con quelle di alcuni ordinamenti che sono oggi all’avanguardia nella protezione degli interessi patrimoniali contro le minacce provenienti dal web. Particolare attenzione sarà rivolta, in tal senso, agli ordinamenti penali spagnolo e tedesco (cap. V). L’indagine comparata consentirà di far emergere, da un lato, le tecniche adottate dai legislatori dei menzionati Paesi per dare attuazione agli obblighi di incriminazione europea in subjecta materia e, dall’altro, per far emergere gli “idealtipi” dei reati tradizionali, informatici e cibernetici posti a tutela del patrimonio. Il metodo comparato consentirà altresì di individuare i principali problemi politico-criminali e dogmatici connessi a questo peculiare settore del diritto penale ed in specie alle norme incriminatrici che puniscono anche meri atti preparatori alla commissione di più gravi reati contro il patrimonio. In primo luogo, si provvederà a descrivere il substrato empirico-criminologico sotteso alle nuove cyber-minacce nei confronti del patrimonio, concentrando in particolare l’attenzione sulle tipologie dei comportamenti fraudolenti online, quali le advance fee fraud e gli “schemi Ponzi”, sulle condotte fraudolente aventi ad oggetto i mezzi di pagamento, l’utilizzo di ransomware e l’impiego di criptomonete per fini di riciclaggio (cap. I). Si verificherà, quindi, anche alla luce degli interessanti dati relativi alla c.d. cifra oscura, se le norme incriminatrici previste nel nostro ordinamento a tutela del patrimonio, siano adeguate a prevenire e contrastare i nuovi fenomeni criminosi commessi mediante l’utilizzo delle nuove tecnologie e l’IA. Particolare attenzione verrà dedicata, in tal senso, al c.d. Cybercrime-as-a-service, vale a dire alla messa a disposizione (sul web ed in specie sul dark web), da parte di gruppi criminali, di skills, risorse umane e tools (malware, ransomware, credenziali, ecc.) che consentono a soggetti meno esperti di conseguire illecitamente profitti online o, comunque, di commettere attività illecite. Successivamente si confronteranno le tecniche di incriminazione adottate nel nostro ordinamento con le raccomandazioni e prescrizione di fonte europea e sovranazionale e con le tecniche legislative adottate in specie in Spagna ed in Germania. Infine, va evidenziato che la dimensione transnazionale del cybercrime pone nuove sfide sia per i legislatori nazionali che per le autorità di law enforcement, perché la singola iniziativa presa a livello statale rischia di rivelarsi inefficace. Sarà, pertanto, approfondita l’analisi delle iniziative e fonti sovranazionali in materia, che si occupano specificamente di rafforzare la tutela del patrimonio dalle nuove minacce cibernetiche, tra cui la Convenzione Cybercrime del Consiglio d’Europa del 2001, che ancor’oggi costituisce il principale strumento internazionale in tale ambito a livello globale, nonché le fonti legislative adottate dall’Unione Europea. In un’ottica di diritto comparato saranno poi analizzati i testi legislativi, la giurisprudenza e gli studi dottrinali degli ordinamenti giuridici tedesco e spagnolo. In questo modo sarà possibile stabilire se le soluzioni interpretative adottate in altri Paesi con legislazione simile alla nostra possano eventualmente essere utilizzate anche per risolvere i problemi applicativi individuati nel nostro ordinamento, verificare se sia stata raggiunta l’auspicata armonizzazione penale nell’ambito del diritto penale dell’informatica ed, eventualmente, ipotizzare come il quadro giuridico europeo possa essere migliorato per garantire l'integrazione europea. In conclusione, verranno individuate, da un punto di vista dogmatico e politico-criminale, le formulazioni normative più idonee per tutelare in modo efficace il patrimonio rispetto alle più insidiose minacce provenienti dal web. In tal senso, verranno formulate, in prospettiva de jure condendo, alcune concrete proposte per l’incriminazione dei nuovi fenomeni criminosi posti in essere mediante l’utilizzo indebito o illecito delle nuove tecnologie, nel rispetto dei fondamentali principi penalistici di rango costituzionale e convenzionale.
cybercrime, patrimonio, frode informatica
462
File in questo prodotto:
File Dimensione Formato  
TESI Crescioli.pdf

Open Access dal 29/02/2024

Dimensione 3.72 MB
Formato Adobe PDF
3.72 MB Adobe PDF Visualizza/Apri

I documenti in UNITESI sono protetti da copyright e tutti i diritti sono riservati, salvo diversa indicazione.

Utilizza questo identificativo per citare o creare un link a questo documento: https://hdl.handle.net/20.500.14242/183091
Il codice NBN di questa tesi è URN:NBN:IT:UNIVR-183091