Si sente spesso parlare della figura dell’hacker, ma chi è e come viene inquadrato all’interno del nostro sistema giuridico e nel c.d. diritto informatico? Andiamo a vedere cosa sono queste figure, come agiscono e come sono inquadrate dal sistema giuridico italiano.
L’hacker ha una passione per la programmazione, esplora nel dettaglio i sistemi informatici. Gli hackers veri e propri non agiscono con l’intenzione di compiere reati informatici, né normalmente li compiono; vanno distinti dai crackers, coloro che agiscono allo scopo di violare sistemi informatici, per acquisire informazioni riservate o per puro vandalismo.
Essi non agiscono guidati dalla c.d. etica hacker, i cui caratteri fondamentali sono: la convinzione che la condivisione della conoscenza sia una bene essenziale e che la condivisione della propria esperienza, programmando codice liberamente modificabile e facilitando l’accesso alle relative informazioni, costituisca un vero e proprio obbligo morale.
Se gli atti di hacking in senso stretto, potendo consistere, ad esempio, nello studio del codice sorgente di un determinato software, talvolta illecito o considerato tale quando in realtà non lo è, o nell’aggiramento di determinati sistemi di protezione del software per effettuarne una copia di riserva (ossia a fini di backup), non danno comunque vita a nessun allarme sociale, altrettanto non può dirsi per gli atti di cracking, come l’accesso abusivo ad un sistema informatico.
In alcuni casi, tuttavia, anche il comportamento dei cracker potrebbe essere lecito se le condotte potenzialmente criminose siano poste in essere contro soggetti che a loro volta hanno realizzato e continuano a realizzare veri e propri reati anche con la complicità statuale, nonostante oggetto della lesione siano addirittura alcuni diritti fondamentali dell’uomo, la cui necessità di tutela potrebbe elidere l’antigiuridicità del fatto commesso dai primi.
Con la legge n. 547 del 1993 il legislatore non ha inteso disciplinare in modo sistematico l’intera materia del crimine informatico, il diritto informatico in senso stretto non esiste, si è limitato a colmare alcune lacune dell’ordinamento che, stante l’impossibilità di ricorrere all’analogia, non consentivano di sanzionare penalmente con le fattispecie delittuose presenti nel codice penale comportamenti lesivi commessi attraverso l’utilizzo del personal computer e della rete informatica ovvero ai danni di sistemi informatici.
Ne consegue che le disposizioni già contenute nel codice penale prima dell’entrata in vigore della legge n. 547 del 1993 continuano ad applicarsi ai fatti da esse previsti, anche laddove i reati siano commessi mediante l’utilizzo di strumenti o sistemi informatici” (Cass. n. 20804/2019).
In tema di reati informatici, segnaliamo il provvedimento con cui il Giudice per le Indagini Preliminari del Tribunale di Catania ha disposto l’archiviazione in un procedimento per diffamazione (art. 595 c.p.) e accesso abusivo a sistema informatico (art. 615-ter c.p.) rifacendosi – al fine di dimostrare l’infondatezza della notizia di reato – al concetto di «divulgazione responsabile» e di cd. «hacking etico» (espressione con la quale ci si riferisce all’attività di chi, godendo di notevoli competenze tecniche, compia o simuli attacchi informatici al fine di portare il titolare del sistema informatico a conoscenza dell’esistenza di un problema nella sicurezza).
Pronunciandosi sul comportamento dell’indagato che, dopo aver scoperto una vulnerabilità contenuta in una applicazione, la aveva prima segnalata allo stesso produttore (che, nello stesso giorno, aveva subito un attacco informatico) e poi divulgata a tutela dei consumatori, il Giudice ha osservato come, considerata la crescente rilevanza che ha assunto nella gestione dell’attività d’impresa la sicurezza dei relativi sistemi informatici, costituisca ormai «prassi consolidata l’invito rivolto dai titolari delle aziende a comunicare loro la presenza di bug (errori di sistema) all’interno del loro apparato da parte di chi ne abbia conoscenza».
Nel caso de quo – si legge nel provvedimento di archiviazione – «l’indagato ha inviato una serie di missive allo staff della società e, solo a seguito dell’inerzia della medesima di voler correggere la vulnerabilità del sistema, si è deciso a render noto, a tutela dei consumatori, la presenza di un simile errore a distanza di un mese dalla sua segnalazione»; ciò comporta che la condotta dell’indagato «non integra il delitto di cui all’art. 615-ter c.p., inquadrandosi la stessa nella metodologia comune della “divulgazione responsabile”, avendo il medesimo contattato prima l’azienda coinvolta proprio per consentirle di emendare l’errore entro un lasso di tempo, che può variare da trenta giorni a un anno, a seconda della gravità e della
complessità della vulnerabilità».
Uno sguardo sulla Sardegna e i Crimini informatici:
Fonti: Diritto dell’Informatica – Studio Cataldi – Ziccardi – La Legge per Tutti – Giurisprudenza Penale.