Paolo De Andreis

Processo Fineco, assolti i due del penetration test

I tecnici condannati in primo grado per cracking nei giorni scorsi sono stati assolti. Tra le ragioni l'assenza di alcune prove decisive

Milano - Si è concluso con l'assoluzione il processo di appello voluto da due tecnici italiani imputati per un attacco informatico che si è registrato nel 2001 contro alcuni sistemi di Fineco, una vicenda di cracking per la quale i due erano stati condannati ad alcuni mesi di reclusione in primo grado. L'assoluzione è freschissima e le motivazioni non sono ancora state pubblicate, ma qualcosa si può dedurre dal ricorso presentato dai due e accolto dai giudici d'appello. Si tratta di un caso molto rilevante sotto il profilo procedurale perché pone al centro anche la questione dei diritti alla difesa nei processi per reati informatici, questione più volte emersa anche nella cronaca recente.

Il processo, uno dei primi in Italia ad affrontare questo genere di violazione nei confronti di una banca, riguardava la registrazione di un attacco informatico tra il 7 e il 9 febbraio 2001, una incursione che si sarebbe verificata attraverso l'utilizzo di sistemi ponte di altre società dai quali, secondo l'accusa, i due avrebbero tentato l'accesso alla rete informatica di Fineco.

La condanna in primo grado dei due informatici italiani, all'epoca entrambi tecnici di Sun Microsystems, era fondata sul fatto che facevano parte del team di Sun incaricato da Fineco di collaudare la sicurezza dei sistemi bancari: una posizione privilegiata, questa la tesi dell'accusa, che avrebbero poi cercato di sfruttare. I due si sono difesi sostenendo che i tentativi di intrusione registrati altro non erano che l'esecuzione del contratto di testing stretto tra le due aziende e che null'altro se non quel tipo di testing era a loro ascrivibile. La ricostruzione degli avvenimenti è stata eseguita sulla base delle dichiarazioni del responsabile Fineco che, dinanzi a quelle che riteneva delle incongruenze molto gravi, aveva sporto denuncia.
A giocare a favore dei due appellanti nel ricorso accolto dalla Seconda sezione penale della Corte d'Appello di Milano è stata, con ogni probabilità, la sostanziale assenza di prove certe di quanto avvenuto. La condanna in primo grado si basava principalmente sulle ricostruzioni dei responsabili Fineco ma in appello la difesa ha fatto notare che non erano mai stati acquisiti fisicamente i log e i dischi dei server che si ritiene siano stati violati. La macchina che sarebbe stata "bucata", dunque, mancava come "corpo del reato".

Non solo: in primo grado erano mancate, a detta della difesa, anche analisi di computer forensics terze rispetto a quelle dell'accusa.

Come accennato, è comunque necessario attendere le motivazioni della sentenza per comprendere su quali basi i magistrati d'appello abbiano voluto decidere. L'interesse di tutti è naturalmente focalizzato sull'importanza che è stata data all'assenza di prove informatiche certe: le procedure di computer forensics adeguate e di garanzia per la difesa rimangono uno dei maggiori problemi nella lotta contro i crimini informatici condotta ogni giorno dalle forze dell'ordine.

Paolo De Andreis
28 Commenti alla Notizia Processo Fineco, assolti i due del penetration test
Ordina
  • una medaglia, anzi, un carretto di medaglie se hanno ucciso una banca! per chi non lo sapesse, in questi chiari di luna sono solo le banche (in Italia) che guadagnano... vedi i mutui, i prestiti, le ipergaranzie (con la scusa di Basilea 2)...
    La minaccia reale: o rispetti i tuoi clienti (forzati, prova te a pagare le tasse se non passi per banca con F23 o F24...Indiavolato) o ti uccido! mitico.
  • Quindi:
    - hanno agito in esecuzione del contratto e sono stati denunciati
    - d'altronde se non avessero fatto i test, si sarebbero resi colpevoli di violazione di contratto e a fronte di un attacco reale gli avrebbero pure potuto richiedere i danni

    E' proprio una storia demenziale che denota l'inadeguatezza del sistema giudiziario italiano, che quando si trova davanti a problematiche "tecniche" perde ogni straccio di buonsenso.

    Non resta che vergognarsi per coloro che permettono il verificarsi di queste vicende allucinanti.
    non+autenticato
  • mhà.. dato che non avremo mai quel contratto in mano sarà difficile sapere quali erano gli accordi ma in ogni contratto ci sono dei vincoli e delle direttive che vanno rispettati.

    se i due avessero rispettato il contratto nessuno avrebbe potuto fare nessuna denuncia.. evidentemente qualcosa di "diverso" l'hanno fatto ^^

    per esempio potrebbero aver provato a bucare dei server che non erano da testare.. è un esempio banalissimo che però farebbe scattare la denuncia sicuramente.

    faccio un esempio pratico.. se ho un sito cosidetto "in produzione" e devo garantire dei servizi molto importanti normalmente non farò fare i test su quello ma su uno replicato proprio per non dare disservizi.. al limite se si volesse fare bisogna farlo in giorni prestabiliti in cui si avviseranno gli utenti dei possibili disservizi stessi(rari casi ma è successo)

    anche mancare a questi accordi fa scattare sicuramente una denuncia ^^
    non+autenticato
  • Bhè...probabilmente i tecnici sono stati leggermente avventati.

    Insomma...si tratta di una Banca che opera solamente Online...ciò significa che se non è una banca tecnicamente sicura è una banca finita.

    Se ti dicono "testa quanto sono sicuro, ma aspetta che finisco di blindarmi" e te cominci a "lavorare" senza attendere un loro "ok" dopodichè rendi noto che Fineco come banca online non è sicura bhè...anche fosse vero...hai ucciso una banca.

    Magari è andata così...magari no.
    non+autenticato
  • io lavoro per la Sun, il compito assegnatomi è quella di testare la sicurezza di Fineco, lo faccio e vengo accusato di violazione di sistema informatico?

    poi i log di fineco che c'entrano?
    qualsiasi logfile può essere modificato in qualsiasi momento, anche con notepad.

    chi garantisce che chi accusa non abbia taroccato i suoi log?
    non+autenticato
  • Nessuno, e questo succede anche nella giustizia "normale", cioè al di fuori dei reati informatici.
    C'est l'Italie... dall'altra lato, per fortuna che :
    1) che non si va in galera a meno di non aver sgozzato la famiglia (anche se poi si riesce..)
    2) che va tutto in prescrizione perchè per fare i processi ci mettiano 50 anni
    3) ogni tanto fanno l'indulto (questo reato x es. sarebbe rientrato nell'indulto, quindi anche in caso di condanna sarebbe stato un nulla di fatto e soldi buttati).
    non+autenticato
  • si. purtroppo indulti e prescrizioni riguardano pure coloro che fanno sparire milionate di euri ai risparmiatori, i contribuenti ecc.
    non+autenticato
  • Eh lo so !
    Ma, visto che il sistema non pare migliorabile, anzi va sempre peggio, quanto meno...ci garantisce se qualche idiota una mattina ci denuncia per cosa assurde ed inesistenti, come questa.. magra, magrissima consolazione, che famo, la rivoluzione ?
    La vedo dura...
    non+autenticato
  • Non è tanto il fatto di "non andare in cella", ma il fatto che avrò la fedina penale sporca, o avrò perso tempo prezioso per difendermi, avrò speso soldi, sarò stato diffamato ...
    Tutto per l'ignoranza (o mala fede) di alcuni....
    non+autenticato
  • beh i log iniziano ad essere importanti se li si gestisce in modo da averli tali e quali quando il sistema li ha creati!
    non+autenticato
  • complimenti ai due cosidetti tecnici sun che con la loro cosidetta posizione privilegiata avrebbero potuto fare qualunque cosa (ad essere anche un po pazienti...) ed si sono fatti beccare.

    complimenti alla fineco per essere stata tanto miope da non portare il corpo del reato in causa.

    ed complimenti a tutti gli spacciatori di "security" oggi presenti in Italia. (non mi riferisco alla gente seria alla quale va la mia stima per un lavoro difficile da far capire nel nostro paese ed apprezzare).

    Adesso vado ad aprirmi un conto su fineco perchè... mi da "sicurezza"
    non+autenticato
  • cioe' questi erano stati condannati in primo grado basandosi solo su una generica accusa senza uno straccio di prova?
    non+autenticato
  • - Scritto da: gnjghjghn
    > cioe' questi erano stati condannati in primo
    > grado basandosi solo su una generica accusa senza
    > uno straccio di
    > prova?

    Dovevano provare a "bucare" fineco per contratto, ma il cliente non aveva ancora firmato, tutto qua. Essendo zelanti e vogliosi di provare le loro capacità, lo bucarono prima che i tipi firmassero (c'era stato un "go" ufficioso ma non ufficiale) ed i tipi, che evidentemente pensavano di essere molto più protetti di quanto fossero in realtà, ci rimasero malino.
    La cosa triste, è che il management non li ha protetti. Ovviamente sono felice per loro, sono due ottimi tecnici e non meritavano assolutamente una condanna personale per questa cazzata: aver fatto troppo bene il loro lavoro.
    non+autenticato
  • si ma, a prescindere da come si son svolti i fatti, la cosa incredibile e' che in sede processuale non e' stato presentato lo straccio d'una prova e nonostante questo gli inputati son stati condannati
    non+autenticato
  • Normale!
    Sarà sempre così finché i giudici deterranno un potere immenso senza risponderene mai a nessuno.
    non+autenticato
  • Si, ma i politici li controllano. Vedi De Magistris, ecc. ecc.
    non+autenticato
CONTINUA A LEGGERE I COMMENTI
Successiva
(pagina 1/2 - 6 discussioni)