I rischi nascosti del commercio elettronico

di Andrea Monti – PC Professionale n. 83

Quando si parla di sicurezza del commercio elettronico la mente (anche ad opera di venditori di sicurezza “abili” propagandisti di insicurezza) corre subito alle frotte di improbabili delinquenti che stanno appollaiate da qualche parte sulla Rete per impadronirsi di carte di credito o per imbastire chissà quale truffa digitale da baraccone; pochi imprenditori sanno che i loro affari elettronici sono messi a rischio da un pericolo tanto invisibile quanto concreto: le indagini di polizia giudiziaria.

Purtroppo non è uno scherzo, ma una considerazione che nasce dall’osservazione continua di ciò che accade oggi nelle aule di giustizia.

Immaginate un condominio anzi, per restare in argomento, un centro commerciale. Ogni azienda ha il proprio spazio, la propria clientela, il proprio giro d’affari, insomma, totalmente autonomo da quello degli altri operatori.

Immaginate ora che uno qualsiasi di questi imprenditori – o, meglio – uno dei suoi clienti sia sospettato di avere commesso un reato… cosa succede? Si chiama la polizia, questa si reca sul luogo del delitto, raccoglie le informazioni, sequestra ciò che può essere di una qualche utilità al magistrato… routine, insomma.

Trasferiamo il tutto in uno scenario di e-commerce (o di qualsiasi altra attività che si può svolgere in Rete): il centro commerciale è un server, i singoli esercizi sono i domain associati agli IP di quella rete e i clienti sono utenti di Internet.

Le cose diventano tragicamente più semplici: gli inquirenti arrivano e portano via tutto; se ne riparla, se tutto va bene, nel giro di un paio di mesi… forse.

Anche senza essere un principe del foro o un docente universitario viene spontaneo domandarsi – applicando del puro buon senso – per quale motivo se l’oggetto delle indagini è ciò che viene ospitato da un certo dominio si devano sequestrare non solo anche i contenuti degli altri, ma addirittura l’intero centro commerciale (cioè il server).

Il risultato pratico è che gli ignari e (soprattutto) innocenti coinquilini si vedono trattati esattamente alla stesso identico modo riservato al presunto criminale. Se questa cosa accadesse in un edificio costruito in cemento il rumore generato da un abuso così clamoroso farebbe tremare le fondamenta dei palazzi, invece trattandosi di Rete…

La cosa tragica è che si sta formando un orientamento dei giudici che legittima questa prassi contro la quale – se dovesse ricevere ulteriori conferme – ci sarebbe poco o nulla da fare.

Di regola non amo le iperboli o i toni particolarmente foschi, ma in questo caso il tenore di questo articolo non sembri esagerato, perché basta soltanto pensare che in qualsiasi momento e per colpa di qualcun altro i propri investimenti di e-business potrebbero essere definitivamente buttati al vento per convincersi di quanto le preoccupazioni – che, ripeto, nascono dall’osservazione dei casi concreti – siano effettive.

Che fare… in realtà le soluzioni ci sono, basta solamente far capire a chi opera – ad esempio – che hardware e software sono due cose distinte e separate, che si possono fare le copie di back-up dei dischi e che le singole home-directory sono – lo dice la legge stessa – dei domicili distinti e separati.

Queste cose cominciano ad essere dette sempre più spesso in convegni e articoli giuridici, ma a quanto pare ci vuole ancora tempo prima che dalla teoria si scenda sul terreno concreto della pratica.

Per inciso, un problema analogo si è posto negli USA con il caso Steve Jackson Games v. United States, 816 F. Supp. 432 (W.D.Tex. 1993) – il sequestro di un sistema telematico – in cui la Corte statunitense ha condannato il Governo americano al pagamento di un risarcimento pari a $51.000 per i danni derivati al gestore di un sistema telematico la cui attività era stata gravemente lesa dalla negligenza e dall’imperizia degli agenti intervenuti.

Dovremo arrivare a questo anche in Italia?

Possibly Related Posts: