La violazione di un sistema informatico altrui, così come il captare password o aggirare altre misure di sicurezza, è un fatto punito come reato. Non importa che l’autore della violazione lo stia facendo per gioco o per scherzo, poiché questo elemento è solitamente irrilevante per la legge. Soltanto in alcuni casi eccezionali queste azioni potrebbero non essere punite, ad esempio se fatte a scopo didattico, dimostrativo o per migliorare la sicurezza di un certo sistema. È fenomeno in crescita l’impiego di tecniche di white hat hacking volte al miglioramento della sicurezza delle infrastrutture, alla segnalazione responsabile di vulnerabilità, bug e zero-day.

Quali reati entrano in gioco

Compie un reato ad esempio chi:

In questi casi, non importa la persona nel cui sistema (PC, smartphone, casella email, cloud etc.) ci si introduce. Non importa cioè che la persona sia, per esempio, un fidanzato, un fratello, un collega: la semplice circostanza che questa persona non consenta l’accesso lo rende abusivo e penalmente rilevante.

Questo comportamento costituisce reato anche se è realizzato per scherzo o per gioco. Aver agito per scherzo resta solo un movente: resta cioè ininfluente ai fini della punibilità (Cass. Pen, sez. V, 28/05/2018, n. 40488).

Quando la violazione di un sistema informatico può non essere reato: white hat all’opera

In un caso la giurisprudenza ha considerato giustificato il comportamento di chi pur essendosi introdotto in un sistema informatico, senza volerne trarre vantaggio né con fini fraudolenti, ha segnalato le vulnerabilità riscontrate allo staff aziendale, nell’ambito di un progetto relativo ad un’app per smartphone. Successivamente, di fronte all’inerzia dell’imprenditore nel porvi rimedio, ha reso note al pubblico tali vulnerabilità, a tutela di consumatori e utenti.

Il giudice (GIP Trib. Catania, 15 luglio 2019) ha evidenziato che l’imprenditore può invitare chi ne abbia conoscenza a segnalare eventuali bug di sistema all’interno delle infrastrutture aziendali. In tale ambito va inserita la “divulgazione responsabile” (responsible disclosure), tipica dei white hat hacker o ethical hacker, i quali vanno a caccia di vulnerabilità e spesso diffondono per primi le patch per risolverle.

Dalla disobbedienza civile dell’hactivism…

Se gli hacker “dal cappello bianco” agiscono spesso per aumentare indirettamente la sicurezza delle infrastrutture tecnologiche, il fenomeno dell’hacktivism coniuga l’utilizzo della conoscenza informatica con movimenti di protesta e campagne per scopi politici, economici o sociali ritenuti nobili.

In alcuni casi le loro azioni sono qualificate come illegali: così è per il cybersquatting (l’appropriazione del nome di dominio di un certo marchio, per fini di protesta in questo caso), o per l’introduzione illecita di testi critici o sarcastici in certi siti commerciali o istituzionali (defacement).

L’hactivism professa la trasparenza e la libertà d’informazione, la condivisione della conoscenza e delle informazioni riservate, sebbene le concrete operazioni di “disobbedienza civile” siano state e siano spesso ai limiti della legalità o reato.

…alla pianificazione dei penetration test

Dal punto di vista della strategia aziendale sono sempre più frequenti, specie nell’ambito dei big player, i programmi di bug bounty, ossia di elargizione di una ricompensa al soggetto che individua un bug in un certo sistema (una somma di denaro, un riconoscimento prestigioso, dei gadget, a seconda dell’entità della vulnerabilità stanata).

Diverso è il caso di professionisti che sono incaricati specificamente dall’azienda al fine di effettuare test di resistenza del sistema da eventuali attacchi informatici (ad es. penetration test, o pentest). In questo caso la liceità della condotta si basa sul contratto tra tecnico e azienda.

Vandalismo informatico

Restano al contrario reato le azioni riconducibili al vandalismo informatico, che consistono nel danneggiamento di sistemi o programmi informatici.

I principali attori in questo settore sono, oltre a sviluppatori e ricercatori incaricati nel mercato nero di azioni illecite, anche studenti zelanti/sviluppatori improvvisati, che trovano in internet vari tool per la realizzazione di virus rudimentali in grado comunque di danneggiare un sistema.

I reati riconducibili al cyber vandalism in Italia sono il danneggiamento informatico e il danneggiamento di informazioni, dati e programmi informatici. Essi consistono nel:

  • distruggere, deteriorare, cancellare, alterare, sopprimere informazioni, dati o programmi informatici altrui (art. 635 bis c.p.);
  • impedire che il sistema funzioni o perché il medesimo è reso inservibile o perché se ne ostacola gravemente il funzionamento (art. 635 quater c.p.);
  • è prevista una norma autonoma se il sistema informatico è di una pubblica amministrazione o di un ente di pubblica utilità (art. 635 ter c.p.).

Hacker per gioco

Concludiamo con una nota frivola. Sono disponibili in rete – non necessariamente nel dark web o nel deep web – dei programmi che consentono di simulare (e solo simulare!) l’azione di un hacker. Semplicemente digitando sulla tastiera il monitor riproduce delle stringhe di codici, così come abbiamo visto – e sognato di – fare nelle cyber spy story.

Grazie a questi simulatori possiamo tentare la violazione anche del più sofisticato sistema informatico senza timore di commettere un reato.