Roma – Leggo dell’ attacco DDoS alla Telstra , giretto per il forum, e penso… Con un solo attacco, il suo “autore” riuscirebbe a violare in Italia (ad occhio e croce…):
1) l’art. 617, quater, c.p. che prevede: “Chiunque fraudolentemente intercetta comunicazioni relative ad un sistema informatico o telematico o intercorrenti tra più sistemi, ovvero le impedisce o le interrompe, è punito con la reclusione da sei mesi a quattro anni” ;
2) l’art. 635 bis, c.p. che prevede:” Chiunque distrugge, deteriora o rende, in tutto o in parte, inservibili sistemi informatici o telematici altrui, ovvero programmi, informazioni o dati altrui, è punito, salvo che il fatto costituisca più grave reato, con la reclusione da sei mesi a tre anni. “;
3) Se il trojan di turno che rende un pc zombie, potesse essere considerato alla stregua di una “apparecchiatura”, si potrebbe discutere pure dell’art. 617, quinquies, c.p. che prevede: ” Chiunque, fuori dai casi consentiti dalla legge, installa apparecchiature atte ad intercettare, impedire o interrompere comunicazioni relative ad un sistema informatico o telematico ovvero intercorrenti tra più sistemi, è punito con la reclusione da uno a quattro anni ”
Questi sono tutti reati, in ogni caso “dolosi” che richiedono, cioè, che l’agente (il cracker o pirata) sappia e voglia quel particolare effetto illecito.
Gli stessi reati non sono, invece, punibili a titolo di colpa che si ha quando l’agente, pur non volendo, per negligenza imperizia o imprudenza, cagiona un illecito.
Per capirci. Lesioni dolose: ti tiro un pugno perché voglio farti male. Lesioni colpose: vado troppo veloce con la macchina (violazione di norma di prudenza) in un centro abitato, ti metto sotto e ti rompo una gamba.
Nel nostro codice penale, dunque, esistono solo reati “informatici” dolosi.
Risulta impossibile, in questi termini, tirarci dentro pure il proprietario del PC zombie, perché evidentemente costui non voleva affatto causare un DDoS.
Ma c’è un però: se io posseggo un fucile (notoriamente un’arma e come tale pericolosa) lo devo custodire con una diligenza (attenzione, cura) superiore a quella necessaria per custodire un canarino. E se qualcuno uccide qualcun’altro con quel fucile, mi sa che io qualche guaio con la giustizia penale lo passo dovendo fare i conti con l’art. 20 l. 110/75.
Ora, se il computer debba o possa essere considerato un arma (certamente impropria giacché la sua funzione principale non è quella di uccidere) si potrebbe discutere a lungo (è leggenda quella che narra come qualcuno sia stato ucciso perché era stata cambiata la terapia – gestita informaticamente – attraverso la manomissione dei dati contenuti nel pc dell’ospedale in cui era ricoverato?), ma certo che se io ho tutte le protezioni abbassate (e non lo so), uso un certo software poco incline alla sicurezza e molto ospitale (e non lo so), non mi curo dell’antivirus e penso che firewall è sinonimo di fuochi d’artificio, non uso una diligenza molto elevata.
La legge non dice nulla (per fortuna…) e siccome in materia penale vige il divieto di analogia ( in dubio pro reo : meglio un delinquente in giro che un innocente in carcere) con questi discorsi non andiamo da nessuna parte.
D’altronde, dirà qualcuno, non si va in giro con la macchina blindata per andare al supermercato, ma mi pare che questa rete delle reti non sia un luogo da affrontare con infradito ed asciugamano…
Questo discorso vale per il penale; civilisticamente è tutta un’altra musica. Se qualcuno brucia con la sigaretta una mia mappa antica o la mia poltrona, non lo posso condannare per danneggiamento, ma una bella causa civile per risarcimento dei danni (? o $) io ce la farei proprio…
Ed in questo caso il giudice civile, il grado di diligenza usato nel maneggiare la sigaretta, lo va a sindacare di sicuro, perché c’è una norma, 2043 c.c., che prevede: ” Qualunque fatto doloso o colposo, che cagiona ad altri un danno ingiusto, obbliga colui che ha commesso il fatto a risarcire il danno “.
Il danno l’avrà voluto il cracker; costui però, con il solo suo pc non la cagionava quella mole di traffico, quindi senza i pc zombie, niente DDoS.
Galera no, dunque. Portafoglio sì?
Anche qui c’è un però: quale giudice – non un informatico, non un utente consapevole, non un lettore di PI insomma – oggi come oggi rintraccerebbe la colpa in un utente (con la “e” o con la “o”?) medio che si vedesse il pc “posseduto” da un cracker?
Il sentimento comune (quello dell’uomo medio) dice che il computer, quando lo tiro fuori dalla scatola, è fedele più o meno come il migliore amico dell’uomo e che i delinquenti, se vogliono passare dal cavetto del telefono, li vedrò transitare sullo schermo!
Oggi, ho detto, ma tra dieci anni?
Forse allora, forse anche prima, aumenterà la diffusione e il grado di “consapevolezza” e, conseguentemente, l’utente medio saprà (dovrà sapere per legge, il che, giuridicamente, è la stessa cosa) che il suo pc può essere facilmente posseduto.
Ultimo Ma (giuro): se invece di un utente medio (che deve usare la diligenza media, quella cioè dell’uomo della strada) abbiamo a che fare con un utente qualificato, come potrebbe essere un professionista, un qualcuno che deve fare il dpss, come la mettiamo?
La diligenza del professionista è diversa da quella dell’uomo medio, e se la legge (196/2003) dice che devi prendere delle contromisure minime ed altre idonee, se il tuo pc diventa zombie e magari invece di tirar giù un server, consegna (o è idoneo o pronto a consegnare, esiste anche il tentativo….di reato ) in giro per la rete pezzi dei tuoi file con i dati personali di terzi, devi (in questi casi, l’innocenza non è più presunta….) pure andare a dimostrare che avevi fatto tutto il possibile per non essere posseduto, perché la stessa legge fa un richiamo espresso all’art. 2050 c.c. che prevede:
” Chiunque cagiona danno ad altri nello svolgimento di un’attività pericolosa, per sua natura o per la natura dei mezzi adoperati, è tenuto al risarcimento, se non prova di avere adottato tutte le misure idonee a evitare il danno “.
Il diritto non è mai bianco o nero…
avv. Andrea Buti
StudioButi.it