Hackingback: nessuna tolleranza per il vigilantismo, anche online

Reagire a un attacco informatico è opportuno ma, soprattutto, legale?
di Andrea Monti – PC Professionale n. 331

Sul finire di agosto 2018 i media hanno riportato la notizia di un caso italiano di hackback. Stando a Repubblica.it durante un’attacco sferrato da criminali esteuropei tramite una botnet e diretto ad sottrarre informazioni da sistemi americani, canadesi e italiani, il titolare di un’azienda che si occupa di sicurezza, accortosi di quanto stava accadendo, “ha infiltrato la rete degli attaccanti fino a risalire alle loro email” (qualsiasi cosa voglia dire questa incomprensibile frase).

Alcuni commentatori, in modo più o meno cauto, hanno applaudito all’iniziativa parlando di “legittima difesa” e “responsible disclosure” e auspicando l’apertura anche in Italia di un dibattito sull’ammissibilità o meno di questi “falli di reazione”.

Va detto subito, senza mezzi termini e senza ambiguità, che le azioni di hackback sono atti di ritorsione che non hanno sostegno giuridico e che possono addirittura sconfinare esse stesse nella commissione di reati.

Il Codice penale, infatti, punisce chi si fa giustizia da solo con violenza sulle cose e quando “un programma informatico viene alterato, modificato o cancellato in tutto o in parte ovvero viene impedito o turbato il funzionamento di un sistema informatico o telematico” (art. 392 comma 3). Inoltre, l’articolo 52 stabilisce che “non è punibile chi ha commesso il fatto per esservi stato costretto dalla necessità di difendere un diritto proprio o altrui contro il pericolo attuale di un’offesa ingiusta e sempre che la difesa sia proporzionata all’offesa”. Infine, il numero 1, comma I dell’articolo 62 stabilisce che il reato è attenuato in caso azione commessa per motivi di particolare valore morale o sociale.

E’ chiaro che lo hacking back integra – astrattamente – il reato di esercizio arbitrario delle proprie ragioni (se qualcuno attacca il mio sistema devo denunciarlo, non rendergli pan per focaccia) e non può essere giustificato dalla legittima difesa.

Se subisco un’aggressione e reagisco – entro limiti determinati – non sono punibile. Ma se qualcuno attacca un sistema la reazione non è indispensabile per difendersi: basta infatti staccare il cavo di rete, e comunque non sarebbe certo “legittima difesa” cercare di scoprire gli autori dell’attacco violando i loro sistemi. Infine, è anche dubbio che si possa invocare a propria difesa l’avere “fatto la cosa giusta” per avere uno sconto di pena.

Sarebbe poi ancora più debole la posizione di chi dovesse fare tutto questo a fronte di un attacco che non lo riguarda personalmente ma che è diretto contro sistemi appartenenti a terzi.

Non è la prima volta che, nella storia italiana dell’internet, si registrano eventi che ricordano molto da vicino azioni di “vigilantismo”, istigazioni all’aggressione elettronica e uso ambiguo delle proprie competenze tecniche.

Quasi vent’anni fa, per esempio, fiorirono gruppi di sedicenti hacker che, con buona pace delle forze di polizia, avevano come obiettivo quello di “andare a caccia di pedofili” e sempre sullo stesso argomento è utile ricordare come l’on. Alessandra Mussolini propose, nel 2000, di “bombardare di virus i siti dei pedofili”. Alla data di scrittura di questo articolo, il pezzo in questione è ancora disponibile sul sito di Repubblica.it.

In parallelo, ci sono sempre state persone che, a vario livello di buona fede, hanno cercato di trarre vantaggio dalle proprie competenze informatiche.

A volte si trattava di soggetti sinceramente interessati a migliorare la sicurezza dei sistemi informatici scoprendone le vulnerabilità, altre volte si trattava di spregiudicati affaristi che si presentavano come “salvatori della patria” quando, al pratico, erano solo in cerca di facile notorietà.

E i bug hunter? – potrebbe chiedersi qualcuno – anche loro compiono dei reati quando scoprono delle vulnerabilità. E i penetration tester etici?

Sono figure che non si possono assimilare perchè c’è una differenza sostanziale fra il primo e chi fa penetration test non richiesti o hacking back.

Un bug hunter lavora su un software e, a seconda di convinzioni e opportunità, decide come far circolare il prodotto dei suoi studi, ma senza ledere i diritti di nessuno. I secondi compiono attività non autorizzate, non richieste e non giustificabili da vaghi “principi etici”. A costo di suonare “vecchio”, non bisogna nascondersi dietro un dito: gli anni ’80 e i primi ’90 dello scorso secolo sono passati e non ritornano e invocare l’etica come scusa per giustificare azioni illecite – oggi come allora – è semplicemente una scusa.

Non c’è molto altro da dire.

Possibly Related Posts: