Giustizia & Impunità

Figli di Trojan, i sistemi hackerati dagli Occhionero erano protetti? /5

PUNTATE: 1 / 2 / 3 / 4

Computer, tablet e smartphone sono una sorta di cornucopia di informazioni. Il loro saccheggio è certo attività deprecabile, il loro utilizzo improprio addirittura peccato mortale. Etica a parte, c’è poi da fare i conti con il codice penale.

Ma se i primi colpevoli fossero i vip che si sono fatti scippare il contenuto delle loro “memorie” e delle caselle di posta elettronica?

La boutade – che potrebbe non esser tale – prende spunto dalla lettura del codice penale e degli articoli che in questo sono stati inseriti dall’entrata in vigore “illo tempore” della legge 547 del 1993 che ha introdotto nel nostro ordinamento i crimini informatici.

Le disposizioni che hanno contemplato la sanzionabilità di comportamenti illeciti mandate a segno in danno di sistemi informatici hanno – analogamente a tanti brani di musica leggera – un ritornello ricorrente.

Il refrain è quel “protetto da misure di sicurezza”, che troviamo – sempre compreso tra due virgole – nelle diverse fattispecie di reato come elemento indispensabile perché siano soddisfatti i requisiti delle singole condotte delittuose.

In termini pratici il reato si configura solo ed esclusivamente se il computer destinatario delle attività criminose (ad esempio di “accesso abusivo” di cui all’articolo 615 ter del codice penale o di “danneggiamento” previsto e punito dal successivo 635 bis) è opportunamente difeso da idonee precauzioni tecniche.

Proviamo ad accostare l’accesso abusivo a un sistema informatico alla ben più materiale violazione di domicilio. Quest’ultima si realizza se chi entra rompe lucchetti, scassina serrature, scavalca recinzioni, divelle porte blindate, fa violenza sulle persone che si oppongono all’ingresso, quindi superando o infrangendo le “misure di sicurezza” poste a difesa dell’immobile.

Non commette reati chi va a sdraiarsi sul prato – pur proprietà privata – antistante l’altrui abitazione di cui è pertinenza: il padrone di casa avrà diritto di cacciarlo, di lamentare il superamento del perimetro segnato dalle margheritine piantate sul bordo del terreno, di chiedere il risarcimento di un eventuale danno all’aiuola, ma nulla di più.

I dispositivi elettronici su cui hanno scorrazzato i due sedicenti hacker somigliano più alla costruzione corazzata della prima situazione o piuttosto allo spazio semiaperto del secondo caso?

La questione delle misure di sicurezza è incredibilmente importante. Se ci sono, chi le viola si macchia di reato. Se non ci sono, gli indesiderati visitatori non devono rispondere di accesso indebito.

Ma la storia non finisce certo qui. Le misure di sicurezza, infatti, sono considerate obbligatorie dalla disciplina vigente in materia di privacy. La normativa in argomento si preoccupa del fatto che enti e aziende raccolgano o utilizzino informazioni personali sui propri computer effettuando tali operazioni su dati riferiti ad altre persone (si pensi a quelli dei dipendenti per una azienda o dei cittadini per un ente pubblico). Un eventuale attacco a un archivio elettronico non danneggia tanto chi lo detiene e lo gestisce, ma piuttosto tutti i soggetti cui i dati sottratti, copiati o alterati si riferiscono.

Per questo motivo gli articoli 33 e 34 del decreto legislativo 196 del 2003 e l’allegato B al medesimo provvedimento stabiliscono misure minime e precauzioni specifiche per chi si avvale di strumenti tecnologici di elaborazione dati (categoria in cui rientrano dai più piccoli ai più sofisticati arnesi digitali di uso comune per lavorare alla scrivania o comunicare in mobilità). Il primo comma dell’articolo 169 del medesimo d.lgs. 196/03 prevede la pena dell’arresto fino a due anni per chi, essendovi tenuto, omette l’adozione di tali misure.

Conoscono bene la sottile linea di demarcazione tra codice penale e quello della privacy tutte quelle imprese che, subita una aggressione informatica, hanno capito le controindicazioni al presentare regolare denuncia. Considerato che oltre al danno di immagine per la beffa subita, infatti, c’è il rischio di passare dalla posizione di vittima a quella ben più scomoda di reo, parecchie aziende preferiscono tacere sull’accaduto e sperare che i dati sgraffignati non comincino a circolare…

Tenuto conto che il virus “Eye Pyramid” utilizzato per combinare questo ambaradan risale al 2008 e quindi erano disponibili da tempo sistemi idonei a prevenire o neutralizzare azioni o situazioni dannose o comunque pericolose generate dal suo entrare in azione, gli apparati presumibilmente azzannati in modo virtuale dagli Occhionero erano protetti da misure di sicurezza?

Viste le considerazioni precedenti, sarebbe interessante appurarlo.

Tranquillizziamo subito chi è pronto a commenti feroci pensando che si stiano cercando giustificazioni o alibi ai due personaggi.

La loro posizione giudiziaria è ancorata anche ad altri capi di imputazione come l’intercettazione di comunicazioni telematiche (articolo 617 quater comma 1 e 4 n°1 del codice penale), il procacciamento di notizie concernenti la sicurezza dello Stato (art. 256 comma 1 e 3 c.p.), la diffusione di programmi informatici atti ad alterare il funzionamento di un sistema informatico (art. 615 quinquies c.p.).

Strada in salita per chi deve difenderli, ma percorso che offre mille spunti di riflessione per chi vuole capire meglio cosa è davvero successo.

Un pochino di pazienza. Il sequel continua.

(continua…)