A distanza di quattro anni dalla scoperta di Meltdown e Spectre, il giudice Michael Simon del tribunale dell’Oregon ha approvato la class action contro Intel, avviata nel 2018. Diversi utenti hanno accusato l’azienda californiana di aver comunicato in ritardo l’esistenza delle due vulnerabilità per evitare un calo di guadagni dovuto alla conseguente diminuzione delle vendite.
Intel ha ingannato i consumatori?
Meltdown e Spectre sono due vulnerabilità, rese pubbliche il 3 gennaio 2018, ma già note ai produttori di chip almeno sette mesi prima, che potevano essere sfruttate per accedere al contenuto della memoria mediante un attacco side-channel. Il problema di sicurezza non poteva essere risolto perché era dovuto all’esecuzione speculativa e pertanto richiedeva una nuova architettura per i processori. Intel ha rilasciato aggiornamenti per il microcodice delle CPU che riducevano solo il rischio.
Queste “mitigazioni” hanno tuttavia causato un rallentamento delle prestazioni. Ancora oggi i ricercatori di sicurezza scoprono varianti delle vulnerabilità originarie. Circa un mese dopo (febbraio 2018), Intel ha ricevuto 32 denunce, successivamente consolidate in un unico procedimento. Da allora, l’azienda di Santa Clara ha chiesto al giudice di respingere la richiesta di class action.
Per due volte il giudice ha dato ragione ad Intel, concedendo però ai consumatori di riformulare le accuse. Al terzo tentativo, la class action è stata approvata con riferimento ai processori venduti dopo il 1 settembre 2017. Quelli venduti prima di questa data sono stati esclusi perché Intel non era a conoscenza delle vulnerabilità. Secondo il giudice, l’azienda ha nascosto il problema per massimizzare le vendite durante le festività natalizie.
Prima dell’eventuale processo in tribunale sono richiesti altri passi procedurali. Una possibile via d’uscita per Intel è trovare un accordo extragiudiziale. In caso di sconfitta potrebbe essere obbligata a pagare risarcimenti milionari.