L'interessamento ai temi della sicurezza informatica è andato via via aumentando con il diffondersi di Internet: la globalizzazione delle informazioni ha permesso lo scambio del know-how, le comunità virtuali sono diventate terreno fertile per lo sviluppo di una nuova cultura. Chi per necessità, chi per passione o semplice curiosità, sono sempre di più i giovani che si avvicinano a questi argomenti e, come naturale conseguenza, all'universo degli hacker.
Sebbene la Rete non imponga ai suoi visitatori delle regole ben definite, in quanto cittadini reali e non virtuali dobbiamo ricordare le responsabilità che comportano le nostre azioni: l'hacking è un'attività illecita? Una scansione, la condivisione di un exploit, lo spoofing...quali sono i retroscena legali di queste operazioni? Questi sono gli interrogativi più diffusi sui quali, leggi alla mano, cercheremo di fare luce.
Andiamo con ordine; prima di tutto è necessario separare l'idea di hacker dalla figura del criminale, come spesso viene dipinto dai media. L'hacking in senso stretto non ha nulla a che vedere con le truffe, lo spionaggio industriale, il danneggiamento dei sistemi informatici. Per capire meglio cosa si intende per hacker leggiamo l'ottimo documento "How To Become A Hacker" di Eric Steven Raymond: raramente la mentalità hacker è stata descritta con parole più appropriate.
Percezione del computer crime
Secondo alcune ricerche, la mediazione del computer può arrivare a distorcere la percezione sociale che abbiamo dei crimini informatici: consideriamo normale e lecito un comportamento che, in realtà, la normativa descrive come reato. Questo succede perché non abbiamo un riscontro immediato e reale per le nostre azioni (e non corriamo il rischio di essere presi in flagrante!).
Pensiamo ad esempio a chi aggira l'antifurto e si introduce in casa altrui senza averne l'autorizzazione: si tratta di un reato, questo è evidente a tutti. Ora confrontiamolo con l'accesso abusivo a un sistema informatico: c'è chi penetra tutti i giorni in sistemi (domicili) informatici sfruttando le tecniche di hacking, ma non si sognerebbe mai di commettere una violazione di domicilio, proprio perché vede nei due reati una diversa gravità, o addirittura non percepisce il primo come "vero" reato. Purtroppo le sanzioni, anche in quel caso, sono più che reali.
Questo argomento diventa ancor più degno di nota se pensiamo alla percentuale di giovanissimi che si approcciano all'hacking e che proprio per questo sono cresciuti, in alcuni casi, convivendo con la normalità di reati informatici in piena regola.
In Italia, la legge che disciplina i reati informatici è la
n. 547 del 23 dicembre 1993. Molti sostengono che si
tratta di una legge ancora inadeguata a regolare questo complesso fenomeno,
dato che spesso si presta a diverse interpretazioni (o non regola affatto
alcuni aspetti importanti della questione). Cerchiamo di chiarire i
nostri dubbi sulla legalità di alcune azioni di hacking analizzando
gli articoli del Codice Penale introdotti dalla legge 547.
Intrusione
L'articolo 615-ter (Accesso abusivo a un sistema informatico o telematico)
recita così: "Chiunque abusivamente si introduce in
un sistema informatico o telematico protetto da misure di sicurezza
ovvero vi si mantiene contro la volontà espressa o tacita di
chi ha il diritto di escluderlo, è punito con la reclusione fino
a tre anni [..]". Anche la sola intrusione è dunque
punita duramente. È interessante notare, però, che si parla
di sistema "protetto da misure di sicurezza". L'assenza di
protezioni adeguate renderebbe insussistente il reato in oggetto.
Codici di accesso
L'articolo 615-quater (Detenzione e diffusione abusiva di codici di
accesso a sistemi informatici o telematici) dice: "Chiunque,
al fine di procurare a sé o ad altri un profitto o di arrecare
ad altri un danno, abusivamente si procura, riproduce, diffonde, comunica
o consegna codici, parole chiave o altri mezzi idonei all'accesso a
un sistema informatico o telematico, protetto da misure di sicurezza,
o comunque fornisce indicazioni o istruzioni idonee al predetto scopo,
è punito con la reclusione sino a un anno e con la multa sino
a lire 10 milioni [..]". Poniamo l'accento sul fatto che questa
norma è già stata applicata in contesti diversi dall'intrusione
vera e propria, ad esempio nel caso dell'utilizzo di strumenti atti
a decriptare le trasmissioni via satellite.
Exploit
Consideriamo ora l'articolo 615-quinquies (Diffusione di programmi diretti
a danneggiare o interrompere un sistema informatico): "Chiunque
diffonde, comunica o consegna un programma informatico da lui stesso
o da altri redatto, avente per scopo o per effetto il danneggiamento
di un sistema informatico o telematico, dei dati o dei programmi un
esso contenuti o a esso pertinenti, ovvero l'interruzione, totale o
parziale, o l'alterazione del suo funzionamento, è punito con
la reclusione sino a due anni e con la multa sino a lire 20 milioni".
È evidente che questa norma trova la sua applicazione nel caso della
creazione e diffusione di virus. Meno immediata è l'associazione
di questa definizione ai programmi utilizzati per sfruttare una vulnerabilità,
gli exploit, ma possiamo notare che effettivamente rientrano nell'applicazione
(alterano il funzionamento del sistema). In questo caso la norma è
particolarmente importante per chi si occupa di sicurezza informatica:
la detenzione degli exploit è legale, in assenza di indicazione contraria, mentre non lo è
la diffusione (anche a fini di studio). Inutile dire che si tratta di
una situazione molto controversa.
Sniffer
Secondo l'art. 617-quater (Intercettazione, impedimento o interruzione illecita di comunicazioni informatiche o telematiche) "Chiunque fraudolentemente intercetta comunicazioni relative a un sistema informatico o telematico o intercorrenti tra più sistemi, ovvero le impedisce o le interrompe, è punito con la reclusione da sei mesi a quattro anni [..]". È frequente durante le azioni di hacking l'utilizzo di strumenti adatti a intercettare il traffico nella rete colpita. Specifichiamo, a scanso di equivoci, che gli sniffer non sono strumenti illegali (ma è illecito l'utilizzo che se ne fa, in questo caso).
Spoofing
L'art. 617-sexies (Falsificazione, alterazione o soppressione del contenuto di comunicazioni informatiche o telematiche) dice che: "Chiunque, al fine di procurare a sé o ad altri un vantaggio o di arrecare ad altri un danno, forma falsamente ovvero altera o sopprime, in tutto o in parte, il contenuto, anche occasionalmente intercettato, di taluna delle comunicazioni relative a un sistema informatico o telematico o intercorrenti tra più sistemi, è punito, qualora ne faccia uso o lasci che altri ne facciano uso, con la reclusione da uno a quattro anni". Anche in questo caso l'articolo si presta a varie interpretazioni, anche forzose, pensiamo alle tecniche di spoofing IP, ARP e DNS, che potrebbero rientrare nell'alterazione delle comunicazioni informatiche.
Portscan
I dubbi sulla legalità del portscan sono fra i più frequenti negli ambienti della sicurezza informatica. Effettivamente, il fatto che la legge attuale ignori completamente il problema non aiuta. Il portscan non è vietato, ma potrebbe essere sanzionabile nel caso in cui sia rivolto a commettere un reato (come l'acceso abusivo). L'unica soluzione sicura, per ora, è quella di definire tutte le fasi dello studio che ci apprestiamo ad effettuare e fornirne comunicazione alle forze di polizia e ai soggetti passivi prima di inziare.
Va detto che, nel caso della detenzione di exploit e del portscan, esistono diverse interpretazioni. Secondo alcuni, il motivo di studio (e quindi la buona fede) fa sì che non si configuri alcun reato. Si tratta comunque di interpretazioni e non di certezze, quindi è sempre meglio attrezzarsi per tempo e definire con chiarezza i propri intenti di studio. Se lo facciamo per mestiere, è consigliabile chiedere consiglio alle forze dell'ordine oppure a esperti di diritto informatico.
Mettiamo sul piatto della bilancia due considerazioni: da una parte la giusta necessità di punire il crimine informatico e dall'altra il diritto dei ricercatori di studiare liberamente i fenomeni della sicurezza informatica e di condividere le proprie scoperte, senza avere avere sulla testa una spada di Damocle come la legge 547/1993. Questi due estremi non dovrebbero essere in contrasto, eppure attualmente nel nostro ordinamento lo sono.
A tal proposito l'avvocato Andrea Monti, esperto di diritto delle telecomunicazioni e delle nuove tecnologie nonché autore del famoso libro "Spaghetti hacker", scrive che la legge attuale spesso è contraddittoria o inapplicabile e auspica dei cambiamenti per il futuro.
Insomma, non ci resta che aspettare, per sapere quale sarà il futuro delle libertà digitali. Sperando di non vedere mai le sbarre di un ipotetico zoo ipertecnologico, con una nuova specie in via d'estinzione: "È severamente vietato dare da digitare agli hackers".
Bibliografia
- Andrea Monti, "Quanto sono legali portscan e war driving?" in ICTLex.net
- Andrea Monti, "Full disclosure. Risorsa o pericolo per la sicurezza?" in ICTLex.net
- Andrea Monti, Computer crimes, un'occasione perduta in ICTLex.net
- Marco Strano, Computer Crime, Milano, Apogeo 2000
- "Legge 23 dicembre 1993 n. 547" in InterLex.it