Sed Lex/ Se il Worm è accesso abusivo

di Daniele Minotti - Di interesse la sentenza sul primo caso italiano legato alla diffusione di un worm, il celeberrimo Vierika. Un worm auto-replicante può portare all'accesso abusivo ad un sistema informatico

Roma - La diffusione di un worm costituisce accesso abusivo a sistema informatico o telematico.
È questa, in estrema sintesi, una della più rilevanti conclusioni tratte dalla Corte di Appello di Bologna in una sentenza recentemente depositata.

Molti ricorderanno il caso Vierika, così noto dal nome del primo malware italiano finito sotto processo in Italia.
Siamo nell'estate del 2005 e il Tribunale di Bologna condanna un giovane informatico per aver diffuso, nel 2001, un malware (worm). Sono contestati i reati di cui agli artt. 615-ter c.p. (accesso abusivo a sistema informatico o telematico) e 615-quinques c.p. (diffusione di programmi diretti a danneggiare o interrompere un sistema informatico).
La discussione in primo grado si articola soprattutto sulle modalità investigative aspramente criticate dalla difesa. Il giudice si sofferma sul punto ma, di fatto, rigetta ogni eccezione concludendo - consacrando pienamente il principio del libero convincimento - per la perfetta regolarità dell'operato degli investigatori.

Esula da questo articolo una puntuale analisi di questi aspetti. Da un lato perché non è possibile dare un giudizio senza conoscere l'integralità degli atti di causa, dall'altro perché con la ratifica della Convenzione di Budapest sui cibercrimini le regole sono un po' cambiate (almeno nominalmente, in verità senza apprezzabili sanzioni processuali come, ad esempio, l'inutilizzabilità). Ritengo più interessante, e fattibile, occuparmi dell'asserito accesso abusivo a sistema informatico o telematico analizzando entrambe le sentenze perché, a parte le questioni appena viste, mi sembra il punto più debole della condanna.
Premesso che la norma punisce "chiunque abusivamente si introduce in un sistema informatico o telematico protetto da misure di sicurezza ovvero vi si mantiene contro la volontà espressa o tacita di chi ha il diritto di escluderlo" e che, dunque, non va oltre un fatto di "introduzione", penso siano da mettere a fuoco due punti: cosa mira a proteggere il legislatore (e parliamo, in "legalese", di "bene protetto") e cosa si intende per accesso/introduzione di tipo informatico.

Come, probabilmente, molti sanno, il delitto di accesso abusivo è stato introdotto poco meno di quindici anni fa, con la l. 547/93 appunto dedicata ai reati informatici.
Espressamente, si è voluta estendere la tutela del domicilio "tradizionale" (ad esempio, un'abitazione) anche ad altri ambiti, nel caso concreto quello informatico, costituenti la sfera privata dell'individuo. Ciò in accordo all'art. 14 della Costituzione. Non a caso, l'art. 615-ter c.p. è sostanzialmente un clone, pur con qualche adeguamento, dell'art. 614 c.p. che punisce la violazione di domicilio "tradizionale", "tangibile".

Ma il problema, come anticipato, è quello di definire gli intenti del legislatore in ordine all'oggetto della protezione. E due sono le principali teorie: il domicilio di per sé e la riservatezza. In estrema sintesi e semplificando, ove fosse giusta la prima, si proteggerebbe anche una "casa informatica" vuota, senza alcun dato riservato, per il solo fatto dello scavalcamento della soglia. Se, invece, fosse corretta la prima, la tutela offerta dal legislatore dovrebbe intendersi limitata alle sole "case" contenenti dati riservati. In questo caso, vi sarebbe, in pratica, accesso abusivo rilevante soltanto in presenza di dati riservati (cosa, peraltro, non emersa nel procedimento).

Va detto, però, che la soluzione prevalente, pur con qualche mio personale dubbio, è la prima. Non si può non prenderne atto. Sicché è opportuno passare al secondo profilo domandandoci cosa si debba intendere, tecnicamente, per accesso/introduzione. E sul punto, va subito precisato, i giudici bolognesi, del primo e del secondo grado, hanno gravemente equivocato, prendendo la via sbagliata, condannando nei fatti per una non codificata (cioè non punita) "introduzione per mezzo di un programma".

In proposito, non posso non ricordare il provocatorio pensiero di Gianluca Pomante che, nel 2006, sosteneva che, di fatto, nella stragrande maggioranza dei casi di asserita intrusione, questa, in realtà, non c'è. Semmai vi è interrogazione, non accesso vero e proprio.
Lascio le considerazioni del caso ai tecnici, pur riconoscendo che, almeno a me, qualche sano dubbio è venuto. Osservo, però, che il caso "Vierika" è ancora meno "accesso", anzi, a mio parere non lo è. Dunque, non vi doveva essere condanna.

A mio avviso, un qualsiasi programma (anche non necessariamente malware) scritto per essere "lanciato" in un sistema informatico, riprodursi e rispedirsi agli indirizzi presenti in un dato sistema non è diverso da un ipotetico oggetto lanciato, dall'esterno, in una casa.
Un worm non è una "sonda" che, in qualche modo, estende i sensi di chi l'ha lanciata rinviando al mittente una serie di dati. Un worm è un programma creato per diffondersi e perdersi nello spazio telematico, al di fuori di ogni controllo, senza fornire feedback. È come la pietra scagliata, volontariamente o meno, da un ragazzo all'interno di una casa. Non può, dunque, violare alcun domicilio (tanto meno la riservatezza) ma, al limite, cagionare un danno.

E nessuno si sognerebbe mai, nel mondo "reale", di contestare una violazione di domicilio al ragazzino dalla mira invidiabile. Semplicemente perché il soggetto non entra nella casa altrui.

Ecco perché, a prescindere dalle valutazioni tecniche comunque opinate in giudizio, il fatto può costituire esclusivamente (ed eventualmente) diffusione di programmi atti a danneggiare.
Se il legislatore ha voluto creare un parallelo tra "reale" e "virtuale", ove possibile non è consentito omettere di ragionare in parallelo.

avv. Daniele Minotti
www.studiominotti.it
16 Commenti alla Notizia Sed Lex/ Se il Worm è accesso abusivo
Ordina
  • hacker e' una parola che viene usata solo per i veri outsider dell'informatica.
    Scrivere un codice come quello che ho visto sul sito del tizio, e' una lamerata copia e incolla di uno scriptino in visual basic.
    Semplicemnte ridicolo che si chiami codice quell'ammasso di cacca.
    semplicemtne ridicolo si chiami hacker un tizio simile.
    non+autenticato
  • Quando parlano informatici e avvocati fra loro ognuno tende a portare la discussione sul suo terreno.

    Da una parte l'esempio della palla lanciata non mi pare adatto,
    forse sarebbe più congruo l'esempio di un robot pre-programmato che si introduce nell'altrui abitazione.

    Se io mando un robot in casa tua, che disinserisce l'allarme (= modifica impostazioni di Internet Explorer), fruga nella tua rubrica per trovare gli indirizzi dei tuoi amici, ecc.
    tu chiameresti tale atto violazione di domicilio?

    Per quel poco che ho appreso di diritto io, propenderei per il no,
    la responsabilità penale è sempre personale e mai oggettiva,
    poi sempre in ambito penale non si può estendere la norma per analogia, oltre a quanto esplicitamente prevede.

    Quindi se nella norma c'è scritto "colui che", questo colui deve essere per forza una persona, non un qualcosa in sua vece.
    non+autenticato
  • - Scritto da: Mik

    > Da una parte l'esempio della palla lanciata non
    > mi pare
    > adatto,
    > forse sarebbe più congruo l'esempio di un robot
    > pre-programmato che si introduce nell'altrui
    > abitazione.

    Io pensavo piu' ad un animale domestico - che so, un cane - che s'introduce nel domicilio e fa danni, ma anche no.
    Fin dove e' responsabile il padrone (colui che l'ha allevato, addestrato o fatto addestrare)?

    CYA
    non+autenticato
  • E' responsabile civilmente, non penalmente, così come il proprietario di una casa è responsabile se cade una tegola in testa a qualcuno, invece della presunzione di innocenza in questo caso c'è la presunzione di colpevolezza.

    In gergo questa è responsabilità oggettiva, ed è sempre solo civile, non penale, in pratica paghi i danni ma non vai in galera né ti macchi la fedina penale.

    http://it.wikipedia.org/wiki/Responsabilit%C3%A0_o...
    non+autenticato
  • Ringrazio entrambi per le osservazioni.
    In realta', l'esempio, forse sbagliato, e' stato meditato. Nel senso che ho voluto consapevolmente proporre qualcosa di *inanimato* affinche' non si potesse pensare a dati rispediti al mittente (come succede in alcuni worm) raccolti dal worm.
    Tutto qui.
    non+autenticato
  • "[...]riprodursi e *rispedirsi* agli *indirizzi presenti* in un dato sistema non è diverso da un ipotetico oggetto lanciato, dall'esterno, in una casa.[...]"

    Sbagliato!

    Se lanci un oggetto in una casa (tipo una pallina da ping-pong), introduci un oggetto... se invece, come hai scritto, ti metti a sfogliare nella rubrica che c'è in quella casa per raccogliere numeri di telefono o indirizzi email, fai qualcosa in più della semplice "introduzione".
    Se poi il fatto che si replichi, invia email "non autorizzate" e se questo lo fai con il mittente della povera vittima o di altri indirizzi trovati nel computer.... è anche "sostituzione di persona"!
    non+autenticato
  • Fa quello che vuole, ma non da' feedback. Leggere bene, plz.
    Daniele minotti
    non+autenticato
  • - Scritto da: Daniele Minotti
    > Fa quello che vuole, ma non da' feedback. Leggere
    > bene,
    > plz.
    > Daniele minotti

    Direi, invece che:
    un worm ti rallenta il sistema sia come consumo di CPU sia di RAM si di spazio su disco per quanto poco possa essere (è come se una pallina di ping-pong che hai a casa ti rendesse più difficile camminare......), riduce la durata dell'harddisk (il tempo di vita: più un disco lavora più, più si "consuma" ed è anche più facile che si rompa), spamma inviando il worm a altre persone (viola la privacy, danneggia la tua immagine, se spoofa il mittente fa sostituzione di persona), si connette (mi sembra che lo faceva questo Worm) a un sito web per incrementare un contatore di PC infettati (chiaramente il solo stabilire la connessione ti fa loggare l'IP da sito web su cui ci stanno le pagine).

    Che ne dici??
    non+autenticato
  • Che non mi sono ponunciato sul 615-quinques anche perche', come apertamente dichiarato, occorrerebbe conoscere *molto* bene gli atti.
    Ancora una volta, invito a leggere meglio.
    non+autenticato
  • - Scritto da: Daniele Minotti
    > Che non mi sono ponunciato sul 615-quinques anche
    > perche', come apertamente dichiarato,
    > occorrerebbe conoscere *molto* bene gli
    > atti.
    > Ancora una volta, invito a leggere meglio.

    Se ti basi su questo articolo: http://www.interlex.it/regole/pomante2.htm , beh, è sbagliato!

    >"A ben vedere, tuttavia, dal punto di vista tecnico, la definizione "accesso al sistema" è del tutto errata, poiché non vi è un ingresso fisico o logico nelle memorie elettroniche o di massa dell'apparato, bensì un operazione di interrogazione di dette memorie, che si materializza nell'output a video o a stampante del risultato dell'elaborazione."

    Per scrivere su un hard disk... bisogna averci accesso.
    E bisogna avere i privilegi di accesso (i token) necessari alla scrittura dei file.
    Inoltre, la scrittura su disco rigido, non è una interrogazione.


    >"Non vi è quindi un vero e proprio "accesso", inteso come "ingresso" in una determinata zona fisica o logica dell'hard disk o della RAM, ma, piuttosto, una interrogazione di detti apparati che il microprocessore visualizza successivamente mediante i risultati palesati sullo schermo o sulla carta."

    Che c'entra il microprocessore?? Quello è solo uno strumento per compiere operazioni matematiche (unità di elaborazione) e controllare in parte il funzionamento di se stesso (unità di controllo...per dire quella dove c'è il registro EIP su sistemi i386)... poi allora ci sarebbe anche il north e south-bridge che sono i parti da cui passano le "interrogazioni".

    >"Solo in modo virtuale l'utente vive l'accesso al sistema come una introduzione nel medesimo, potendo visualizzare sullo schermo un desktop che sostituisce la scrivania tradizionale ed una serie di risorse e cartelle che si sostituiscono, idealmente, agli strumenti, mobili e classificatori normalmente utilizzati nella vita reale."

    Esistono dei computer, come i server, su cui non esiste nemmeno "il desktop"... e allora? sui server non si possono fare "accessi" perché non c'è il desktop? è ridicolo.

    >"A questo stesso luogo, però, non è possibile realmente accedere (salvo voler demolire fisicamente un hard disk, circostanza in cui difficilmente si potrebbe utilizzarne il contenuto)"

    Non è vero, ed è qui che si capisce che chi ha scritto l'articolo sbaglia. Perché il tuo accesso "virtuale" fa SCRIVERE a una testina magnetica su un disco, facendo dei cambiamenti fisici! Certo che se anzi che far fare questo lavoro a una testina, ci provi con un martello...i danni sono maggioriSorride
    Comunque "l'accesso" esiste.

    >" perché l'unica attività realmente realizzabile, nell'interazione con un elaboratore, è quella dell'interrogazione"

    Questo sembra un gioco di parole.
    Quando si salvano i file, non si stà solo "interrogando" con un accesso in lettura alle memorie (volatili o non volatili), ma si stà "scrivendo" e quindi alterando fisicamente un contenuto (inoltre si può "scrivere" anche senza interrogare, come quando ad esempio si formatta un floppydisk appena comprato...lo metti nel lettore e distruggi tutto il contenuto mettendo una tabella FAT16).
    non+autenticato
  • A me sembra che nell'ossessione di voelr commentare criticamente a tutti i costi, non mi si legga:
    *Lascio le considerazioni del caso ai tecnici, pur riconoscendo che, almeno a me, qualche sano dubbio è venuto. Osservo, però, che il caso "Vierika" è ancora meno "accesso", anzi, a mio parere non lo è. Dunque, non vi doveva essere condanna*.
    non+autenticato
  • Decisamente l'articolo di Pomante citato non ha molto fondamento. Qualsiasi attività svolta su un sistema per conto di un utente remoto, sia anche un'interrogazione, comporta l'esecuzione di un processo almeno in parte sotto il controllo dell'utente stesso nonché la memorizzazione e modifica di dati, magari temporanei. L'articolo mi sembra da parte del giurista un'acrobazia tecnologica paragonabile a quando il tecnico si interpreta in proprio le normeOcchiolino

    Che un worm in generale non sia accesso abusivo non mi sembra ovvio, dato che molti prevedono, una volta installati, di poter essere contattati o di contattare un server per svolgere diverse operazioni "in stile rootkit", garantendo quindi proprio l'accesso. Nel caso specifico http://www.f-secure.com/v-descs/vierika.shtml non è chiaro se attraverso le pagine web che il worm contattava, fosse previsto che venisse controllato, ma mi verrebbe di dire che potenzialmente sì, quindi se sia o non sia un accesso abusivo non è ovvio.

    Riguardo all'interpretazione per cui il domicilio informatico si abbia solo in presenza di dati riservati (se ho ben capito), non sono d'accordo. Mi verrebbe da dire che è un'interpretazione arbitraria che non trova appiglio nella lettera della legge, ma non sono un giurista e non lo diròOcchiolino

    Tuttavia, sembra un'interpretazione che deriva da una visione "privacy-centrica" della sicurezza, che non corrisponde alla generalità di quello che interessa proteggere di un sistema (l'oggetto della protezione). Un server con dati assolutamente pubblici o un router possono essere danneggiati da un accesso abusivo semplicemente perché vengono provocati disservizi e malfunzionamenti e senza danneggiare dati. E dato che la lettera della norma non parla di dati, e l'oggetto da proteggere esiste a prescindere da questi (il corretto funzionamento del sistema), non capisco come si possa fare riferimento a dati riservati nell'interpretazione.
  • Sull'articolo di Pomante, non ho dato adesione, ma ho precisato che, secondo me, si tratta di una provocazione.
    Mi fermo qui, non ho riflettuto abbastanza sui profili tecnici e non sono un tecnico.
    Sui worm che danno feedback, io mi sono riferito a Vierika che non mi risulta essere di questo tipo.
    Sul bene tutelato dalla norma, faccio qualche precisazione.
    In realta', le teorie prevalenti sono tre. Le due citate e quella che fa riferimento all'integrita' dei sistemi. Non ho menzionato quest'ultima perche' da un lato e' quella minoritaria (dunque, non volevo appesantire l'articolo), dall'altro perche' e' facilmente smentibile se si considera che il 615-ter ha una specifica aggravante del danneggiamento, dunque un qualcosa di ulteriore rispetto alla fattispecie base.
    Sulle altre due, occorrerebbe pensare se dare tutela ad una casa vuota o, comunque, senza cose riservate. Cio' al di la' di successivi ed eventuali danneggiamenti che sono sempre punibili.
    non+autenticato
  • Infatti non ho detto, mi pare (e comunque non volevo dire), che ci deve essere il danneggiamento perché ci sia l'accesso abusivo, esattamente come non ci deve essere il danneggiamento per la violazione di domicilio "tradizionale". Ho detto invece che il danneggiamento può essere conseguenza dell'accesso abusivo, proprio per sottolineare che tutelare il sistema a prescindere dai dati "ha senso", come appunto conferma l'aggravante citata. Mi interessa però sapere da dove deriva, stando alla formulazione del'articolo 615 ter, l'associazione fra domicilio da violare e dati riservati. Riuscirei a fatica a capire l'associazione fra domicilio e dati personali...
  • - Scritto da: unaltro
    > proprio l'accesso. Nel caso specifico
    > http://www.f-secure.com/v-descs/vierika.shtml non
    > è chiaro se attraverso le pagine web che il worm
    > contattava, fosse previsto che venisse
    > controllato, ma mi verrebbe di dire che
    > potenzialmente sì, quindi se sia o non sia un
    > accesso abusivo non è
    > ovvio.

    No, il virus è semplicissimo, sul sito del suo autore sono pubblicati spezzoni dei suoi sorgenti (http://web.tiscali.it/krivoj/), insieme a quel rapporto di f-secure il quadro si completa:

    UTENTE CLICCA SULL'ALLEGATO EMAIL
    eseguendo il codice Wscript il quale

    1) modifica le impostazioni di sicurezza di Internet Explorer per permetterne l'esecuzione di vbscript con notevoli diritti

    2) cambia la home page di Internet Explorer con quella di Vierika

    3) copia se stesso sull'hard disk

    LA PRIMA VOLTA UTENTE APRE INTERNET EXPLORER
    apre la pagina di vierika che contiene la seconda parte del codice, il quale

    4) scansiona in tutte le rubriche di Oulook tutti gli indirizzi e-mail presenti

    5) invia una e-mail per ciascun indirizzo trovato allegandoci la copia precedentemente memorizzata sull'hard disk

    6) ripristina le impostazioni di sicurezza di Internet Explorer

    Gli unici "danni" che provoca, è che cambia la home page e invia delle e-mail per replicarsi
    non+autenticato
  • mi correggo, il punto 3 è eseguito dalla seconda parte del codice (quella contenuta nella pagina vierika impostata come home page)
    non+autenticato