Una sentenza ha riconosciuto a un esperto informatico il diritto di denunciare le falle nella sicurezza: la sua è stata “divulgazione responsabile”

Non tutti gli hacker sono criminali. È quanto emerge da un recente provvedimento del giudice per le indagini preliminari di Catania, che ha archiviato le accuse a carico di G.- esperto informatico- alla luce delle particolari modalità del suo hackeraggio.

Il fatto

G. ha da poco scaricato un’app di videochiamate. Sfruttando le sue competenze tecniche, rileva dei problemi di sicurezza in grado di mettere in pericolo la privacy degli utenti. Decide allora di comunicarli all’azienda produttrice che, quasi contestualmente, registra un attacco informatico al proprio sistema. La società nota inoltre come le informazioni possedute dal ragazzo siano fin troppo dettagliate.
Passano le settimane ma G. non riceve nessuna risposta. Decide allora di divulgare su internet i problemi di sicurezza rilevati. Come risultato, dopo qualche mese scopre di essere indagato per accesso abusivo a sistema informatico e diffamazione.

La sentenza

Il procedimento sì è però concluso in fase di indagini: il gip ha infatti ritenuto che il comportamento di G. fosse legittimo, sottolineando come il ragazzo avesse diffuso le informazioni solo dopo aver provato senza successo a contattare l’azienda per chiederle di intervenire. Come si legge nel decreto di archiviazione, “la condotta dell’indagato non integra il delitto di (accesso abusivo a sistema informatico), inquadrandosi la stessa nella metodologia comune della divulgazione responsabile”.
Quanto alla diffamazione, poi, il giudice ha stabilito che la diffusione delle informazioni costituisse legittimo esercizio del diritto di critica. Il procedimento è stato quindi archiviato, riconoscendo – per la prima volta in Italia – dignità giuridica al cosiddetto “hacking etico. Si riconducono a questo concetto quegli attacchi informatici compiuti al solo fine di mettere il titolare del sistema a conoscenza dei problemi di sicurezza individuati. Su questo elemento si basa la distinzione tra white hat– o, appunto, hacker etico – e black hat, ossia un hacker che persegue finalità illecite, come il furto di dati sensibili. Ulteriore categoria è quella dei cosiddetti hacktivist, che agiscono con dichiarati intenti politici e le cui azioni- come ha stabilito qualche anno fa la Cassazione- rimangono penalmente rilevanti.

Il precedente

In realtà non è la prima volta che in Italia si parla di hacking etico. Nel 2017, Evariste Gal0is– nickname di un ventisettenne studente di matematica-  si è inserito nel server della Piattaforma Rousseau del Movimento 5 Stelle, segnalandone le falle di sicurezza. Le scoperte riguardavano problemi nel codice di programmazione comportanti dei rischi per la privacy degli iscritti. Si veniva poi a scoprire che anche un black hat, Rogue0, era entrato nel sistema, accedendo ad un vasto database di password, indirizzi mail e numeri di telefono degli iscritti. A finire nei guai era stato però solo il white hat, Evariste Gal0is, denunciato dall’Associazione Rousseau che, dopo due anni, lo scorso aprile ha ritirato la querela.
Come è facile immaginare, casi simili hanno interessato anche i tribunali di altri paesi, con esiti spesso meno favorevoli rispetto a quanto visto. All’inizio di quest’anno in Ungheria un ragazzo è stato processato per essersi inserito nel database della più grande azienda nazionale di telecomunicazioni. Anche in questo caso, il giovane ha comunicato alla compagnia le gravi vulnerabilità rilevate. Le buone intenzioni non sono però bastate ad evitargli la condanna ad una multa salata.
Un altro caso celebre è quello di Glenn Mangan, ragazzo inglese che nel 2012 ha violato il sistema di sicurezza di Facebook, arrivando a ottenere il codice sorgente del social network. Anche in quel caso, il giovane ha provato a difendersi sostenendo di essere un hacker etico, venendo tuttavia condannato in primo grado a 8 anni di carcere.

Le sfumature

Come suggerisce l’utilizzo dell’aggettivo etico, non sempre è facile stabilire un attacco informatico sia tale. Nel procedimento a carico di G. il giudice ha valorizzato le precise modalità della condotta, riconoscendo come sempre più spesso siano le stesse aziende a richiedere agli utenti di segnalare la presenza di bug. In alcuni casi, le società arrivano ad assumere degli esperti per mettere alla prova la sicurezza dei loro sistemi, come dimostra la crescente diffusione di corsi e certificazioni per diventare hacker etici.
L’Italia ha tentato di intervenire con una disciplina organica nel 2016, quando il Team Digitale di Diego Piacentini, sotto la presidenza del Consiglio, ha inserito tra i suoi punti di azione l’elaborazione di una normativa che regolasse l’attività degli hacker etici. Alla fine, però, non se ne è fatto più nulla. Come visto, il rischio di andare incontro ad un procedimento penale rimane alto, qualunque sia il fine dell’attacco informatico. In assenza di criteri normativi espliciti, la valutazione del singolo caso è rimessa interamente alla discrezionalità giudice.
FONTE