Milano – Si è concluso con l’assoluzione il processo di appello voluto da due tecnici italiani imputati per un attacco informatico che si è registrato nel 2001 contro alcuni sistemi di Fineco, una vicenda di cracking per la quale i due erano stati condannati ad alcuni mesi di reclusione in primo grado. L’assoluzione è freschissima e le motivazioni non sono ancora state pubblicate, ma qualcosa si può dedurre dal ricorso presentato dai due e accolto dai giudici d’appello. Si tratta di un caso molto rilevante sotto il profilo procedurale perché pone al centro anche la questione dei diritti alla difesa nei processi per reati informatici, questione più volte emersa anche nella cronaca recente .
Il processo, uno dei primi in Italia ad affrontare questo genere di violazione nei confronti di una banca, riguardava la registrazione di un attacco informatico tra il 7 e il 9 febbraio 2001, una incursione che si sarebbe verificata attraverso l’utilizzo di sistemi ponte di altre società dai quali, secondo l’accusa, i due avrebbero tentato l’accesso alla rete informatica di Fineco.
La condanna in primo grado dei due informatici italiani, all’epoca entrambi tecnici di Sun Microsystems, era fondata sul fatto che facevano parte del team di Sun incaricato da Fineco di collaudare la sicurezza dei sistemi bancari: una posizione privilegiata, questa la tesi dell’accusa, che avrebbero poi cercato di sfruttare. I due si sono difesi sostenendo che i tentativi di intrusione registrati altro non erano che l’esecuzione del contratto di testing stretto tra le due aziende e che null’altro se non quel tipo di testing era a loro ascrivibile. La ricostruzione degli avvenimenti è stata eseguita sulla base delle dichiarazioni del responsabile Fineco che, dinanzi a quelle che riteneva delle incongruenze molto gravi, aveva sporto denuncia.
A giocare a favore dei due appellanti nel ricorso accolto dalla Seconda sezione penale della Corte d’Appello di Milano è stata, con ogni probabilità, la sostanziale assenza di prove certe di quanto avvenuto. La condanna in primo grado si basava principalmente sulle ricostruzioni dei responsabili Fineco ma in appello la difesa ha fatto notare che non erano mai stati acquisiti fisicamente i log e i dischi dei server che si ritiene siano stati violati. La macchina che sarebbe stata “bucata”, dunque, mancava come “corpo del reato”.
Non solo: in primo grado erano mancate, a detta della difesa, anche analisi di computer forensics terze rispetto a quelle dell’accusa.
Come accennato, è comunque necessario attendere le motivazioni della sentenza per comprendere su quali basi i magistrati d’appello abbiano voluto decidere. L’interesse di tutti è naturalmente focalizzato sull’importanza che è stata data all’assenza di prove informatiche certe : le procedure di computer forensics adeguate e di garanzia per la difesa rimangono uno dei maggiori problemi nella lotta contro i crimini informatici condotta ogni giorno dalle forze dell’ordine.
Paolo De Andreis