Come ripetuto in molti articoli, l‘accesso abusivo ad un sistema informatico e telematico (ossia l’attività tipica di un soggetto che si introduce senza autorizzazione in un computer) è considerato illecito e sanzionabile in base a diversi fattori. In questo articolo cercherò di introdurre l’aspetto giuridico del campo, in modo da poter chiarire una volta per tutte cosa è considerato illegale nel nostro ordinamento.
N.B: Non sono avvocato, con questo articolo non voglio in nessun modo dare consigli giuridici. Tutto ciò che leggerete di seguito sarà solo una ricerca approfondita delle leggi in merito all’accesso abusivo di un computer, reti e più in generale di un penetration test.
Se avete un problema dal punto di vista giuridico non rivolgetevi a me, ma a un avvocato esperto in materia.
Se notate errori giuridici e/o di applicazione delle norme, vi prego di contattarmi, in modo da darmi la possibilità di modificare.
Secondi Lisi, Murano e Nuzzolo, gli attacchi informatici si differenziano in base al carattere:
Il nostro caso è solitamente il primo, ossia siamo singoli individui che cercano di sfidare se stessi per attaccare, magari in maniera inconsapevole, dispositivi, siti internet, applicazioni web.
Gli attacchi informatici, sempre secondo loro, possono essere divisi in diverse categorie, tra le quali:
Prima del 1993 la legislazione italiana non si era ancora uniformata e non esisteva ancora nessuna normativa sui reati informatici. Le uniche due disposizioni, con tutte le forzature del caso, erano l’articolo 12 L.121/1981 e l’articolo 420 del codice penale. Essendoci pur mossi con parecchio ritardo, nel dicembre 1993 vengono rimediate alcune delle principali lacune con la legge del 23 dicembre n° 547. Essa conserva tutt’oggi un ruolo fondamentale nell’applicazione della legge in merito ai crimini informatici.
La legge in questione interviene in quattro principali direzioni:
Con l’introduzione dell’articolo 615-ter della legge del 23 dicembre 1993, viene introdotto il reato di accesso abusivo ad un sistema informatico, che cito testualmente
Chiunque abusivamente si introduce in un sistema informatico o telematico protetto da misure di sicurezza ovvero vi si mantiene contro la volontà espressa o tacita di chi ha il diritto di escluderlo, è punito con la reclusione fino a tre anni.
La pena è estesa da una a cinque anni se:
Essendo stato rappresentato dal nostro legislatore come una particolare forma del reato di violazione di domicilio, il preciso ambito di tutela ha particolari caratteristiche:
Da questo articolo si evince che, in assenza di misure di sicurezza, l’introduzione in sistemi informatici non costituisce reato (caso chiave è la sentenza 4.4.2000).
Secondo la PS, affinché il colpevole possa essere punito è necessario che lo stesso abbia causato danni economici o che abbia danneggiato il sistema.
Gli Hacker, accedendo ad un sistema solo per sfidare le misure di sicurezza non sono quasi mai sanzionati penalmente. I Cracker che distruggono, carpiscono o danneggiano informazioni e dati vengono invece condannati. Occorre sottolineare che non c’è una netta distinzione tra hacker buono e cracker cattivo, poiché entrambi sono colpevoli di un reato.
L’articolo 615-quinquies del codice penale recita Chiunque diffonde, comunica o consegna un programma informatico da lui stesso o da altri redatto, avente per scopo o per effetto il danneggiamento di un sistema informatico o telematico, dei dati o dei programmi in esso contenuti o ad esso pertinenti, ovvero l’interruzione, totale o parziale, o l’alterazione del suo funzionamento, è punito con la reclusione sino a due anni e con la multa sino a lire venti milioni"
Questa norma si riferisce ai programmi malevoli, infetti, che mirano a danneggiare o interrompere le funzioni di un sistema informatico, quindi Malware (che possono essere worm, virus, ransmoware, backdoor, spyware, etc.). Creare un Malware, diffonderlo e provocare anomalie di funzionamento che possono giungere all’interruzione o distruzione totale dei dati si rientra, a seconda dei casi, è sanzionato anche dall’articolo 635 bis, ter, quarter o quinquies.
Nell’articolo 635-bis rientrano anche le operazioni e attacchi di negazione del servizio (cosidetti Denial of Service).
Ovviamente se si è vittima di un Malware che si autreplica tra i nostri contatti e si invia autonomamente senza che ne siamo a conoscenza, si è rappresentati dall'articolo 42 del codice penale, che solleva la responsabilità di chi non ha commesso un reato con coscienza e volontà.
L’articolo in merito alle intercettazioni informatiche è il 617-quarter, che recita testualmente
Chiunque fraudolentemente intercetta comunicazioni relative ad un sistema informatico o telematico o intercorrenti tra più sistemi, ovvero le impedisce o le interrompe, è punito con la reclusione da sei mesi a quattro anni.
Questa norma mira ovviamente ad impedire l’intercettazione fraudolenta di comunicazioni informatiche. L'articolo 617-quinquies espande sia l’articolo precedente, sia può essere considerato a sé (come nella pronuncia dell’Ufficio Indagini preliminari Milano del 19 febbraio 2007).
La scansione delle porte di per sé, non costituisce un reato. Qualsiasi persona, per motivi più o meno personali, può decidere di effettuare una scansione delle porte e non sfruttare vulnerabilità per entrare nel sistema. Per fare un buon paragone, se un ladro volesse entrarci in casa, dovrebbe prima trovare quale porta è aperta e utilizzabile. Se la trova, ma non la apre, non la sfrutta per entrare nel nostro domicilio, non è un fatto illecito. Fonte.
Ho volutamente evitato di introdurre il reato di frode informatica, falsificazione, diffusione di codici abusiva e altri poiché non sono prettamente inerenti ad un hacking etico ma entriamo nella categoria di chi ha invece fini prettamente illeciti. Per scrivere questo articolo ho utilizzato parecchie fonti che, oltre a quelle già linkate, sono:
Per chi fosse interessati agli aspetti giuridici e non di un Penetration Test, consiglio questa lettura.