Pubblicità
Motherboard

Perché dobbiamo imparare a fidarci degli hacker etici

E per capire come fare abbiamo chiesto a un avvocato di spiegarci cosa dice la legge a riguardo.

di Riccardo Coluccini
08 febbraio 2018, 2:15pm

Immagine: Shutterstock

Il dibattito scaturito dalla notizia delle indagini ai danni dell’hacker etico Evariste Gal0is, che aveva segnalato le vulnerabilità della piattaforma Rousseau del Movimento 5 Stelle, ha sollevato nuovamente il tema della percezione degli hacker nella società pubblica e ha mostrato la necessità di ribadire, ancora una volta, la differenza sostanziale fra hacker black hat e white hat.

La rapida azione di supporto della comunità hacker italiana, veicolata da una lettera aperta con petizione online in favore di Evariste, sembra aver raccolto i suoi frutti: secondo quanto riportato ieri sera da Raffaele Angius su Agi, Davide Casaleggio avrebbe aperto alla possibilità di far cadere le accuse contro l'hacker se fosse confermata l’assenza di dolo.

Ed è proprio l’aspetto legale del dolo che mi ha spinto a contattare l’avvocato Stefano Aterno, esperto di reati informatici e privacy, per capire meglio per quale motivo si parla di intrusione informatica anche nel caso degli hacker etici ed in che modo la rivelazione delle vulnerabilità di un sito possa costituire un reato.

L’articolo 615 ter del codice penale sanziona l’accesso abusivo ai sistemi informatici o telematici,” mi spiega Aterno, “e chiunque si introduca all’interno di un sistema protetto da misure di sicurezza contro la volontà del soggetto titolare di quel domicilio è sanzionabile.” Il problema, però, è stabilire se vi sia stato effettivamente un accesso.

Aterno chiarisce subito, infatti, che l’hacker etico non danneggia nulla, quindi non vi è danneggiamento, e se si guarda all’ipotesi di reato di trattamento illecito dei dati personali, “non ravviso una configurabilità del reato perché quei dati vengono visualizzati ma non sottratti.”

"Chiunque si introduca all’interno di un sistema protetto da misure di sicurezza contro la volontà del soggetto titolare di quel domicilio è sanzionabile."

Liberato quindi il campo da altri eventuali ipotesi di reato, Aterno ribadisce che resta il problema di stabilire se l’hacker sia effettivamente entrato nel sistema informatico senza il consenso del titolare oppure abbia solamente controllato l’esistenza delle misure di sicurezza e, una volta individuate le falle del sistema, abbia avvertito il proprietario.

Aterno suggerisce un chiaro esempio per comprendere meglio le situazioni che si possono presentare: “un soggetto si avvicina ad una casa e vede da fuori che ci sono le finestre aperte o i vetri infranti, oppure che la porta d’ingresso è rotta, se lui avverte il proprietario dell’abitazione e non varca la soglia, non commette alcun accesso abusivo al sistema informatico.”

LEGGI DI PIÙ
- Regole d'oro per giovani hacker
- L'hacker che vuole cambiare il mondo
- La guida di Motherboard per non farsi hackerare

Un caso completamente diverso, invece, “è se vedo che la porta mi si apre, cerco di capire perché si è aperta, come funziona, entro persino in casa e controllo le finestre: allora in questo caso il rischio che un pubblico ministero possa considerare questa condotta accesso abusivo sussiste.”

A quel punto, prosegue Aterno, sarà compito dell’hacker etico dimostrare di aver avvisato il titolare del sistema prima di rilasciare pubblicamente la notizia delle vulnerabilità individuate.

La decisione finale spetta comunque al Pubblico Ministero e alla polizia giudiziaria e spesso, mi spiega Aterno, le denunce sono contro ignoti e si può indicare in querela che un utente X forse è informato sui fatti.

Questa norma presenta alcuni limiti: “purtroppo il concetto di misure di sicurezza di cui all’art 615 ter non è soggettivo, non c’è possibilità di dimostrare che le misure di sicurezza sono resistenti, se non lo fossero non esisterebbe reato,” sottolinea Aterno.

“Vi erano state, ad inizio degli anni 2000, assoluzioni di casi di accessi abusivi per l’insussistenza di idonee misure di sicurezza, ma questa giurisprudenza rappresenta un orientamento molto minoritario che non è più stato seguito,” specifica Aterno.

Se vogliamo che cresca e fiorisca la cultura dell’hacking etico c’è bisogno che ognuno faccia la propria parte: da un lato gli hacker devono seguire le procedure di responsible disclosure — segnalando una vulnerabilità a chi di dovere dandogli il tempo necessario per rimediare e solo dopo comunicare al mondo la notizia — e dall’altro le aziende devono abbracciare una cultura che promuova le segnalazioni, anche grazie a sistemi di bug bounty che permettono di ricompensare chiunque individui una vulnerabilità, senza sbattere la porta in faccia agli hacker.

Solo così l’ecosistema informatico potrà godere del supporto benefico degli hacker etici.

Segui Riccardo su Twitter: @ORARiccardo

Seguici su Facebook e Twitter