ICTLaw/ In Italia non può esistere un hacker "buono"

di Luca Maria de Grazia
avvocato

Torno su un vecchio discorso... visto che recentemente mi è stato di nuovo chiesto se si possa parlare di "hacking etico" :-)

Spesso si legge che qualche presunto “hacker etico” si intrufoli da qualche parte… Ma il suo scopo è nobile: dimostrare quanto siano vulnerabili i meccanismi di sicurezza che dovrebbero proteggere la ‘rete delle reti’, lanciando una campagna volta ad alzare gli standard di sicurezza.
‘Non sono un criminale’,  spesso spiegano queste persone, che si autodefinisce  ’hacker dotati di etica’, chiedono di segnalare i siti Internet dove le barriere di sicurezza non sono particolarmente efficienti.

Questa volta vorrei brevemente parlarvi della differenza tra “hacker” e “cracker” per il diritto italiano; tra l’altro in questo modo si potrebbe anche introdurre il tema della sicurezza sul web che, effettivamente, se sottovalutato potrebbe portare a delle conseguenze abbastanza perniciose.

Se si esamina la notizia sopra riportata, direi che possa apparire chiaramente una sorta di “simpatia” per l’azione perpetrata da questi soggetti; spesso anche l’attribuzione di nomi tipo  ”Zorro” tendono sicuramente ad evocare la lotta dei “buoni” conro i “cattivi”.

La letteratura in materia aveva appunto distinto la categoria degli “hacker” da quella dei “cracker”, laddove i primi erano degli sperimentatori che agivano con fine non criminale, mentre invece solo i secondi avrebbero agito per scopi fraudolenti.

Invece, per il diritto italiano, quanto meno dal 1993, l’intrusione in un qualsiasi sistema informatico costituisce un reato, a qualunque scopo venga effettuata, con la sola esclusione del consenso del titolare del sistema stesso.

La legge n. 547/1993 ha infatti introdotto nel nostro sistema penale delle specifiche ipotesi di reato, tra le quali l’intrusione in un sistema informatico altrui, la distruzione di dati, l’intercettazione di trasmissioni, nonché molte altre.
Occorre infatti spiegare che nel diritto italiano non è possibile punire un comportamento con sanzione penale se tale comportamento non è specificatamente previsto dalla legge come reato.

Il problema della sicurezza dei dati in quanto tali è stato poi ribadito da tutta la normativa in materia di “privacy” [che tale non è, in quanto è normativa sul trattamento dei dati]  la quale stabilisce espressamente che costituisce reato il non prevedere misure di sicurezza minime a proteggere i dati (mentre per la mancanza di misure idonee, ricordo, si risponde civilmente ex art.2050 c.c.).
Intendiamoci, non è che io sia favorevole alla tendenza in atto da tempo di introdurre nel nostro sistema sempre nuove norme penali, che in genere sortiscono proprio l’effetto opposto per la nota lentezza della giustizia, ma sicuramente almeno qualche “paletto” andava fissato.

La mancata conoscenza dei problemi sottesi a tale particolare aspetto del progresso tecnologico, come spesso purtroppo accade, potrebbe portare a delle conseguenze non proprio piacevoli, sia in quanto si potrebbero omettere degli illeciti senza averne la coscienza, sia in quanto effettivamente la mancata tutela delle informazioni in un mondo interconnesso potrebbe avere effetti devastanti.

Sono in effetti domande che sempre più spesso dovrebbero porsi i vari responsabili dei vari siti internet, siano essi tecnici ovvero organizzativi.
Per esempio, quale potrebbe essere la responsabilità del responsabile di un sito internet laddove si abbia una acquisizione illecita di e-mail, oppure di dati concernenti carte di credito?

E la responsabilità del provider ovvero del soggetto interessato potrebbe essere contrattualmente limitata oppure esiste sempre qualche ipotesi di responsabilità residua?

Per adesso mi fermo qui…