“Attaccare o fuggire fanno parte dello scontro. Quello che non appartiene
alla lotta è restare paralizzati dalla paura.”
Paulo Coelho
La Dott.ssa Rizza, GIP del Tribunale di Catania, ha recentemente disposto l’archiviazione di un procedimento penale a carico di tale “I.G.”, denunciato per “hackeraggio” dei sistemi informatici dell’azienda “L. s.r.l.“.
La motivazione dell’archiviazione, banale quanto dirompente, è
che la condotta dello I. G. non integra pertanto, sulla scorta di quanto chiarito, il delitto di cui all’art. 615-ter c.p., inquadrandosi la stessa nella metodologia comune della “divulgazione responsabile”, avendo peraltro l’indagato medesimo contattato prima l’azienda coinvolta proprio per consentirle di emendare l’errore entro un lasso di tempo, che può variare da trenta giorni a un anno, a seconda della gravità e della complessità della vulnerabilità;
Decreto di archiviazione, Tribunale di Catania
La parola chiave è “divulgazione responsabile“, un termine che in Italia non siamo (ancora) abituati a vedere, in particolare su sentenze e atti pubblici.
In sostanza, la “divulgazione responsabile” –per gli anglofoni, “responsible disclosure“- funziona così: scopro un bug nel tuo software/sito web/prodotto. Ti avverto. Dopo (tipicamente) 90 giorni, diffondo pubblicamente la vulnerabilità individuata.
Questo workflow è fondamentale sia per le aziende, che possono così beneficiare di migliaia di testers, più o meno gratuitamente, che per gli utenti: le prime hanno modo di migliorare il loro prodotto, i secondi ottengono prodotti qualitativamente migliori e più sicuri.
Posso dire, con la ragionevole certezza di non essere smentito, che il mondo dell’ICT progredisce anche e soprattutto per merito di questa consuetudine. E se oggi possiamo beneficiare, tutti noi, di prodotti piuttosto sicuri è anche grazie a chi, per curiosità, per lavoro e per profitto, ha perso del tempo a studiarne il funzionamento e cercarne i difetti.
Una pratica che, seppur assolutamente positiva, ha ovviamente anche delle ripercussioni negative: a nessuno piace sentirsi dire che il suo prodotto è fatto male, sopratutto per quelle aziende che rischiano anche sul piano d’immagine e, quindi, economico. O anche, semplicemente, per chi non capisce il valore di una segnalazione responsabile.
Per questo, un po’ come avvenuto anche al white hat Evariste Gal0is, al secolo Luigi Gubello, sulla responsible disclosure avvenuta per la Piattaforma Rousseau del MoVimento 5 Stelle, gli hacker (buoni) nostrani hanno sempre rischiato querele.
Questo decreto di archiviazione arriva nello scenario italiano come una ventata di aria fresca: finalmente anche i tribunali e i giudici italiani riconoscono che la divulgazione responsabile è uno strumento a tutela degli utenti e, quindi, della collettività. Rispedendo al mittente la querela per “Accesso abusivo ad un sistema informatico o telematico“, il famigerato art. 615ter del codice di procedura penale.
Peraltro la pratica del responsible disclosure è già una consuetudine affermata in molti Paesi e per molte aziende che, come ad esempio Facebook nel suo programma di “bug bounty“, offrono premi anche in denaro a chi collabora alla correzione di problemi o falle di sicurezza nei loro prodotti.
Sembra quindi che anche in Italia si stia per aprire una nuova stagione per i white hat nostrani, gli hacker etici, che per studio, lavoro o semplice curiosità, si divertono a scoprire le magagne dei sistemi e degli applicativi informatici senza alcuna intenzione di volerli danneggiare o rubare i dati, ma solo per migliorarne la sicurezza.
Di questa inaspettata –ma ampiamente desiderata- innovazione, il nostro Paese ne aveva davvero un gran bisogno. Speriamo che anche il legislatore, dopo il tentativo fallito del Team di Trasformazione Digitale guidato da Diego Piacentini nel 2016, se ne accorga.
P.S. Per chiarire, gli “hacker etici” (o “white hat“) non compiono atti di sabotaggio, danni o furto di dati. Si comportano in modo corretto, evidenziando le vulnerabilità al gestore della piattaforma e attendendo un congruo lasso di tempo prima della divulgazione, se opportuna, della stessa. Parafrasando con il Mondo offline, si comporta analogamente al “vicino di casa che ti telefona avvertendoti che hai lasciato la finestra di cucina aperta“.