(alcuni) Aspetti giuridici inerenti alla Sicurezza Informatica

Tempo di lettura: 9 minuti

Come ripetuto in molti articoli, l‘accesso abusivo ad un sistema informatico e telematico (ossia l’attività tipica di un soggetto che si introduce senza autorizzazione in un computer) è considerato illecito e sanzionabile in base a diversi fattori. In questo articolo cercherò di introdurre l’aspetto giuridico del campo, in modo da poter chiarire una volta per tutte cosa è considerato illegale nel nostro ordinamento.

N.B: Non sono avvocato, con questo articolo non voglio in nessun modo dare consigli giuridici. Tutto ciò che leggerete di seguito sarà solo una ricerca approfondita delle leggi in merito all’accesso abusivo di un computer, reti e più in generale di un penetration test.

Se avete un problema dal punto di vista giuridico non rivolgetevi a me, ma a un avvocato esperto in materia.

Se notate errori giuridici e/o di applicazione delle norme, vi prego di contattarmi, in modo da darmi la possibilità di modificare.

Introduzione

Secondi Lisi, Murano e Nuzzolo, gli attacchi informatici si differenziano in base al carattere:

  • Individuale: cioè attacchi compiuti da un singolo soggetto, ad esempio l’hacker che per sfida o per guadagno buca un sistema informatico;
  • Organizzato: attacchi compiuti da un gruppo di persone che compiono atti dolosi contro un sistema informatico.

Il nostro caso è solitamente il primo, ossia siamo singoli individui che cercano di sfidare se stessi per attaccare, magari in maniera inconsapevole, dispositivi, siti internet, applicazioni web.

Gli attacchi informatici, sempre secondo loro, possono essere divisi in diverse categorie, tra le quali:

  1. Intercettazione delle comunicazioni (sniffing): consiste nell’acquisire in modo diretto o indiretto il traffico passante per le comunicazioni internet (ad esempio utilizzando Wireshark);
  2. Accesso non autorizzato a computer: consiste nell’introdursi in un dispositivo vittima senza che il proprietario ne sia a conoscenza. L’introduzione può avvenire in diversi modi, come bruteforce, sfruttando vulnerabilità, ingegneria sociale, etc;
  3. Caduta della rete: consiste nel cercare di rendere il sistema inutilizzabile, con attacchi _rivolti al server dei nomi di dominio, Denial of Service, Flooding, _etc;
  4. Usurpazione di identità (spoofing).

Prima del 1993 la legislazione italiana non si era ancora uniformata e non esisteva ancora nessuna normativa sui reati informatici. Le uniche due disposizioni, con tutte le forzature del caso, erano l’articolo 12 L.121/1981 e l’articolo 420 del codice penale. Essendoci pur mossi con parecchio ritardo, nel dicembre 1993 vengono rimediate alcune delle principali lacune con la legge del 23 dicembre n° 547. Essa conserva tutt’oggi un ruolo fondamentale nell’applicazione della legge in merito ai crimini informatici.

La legge in questione interviene in quattro principali direzioni:

  1. attacchi alla riservatezza dei dati e alle comunicazioni informatiche;
  2. attacchi all’integrità dei dati e ai sistemi informatici;
  3. falsificazioni di documenti informatici;
  4. frodi informatiche.

Accesso abusivo ad un sistema informatico

Con l’introduzione dell’articolo 615-ter della legge del 23 dicembre 1993, viene introdotto il reato di accesso abusivo ad un sistema informatico, che cito testualmente

Chiunque abusivamente si introduce in un sistema informatico o telematico protetto da misure di sicurezza ovvero vi si mantiene contro la volontà espressa o tacita di chi ha il diritto di escluderlo, è punito con la reclusione fino a tre anni.

La pena è estesa da una a cinque anni se:

  • il fatto è commesso da un pubblico ufficiale et similia con abuso dei poteri;
  • il colpevole è palesamente armato;
  • deriva la distruzione, il danneggiamento o l’interruzione anche parziale del sistema.

Essendo stato rappresentato dal nostro legislatore come una particolare forma del reato di violazione di domicilio, il preciso ambito di tutela ha particolari caratteristiche:

  • la sanzione è applicata in modo indipendente dal mezzo utilizzato per l’accesso abusivo (tramite il nostro dispositivo o direttamente sul dispositivo vittima);
  • la tutela penale è riservata solamente ai sistemi provvisti di dispositivi di sicurezza;
  • è incluso anche il caso in cui si ha accesso legittimo al sistema, ma si accede ad una sola sua parte  in cui non si ha il permesso (ad esempio con un sorpasso delle autorizzazioni).

Da questo articolo si evince che, in assenza di misure di sicurezza, l’introduzione in sistemi informatici non costituisce reato (caso chiave è la sentenza 4.4.2000).

Secondo la PS, affinché il colpevole possa essere punito è necessario che lo stesso abbia causato danni economici o che abbia danneggiato il sistema.

Gli Hacker, accedendo ad un sistema solo per sfidare le misure di sicurezza non sono quasi mai sanzionati penalmente. I Cracker che distruggono, carpiscono o danneggiano informazioni e dati vengono invece condannati. Occorre sottolineare che non c’è una netta distinzione tra hacker buono e cracker cattivo, poiché entrambi sono colpevoli di un reato.

Diffusione di programmi malevoli

L’articolo 615-quinquies del codice penale recita Chiunque diffonde, comunica o consegna un programma informatico da lui stesso o da altri redatto, avente per scopo o per effetto il danneggiamento di un sistema informatico o telematico, dei dati o dei programmi in esso contenuti o ad esso pertinenti, ovvero l’interruzione, totale o parziale, o l’alterazione del suo funzionamento, è punito con la reclusione sino a due anni e con la multa sino a lire venti milioni"

Questa norma si riferisce ai programmi malevoli, infetti, che mirano a danneggiare o interrompere le funzioni di un sistema informatico, quindi Malware (che possono essere worm, virus, ransmoware, backdoor, spyware, etc.). Creare un Malware, diffonderlo e provocare anomalie di funzionamento che possono giungere all’interruzione o distruzione totale dei dati si rientra, a seconda dei casi, è sanzionato anche dall’articolo 635 bis, ter, quarter o quinquies.

Nell’articolo 635-bis rientrano anche le operazioni e attacchi di negazione del servizio (cosidetti Denial of Service).

Ovviamente se si è vittima di un Malware che si autreplica tra i nostri contatti e si invia autonomamente senza che ne siamo a conoscenza, si è rappresentati dall'articolo 42 del codice penale, che solleva la responsabilità di chi non ha commesso un reato con coscienza e volontà.

Intercettazioni di comunicazioni informatiche

L’articolo in merito alle intercettazioni informatiche è il 617-quarter, che recita testualmente

Chiunque fraudolentemente intercetta comunicazioni relative ad un sistema informatico o telematico o intercorrenti tra più sistemi, ovvero le impedisce o le interrompe, è punito con la reclusione da sei mesi a quattro anni.

Questa norma mira ovviamente ad impedire l’intercettazione fraudolenta di comunicazioni informatiche. L'articolo 617-quinquies espande sia l’articolo precedente, sia può essere considerato a sé (come nella pronuncia dell’Ufficio Indagini preliminari Milano del 19 febbraio 2007).

Port scanning

La scansione delle porte di per sé, non costituisce un reato. Qualsiasi persona, per motivi più o meno personali, può decidere di effettuare una scansione delle porte e non sfruttare vulnerabilità per entrare nel sistema. Per fare un buon paragone, se un ladro volesse entrarci in casa, dovrebbe prima trovare quale porta è aperta e utilizzabile. Se la trova, ma non la apre, non la sfrutta per entrare nel nostro domicilio, non è un fatto illecito. Fonte.

Approfondimenti e conclusioni

Ho volutamente evitato di introdurre il reato di frode informatica, falsificazione, diffusione di codici abusiva e altri poiché non sono prettamente inerenti ad un hacking etico ma entriamo nella categoria di chi ha invece fini prettamente illeciti. Per scrivere questo articolo ho utilizzato parecchie fonti che, oltre a quelle già linkate, sono:

Per chi fosse interessati agli aspetti giuridici e non di un Penetration Test, consiglio questa lettura.