Clamori/Quel non-hacker del GR1

Entra nei sistemi RAI, modifica i file del radiogiornale ma non verrà processato. Perché la normativa attuale non consente di procedere se il sistema colpito non era protetto. Segni di civiltà?

Roma - C'è qualcosa di rivoluzionario nella decisione del non luogo a procedere con cui di recente G. C. si è liberato dalle conseguenze penali di una sua incursione nei sistemi informativi RAI.

L'incursione ha effettivamente avuto luogo e alcuni file sono stati modificati, ma i sistemi di protezione della RAI non erano settati e G. C. ha potuto entrarvi senza superare alcun tipo di "barriera". Da qui un non luogo a procedere clamoroso, perché si tiene conto non tanto dell'incursione quanto della mancata presenza di sistemi di sicurezza efficienti, seguendo alla lettera lo spirito della normativa vigente.

Ecco i fatti, come li descrive Eduarlo Landi, Giudice dell'udienza preliminare presso il Tribunale di Roma nel documento decisionale: "G. C. è accusato del reato di cui all'art. 615 ter, 2° e 3° comma c.p., per essersi introdotto abusivamente nel sito telematico del G.R.1, rinominando con lo stesso nome di quello autentico e sostituendo il file contenente il Radio Giornale delle ore 13.00, con un altro file contenente una serie di critiche alla Società Microsoft e al nuovo sistema operativo denominato Windows 98. Con l'aggravante di essersi inserito in un sistema telematico di pubblico interesse. Fatto accaduto in Roma il 10.07.1998, dalle ore 17.30 alle ore 17,53 circa".
La redazione RAI si è accorta dell'incursione di G. C. e della modifica dei file due giorni dopo il fatto. Quando G. C. ha saputo che la RAI ha sporto denuncia contro ignoti per quanto avvenuto ha scritto a Repubblica.it ammettendo di essere l'autore del gesto.

Le indagini preliminari hanno messo in luce che "in data 10.7.1998, l'imputato, utilizzando dalla sua abitazione un computer (Pentium II con velocità 266 Mhz e con Mbyte 64 di memoria principale), dotato di sistema operativo Windows 95, collegato ad Internet attraverso connessione telefonica con il nodo di Ancona del fornitore di servizi Internet TIN e servendosi dell'account dell'utente "xxxxxx" (attribuito dalla TIN a XXXXXXX di Mantova e che risulterà poi nei file log della RAI), si introduceva nel sito telematico del G.R.1".

Nella sua email a Repubblica.it, G. C. spiegava: "sono entrato nel server mm1.rai.it grazie a una password fregata al pc di G. L., che, molto imprudentemente, ha il proprio disco fisso in condivisione e dunque è accessibile liberamente all'esterno". Durante l'interrogatorio con i magistrati, G. C. ha spiegato di non avere agito con l'intenzione di arrecare danni al sistema della Rai e secondo chi lo interrogava "mostrava di essere sinceramente pentito".

Ma ecco la sintesi secondo il GUP: "l'imputato ha sostenuto che, usando un programma per la ricerca di computer su Internet con condivisioni aperte, è riuscito ad accedere senza problemi al computer della Rai denominato GRR4. Durante questo accesso l'imputato ha affermato di aver trovato nel "direttorio" principale dell'hard disk un file che citava la macchina denominata MM1, che costituiva il server della Rai contenente i file real audio con i Radio Giornali accessibili da Internet. Questo stesso file citava inoltre l'account "xxx", utilizzato dai dipendenti Rai per accedere al computer MM1 ed il programma ws ftp, utilizzato per trasferire su quest'ultimo computer i file audio prodotti su altre macchine. Ha così effettuato una connessione diretta al server MM1 con l'account "xxx" e, utilizzando sul suo computer, il programma ws ftp, ha ridenominato il file gr1-1007.ra, contenente il Radio Giornale delle ore 13.00 del 10.7.98, senza cancellarlo. Con tale programma ha infine memorizzato su MM1 un nuovo file denominato gr1-1007.ra da lui preparato contenente le critiche al Windows 98. In tal modo l'utente che accedeva al sito Internet della Rai riceveva questo ultimo file in risposta alla richiesta del radio Giornale delle ore 13.00".

Stando alla perizia ordinata dal Giudice: "l'imputato ha sfruttato una caratteristica tipica dei computer dotati di sistema operativo Windows 95 e collegati ad Internet. Se su questi computer risulta attivo il servizio condivisione file e stampanti su protocollo Netbios e non si definisce una password, si rendono direttamente accessibili i file anche a tutte le macchine con analogo sistema operativo Windows 95 connesse su Internet: in tal modo è possibile dare ad altri utenti della rete la visibilità dei propri dati. Il computer della Rai GRR4, per l'appunto, aveva attivata la condivisione risorse.

Il perito ha inoltre verificato la validità della procedura tecnica utilizzata dall'imputato ed in particolare ha testato una versione dei programmi (fornitigli dallo stesso G.) per la ricerca di computer su Internet con condivisioni aperte. Ha così escluso che, soddisfatte le condizioni anzidette, l'iter seguito richiedesse la conoscenza di elementi forniti da terzi".

Ed ecco come si arriva al non luogo a procedere. A G. C. era stata contestata "la condotta dell'accesso abusivo a sistema informatico di pubblico interesse, protetto da misure di sicurezza, determinando l'interruzione del suo funzionamento".

Secondo il GUP, però, "non risultano elementi di prova sufficienti a dimostrare l'esistenza di misure di sicurezza idonee a proteggere il sistema violato. A tale proposito si osserva che il legislatore con l'introduzione della norma incriminatrice di cui all'art. 615 ter ha inteso tutelare non la privacy di qualsiasi "domicilio informatico", ma soltanto quella di sistemi "protetti" contro il pericolo di accessi da parte di persone non autorizzate".

In questa analisi, il GUP tiene presente la perizia, dalla quale emergeva che "il sistema informatico della Rai era configurato in modo tale da non essere completamente sicuro: esisteva un computer (GRR4) che consentiva l'accesso agli estranei tramite rete (secondo quanto suesposto) e che conteneva al suo interno la password per l'accesso al computer server (MM1) manomesso. Sebbene la macchina GRR4 risultava protetta da firewall, cioè da un sistema di controllo del traffico di dati sulla rete locale, probabilmente tale firewall non era idoneo. Ciò potrebbe essere dipeso dal fatto che, avendo il GRR4 due connessioni esterne (una alla rete locale ed una direttamente ad Internet), il firewall verificava solo il transito dei dati attraverso una delle due connessioni oppure non era ben configurato (in particolare non controllava i servizi offerti dal processo Netbios: p. 5 della relazione peritale)".

Da qui l'importante dispositivo decisionale: "Sulla base delle risultanze dell'elaborato peritale si ritiene non sufficientemente provata l'idoneità delle misure di sicurezza predisposte dalla Rai a tutela del proprio sistema informatico.

Del resto è ormai acclarato che i tradizionali mezzi di protezione software, in particolare quelli incentrati sulle c.d. chiavi di accesso non offrono certezza assoluta di impenetrabilità, essendo la loro individuazione soltanto una questione di tempo e livello tecnologico. Inoltre nel caso specifico la password del computer MM1 era citata in un file contenuto in una macchina (GRR4) vulnerabile.

Considerato che l'esistenza di mezzi efficaci di protezione è elemento costitutivo della fattispecie incriminatrice di cui all'art. 615 ter c.p., deve dichiararsi il non luogo a procedere con la formula di cui all'art. 425 comma 3 c.p.p., anche perché atteso il tempo trascorso e considerato che la Rai ha sostituito le precedenti misure di sicurezza con altre (come riferito dal perito in udienza), è del tutto improbabile che ulteriori indagini possano evolvere in senso favorevole all'accusa".

E, quindi, si "dichiara il non luogo a procedere nei confronti di G. G. in relazione all'imputazione di cui alla rubrica, perché il fatto non sussiste".

Lamberto Assenti