Hacking etico in Italia

Il giudice per le indagini preliminari di Catania ha disposto il decreto di archiviazione per infondatezza delle notizie di reato di accesso abusivo ai sistemi informativi e di diffamazione nei confronti di un hacker che aveva segnalato le vulnerabilità di sistema di un’applicazione e approfondisce per la prima volta in Italia la tematica della divulgazione responsabile”.

Il caso. Un ragazzo con competenze tecniche informatiche in materia di sicurezza informatica scopriva in data 1 maggio 2016 alcune vulnerabilità in un’applicazione per smartphone di un’azienda e contattava lo staff della stessa azienda per avere informazioni sul prodotto creato e commercializzato dall’azienda e per segnalare le relative criticità di sistema. L’azienda non ha risposto alle richieste e alle segnalazioni del ragazzo. Di fronte al silenzio dell’azienda il ragazzo ha deciso di rendere noti, a tutela dei consumatori, la presenza della vulnerabilità a distanza di un mese dalla sua segnalazione. Il rappresentante legale dell’azienda che ha sviluppato l’applicazione ha presentato nel marzo 2017 querela nei confronti del ragazzo e ha rappresentato un evidente hackeraggio del sistema informativo in data 1 maggio 2016. Venivano contestati al ragazzo i reati di cui all’art. 595 Diffamazione” e 615- ter c.p. Accesso abusivo ad un sistema informatico o telematico”, art. 612- bis Atti persecutori”. Il Giudice delle indagini preliminari esaminati gli atti del procedimento penale, vista la richiesta di archiviazione del PM, lette le memorie depositate in udienza dal difensore ha disposto l’archiviazione del procedimento penale per infondatezza della notizia di reato. Divulgazione responsabile. Il decreto di archiviazione è di estremo interesse in quanto per la prima volta in Italia approfondisce la metodologia della divulgazione responsabile”. Il Giudice ha rappresentato come sia nota la crescente rilevanza che ha assunto nella gestione dell’attività di impresa la sicurezza dei relativi sistemi informativi, e ha sottolineato come costituisca, ormai, una prassi consolidata l’invito rivolto dai titolari delle varie aziende a comunicare loro la presenza di bug errori di sistema all’interno del loro apparato da parte di chi ne abbia conoscenza. Il Giudice ha richiamato l’attenzione sul fatto che l’indagato ha inviato una serie di missive allo staff aziendale e che, solo di fronte all’inerzia della stessa azienda, si è deciso a rendere noto, a tutela dei consumatori, la presenza della vulnerabilità e dell’errore presente a distanza di un mese dalla sua segnalazione. Il Giudice ha evidenziato che la condotta del giovane hacker non integra, il delitto di cui all’art. 615- ter rubricato Accesso abusivo ai sistemi informativi” inquadrandosi essa stessa nella metodologia comune della divulgazione responsabile in quanto l’indagato medesimo ha contattato prima l’azienda coinvolta proprio per consentirle di emendare l’errore entro un lasso di tempo, che può variare da trenta giorni a un anno, a seconda della gravità e della complessità della vulnerabilità. In relazione al profilo della diffamazione, secondo il giudice il reato non è configurabile alla luce dell’operatività della scriminante dell’art. 51 c.p. dell’esercizio del diritto di critica il giudice rileva come il contenuto dell’articolo non trasmodi in un attacco gratuito ma rispetta un nucleo di veridicità. L’azienda non ha riscontrato le segnalazioni del ragazzo e ha messo a rischio gli stessi clienti. Il caso in esame ci aiuta a comprendere come sia necessaria una maggiore consapevolezza in materia di sicurezza informatica da parte di tutti gli operatori. Il nostro ordinamento non distingue le attività di hacking dalle attività di craking. Il fenomeno hacking si verifica quando un soggetto utilizza la sua conoscenza e la sua creatività per sviluppare e creare nuovi software o programmi applicativi. Gli Hacker segnalano vulnerabilità e falle nei siti web, programmi, applicazioni e servizi di aziende e organizzazioni. Il craking consiste, invece, nella violazione di sistemi informatici, programmi e applicazioni collegati allo scopo di danneggiarli, di rubare e sottrarre informazioni oppure di sfruttare i servizi telematici di un soggetto connessione ad Internet, accesso a database etc senza la sua autorizzazione. Il reato di accesso abusivo informatico al sistema informatico si configura a prescindere dalle finalità anche, pertanto a prescindere dalla volontà di condivisione della conoscenza tramute haking con possibili ricadute positive sulla società per le quali avviene l’accesso. Nel nostro ordinamento come osservato da autorevole dottrina non esiste un esimente, ovvero una non punibilità connessa al comportamento responsabile dell’hacker. Il provvedimento in esame è di interesse in quanto ci aiuta a comprendere quanto sia necessario l’informazione e la formazione in materia di sicurezza informatica al fine di fare crescere la consapevolezza dei rischi e dell’opportunità della rete, dei sistemi, programmi e applicazioni. La sicurezza dei sistemi e dei dati è uno strumento importante per instaurare e rafforzare la fiducia dei clienti e dei cittadini. Molteplici società straniere e multinazionali adottano delle policy di divulgazione Responsible Disclosure Policy” nelle quali invitano i propri utenti a segnalare vulnerabilità attraverso l’invio di una segnalazione e invio di un report di divulgazione responsabile. In alcuni casi le società esaminano le informazioni riportate e, qualora fondate e non fossero ancora state segnalate, prevedono la possibilità di compenso in denaro a discrezione della società Alcune società prevedono anche la possibilità dei soggetti che hanno segnalato vulnerabilità di partecipare a programmi specifici aziendali o piani di assunzioni. Le società rappresentano, in questi casi, non volere intraprendere azioni legali contro chi scopre e segnala falle di sicurezza nel rispetto della stessa policy di divulgazione responsabile. Il ritardo del sistema delle imprese e degli enti italiani in materia di divulgazione responsabile è ancora forte. Le sopra citate policy contengono una serie di divieti in via esemplificativa, accedere, scaricare o modificare o tentare di accedere a, scaricare o modificare dati da un account che non appartiene al soggetto - postare, trasmettere, caricare, linkare, inviare o archiviare qualsiasi malware - eseguire test il cui effetto sia l’invio di mail non richieste o non autorizzate, spam o altre forme di messaggi indesiderati - eseguire test in grado di danneggiare il funzionamento di qualsiasi bene o risorsa aziendale. La sicurezza informatica costituisce un asset fondamentale per lo sviluppo del paese e ha bisogno della collaborazione di tutti e della condivisione della conoscenza a tutela dei cittadini, consumatori e cittadini. Il decreto di archiviazione in commento è un provvedimento innovativo in quanto richiama l’attenzione nel nostro paese sul fenomeno della divulgazione responsabile che è molto sviluppato negli altri paesi e per il quale alcuni stati hanno attivato programmi nazionali o sono intervenuti a livello normativo.

Tribunale di Catania, Ufficio del Giudice per le Indagini Preliminari, decreto 15 luglio 2019 Giudice Rizza Fatto e Diritto Rilevatoche il presente procedimento trae origine dalla querela presentata in data 30.03.2017 da M.D., nella qualità di legale rappresentante della società L. s.r.l. , nei confronti di I.G. che la vicenda si inserisce nell'ambito di un progetto aziendale relativo all'applicazione per smartphone denominata B. che in data 01.05.2016 l'indagato, godendo di notevoli competenze tecniche in materia di sicurezza informatica, richiedeva dettagliate informazioni circa il prodotto offerto anzidetto che nella medesima giornata dell'01.05.2016, a dire del querelante, si rilevava un evidente hackeraggio del sistema informatico ritenuto che posto che è nota la crescente rilevanza che ha assunto nella gestione dell'attività d'impresa la sicurezza dei relativi sistemi informatici, costituisce prassi consolidata l'invito rivolto dai titolari delle varie aziende a comunicare loro la presenza di bug errori di sistema all'interno del loro apparato da parte di chi ne abbia conoscenza che nel caso de quo l'indagato ha inviato una serie di missive allo staff della B. e solo a seguito dell'inerzia della medesima di voler correggere la vulnerabilità del sistema, si è deciso a render noto, a tutela dei consumatori, la presenza di un simile errore a distanza di un mese dalla sua segnalazione che la condotta dello I. non integra pertanto, sulla scorta di quanto chiarito, il delitto di cui all'art. 615-ter c.p., inquadrandosi la stessa nella metodologia comune della divulgazione responsabile , avendo peraltro l'indagato medesimo contattato prima l'azienda coinvolta proprio per consentirle di emendare l'errore entro un lasso di tempo, che può variare da trenta giorni a un anno, a seconda della gravità e della complessità della vulnerabilità che l'operatività della scriminante di cui all'art. 51 c.p. dell'esercizio del diritto di critica, non consente la configurabilità del reato di diffamazione di cui all'art. 595 c.p., tenuto conto che il contenuto dell'articolo non trasmoda in un gratuito attacco ma rispetta un nucleo di veridicità che non resta dunque che disporre l'archiviazione del presente procedimento per infondatezza della notizia di reato, essendo nella prospettiva sopra delineata del tutto inconducenti gli approfondimenti istruttori indicati nell'atto di opposizione. P.Q.M. Visto l'art. 410 comma 2 c.p.p. dispone l'archiviazione del procedimento penale iscritto nei confronti di I.G. ed ordina la restituzione degli atti al P.M. Manda la Cancelleria per gli adempimenti di competenza.