Il settore legale già da tempo si confronta con la dinamica ed inarrestabile evoluzione tecnologica ad essere protagonista questa volta però è un sistema informatico ma Hacker.
Uno storico provvedimento del G.I.P. di Catania ha infatti aperto un importante precedente che analizza l’attività posta in essere da un soggetto che tenta o si introduce all’interno di un sistema informatico ma che, a differenza di cybercriminali, segnala le sue vulnerabilità senza trarre alcun profitto alcuno.
Impropriamente infatti quando si sente parlare di hacking si ipotizza che l’attività posta in essere da esperti informatici possa rappresentare qualcosa di negativo, qualcosa che necessariamente impatti negativamente asset finanziari o reputazionali di soggetto o di una azienda.
Nel corso degli ultimi anni si sono susseguite numerose campagne da parte di aziende private che “scoprivano il fianco” ad hacker per trovare possibili vulnerabilità informatiche dei propri prodotti. Si tratta di programmi di Bug Bounty che prevedono delle vere e proprie ricompense a fronte di una vulnerabilità scoperta. Delle volte tali scoperte assumono la connotazione di semplice Disclousure, una modalità con la quale si comunica “eticamente” una vulnerabilità dei sistemi di una azienda, all’azienda stessa prima che questa informazione venga resa pubblica da colui che l’ha scoperta.
Un’ottima definizione di Responsible Disclousure o divulgazione responsabile è possibile trovarla sul portare dell’azienda di telecomunicazioni TIM. Si legge che: “la Responsible Disclosure definisce una modalità per segnalare vulnerabilità dei sistemi informatici, lasciando al ricevente il tempo necessario per poter individuare ed applicare le opportune contromisure, prima di renderle pubbliche. Applicando questo modello controllato ed eticamente corretto, per le segnalazioni di vulnerabilità di sicurezza, si contribuisce ad innalzare il livello di protezione dei servizi informatici e dei prodotti offerti ai clienti, aiutando le aziende a rilevare e porre rimedio alle falle dei sistemi, per evitare che vengano creati danni o disservizi.”
L’evento accaduto a Catania invece è interessante sia da un punto di vista legale che giuridico. La soc. Beentouch, una piccola start up fondata da sei giovani siciliani under 30, ha sviluppato un App nel 2017 che già nel primo periodo del suo rilascio ha creato non pochi grattacapi alle grandi società che forniscono il servizio di videochiamata.
Nel sempre nello stesso anno di lancio dell’app., però, un Hacker G.I. è riuscito a trovare una vulnerabilità sull’app e che prontamente ha comunicato alla casa madre. Dopo l’attesa di un mese, l’hacker ha deciso di pubblicare la vulnerabilità costringendo la Beentouch a presentare presso la procura una denuncia per per diffamazione ed accesso abusivo a sistema informatico. La società infatti rilevava – a suo dire – un “hackeraggio” del proprio sistema informatico tanto da indurla a sporgere denuncia.
Pochi giorni fa il G.i.p. di Catania ha emesso il proprio decreto di Archiviazione. Secondo il Giudice infatti “le azioni dell’hacker sono da intendersi come “divulgazione responsabile” e quindi non possono essere censurate ne passibili di procedimento penale. Nel testo del decreto si può leggere che la divulgazione garantiva la “tutela dei consumatori” e cioè tutte quelle attività o norme volte a salvaguardare i diritti e gli interessi del cittadino inteso come fruitore del servizio dell’app.
E’ il caso ora di dover soffermarci per una ulteriore riflessione. La sentenza apre una fondamentale distinzione tra le attività poste in essere da hacker etici e Crackers, la variante che al contrario tenta di danneggiare un sistema informatico;
Nell’accezione comune infatti quando si parla di Hacker si deve sottolineare come questi agiscano secondo una cultura e un’etica legata all’idea generale “del software libero”[1]. Nell’ordinamento giuridico italiano, come ben specificato dall’Avv. Fulvio Sarzana “ non esiste un esimente, ovvero una non punibilità legata al comportamento responsabile dell’hacker“, proprio perché non esiste la differenziazione tra un hacking etico e un cracking. Per meglio specificare tuttavia non è stato definito un hacking etico che abbia finalità di responsable disclousure, poiché già nel 2013 la Cassazione ha introdotto il termine hacking etico ma riferendosi ad Anonymous, famoso gruppo internazionale, al quale erano stati rinvenuti gli estremi dell’associazione a delinquere.
Di diverso avviso invece il sistema giuridico Britannico che, a differenza di molti impianti normativi nazionali, tutela il “White Hat”, l’hacker etico delle volte anche grazie all’ausilio delle Big Bounty delle aziende private.
Nel corso del tempo infatti sono state molte le attività con le quali si è provato a rendere responsabile la divulgazione delle vulnerabilità che affliggono le aziende e i sistemi informatici in generale sia essi pubblici che privati.
La fondazione GCSEC promuove l’iniziativa del Manifesto italiano di Coordinated Vulnerability Disclosure, meccanismo di cooperazione tra le organizzazioni e la comunità della sicurezza informatica per la scoperta “coordinata” e “responsabile” delle vulnerabilità tecnologiche. Tramite quest’approccio, un esperto del settore potrà responsabilmente (rispettando i termini e le condizioni condivise e definite) riportare alle organizzazioni firmatarie del manifesto le vulnerabilità scoperte dando la possibilità alle organizzazioni di identificare e mitigare la vulnerabilità prima che possano essere sfruttate da terzi riducendo il rischio di compromissione.
L’idea del manifesto italiano nasce dall’analoga iniziativa avviata in Olanda dalla multinazionale Rabobank e la piattaforma CIO, che ha visto il 12 maggio 2016 la firma del Manifesto olandese da parte di oltre trenta organizzazioni. Tale meccanismo non è attivo solo in Olanda ma è già adottato da anni da molte organizzazioni a livello internazionale.
Tale lungimirante idea effettivamente riportò un discreto successo tanto che, come riportato da Repubblica, il Team Digitale di Diego Piacentini (Pres. del Consiglio) iniziò a lavorare ad un“Programma Nazionale di Responsible Disclosure” sorretta da un impianto normativo adeguato, progetto però che non fu più portato a termine.
Dopo una attenta analisi si percepisce l’importanza nel definire a livello nazionale e sovranazionale un quadro normativo dove possano essere arginate tali lacune siano esse organizzative (circa modalità, tempistiche delle Responsible Disclosure) che dell’inquadramento penale delle nuove fattispecie di reato nonché dell’identificazione chiara di scriminanti o esimenti come nel caso dell’ “Ethical Hacking”.
Un piano di lavoro che possa comprendere il settore pubblico con il Ministero di Giustizia, l’ordine dei Magistrati, Avvocati, Ingegneri e delle forze private come le più importanti aziende che operano nei settori dell’informatica ma non solo, può sicuramente favorire un dialogo per poter definire un quadro sicuramente più chiaro a chi ad oggi deve confrontarsi con il mondo reale siano essi Ethical Hacker, Giudici che Amministratori delegati.
[1] hacker nell’Enciclopedia Treccani, su www.treccani.it. URL consultato il 10 maggio 2018Fonte: Repubblica