Washington (DC) – La Camera dei Rappresentanti del Congresso statunitense ha approvato la proposta di legge presentata dalla democratica Zoe Lofgren che prevede un inasprimento delle pene per i reati collegati all’uso di malware al fine di ottenere informazioni riservate sui privati cittadini.
La norma dovrà ora passare al vaglio del Senato, dove si era arenata già in tre diverse occasioni durante la passata legislatura: il testo attuale tuttavia include delle modifiche sostanziali , che vanno nella direzione delle obiezioni sollevate dai senatori che l’avevano respinto in precedenza.
In sostanza la legge denominata SPY Act equipara ad un reato federale l’ottenimento illecito, attraverso un sistema informatico fraudolento, di informazioni personali, quali dati di accesso o numero di carta di credito: l’ordinamento USA prevede in questo caso pene molto severe, come multe fino a tre milioni di dollari per ogni infrazione e pene detentive fino a cinque anni .
Lo SPY Act presenterebbe tuttavia dei punti controversi. Suscita qualche perplessità il criterio di “eccezione relativa alla sicurezza” che questa legge introdurrebbe per garantire alcuni produttori di tecnologie collegate alla diagnosi a distanza, supporto tecnico e verifica delle licenze.
In pratica la norma prevede una scappatoia per permettere a strumenti come DRM di continuare a funzionare, ma consentirebbe anche la sopravvivenza delle forme meno invasive di spyware : i produttori verrebbero sollevati dall’obbligo di chiedere il permesso al proprietario del computer per installare le proprie applicazioni.
“Concentrarsi sui cattivi soggetti e le condotte criminali è preferibile ad un approccio che criminalizzi la tecnologia o imponga notifiche e moduli di consenso obbligatori”, si è giustificata il deputato Lofgren: “(Il provvedimento, ndR) prende di mira le forme peggiori di spyware senza penalizzare eccessivamente l’innovazione tecnologica “.
Tra i principali critici dello SPY Act c’è la Electronic Frontier Foundation : la Commissione Federale del Commercio e il Dipartimento di Giustizia avrebbero già pieni poteri per perseguire questo tipo di infrazioni, e la nuova norma restringerebbe il numero di reati che queste due istituzioni avrebbero la possibilità di perseguire.
I cittadini verrebbero inoltre privati del diritto di intentare una causa (singola o collettiva – la cosiddetta Class Action ) contro le aziende responsabili delle violazioni: tale possibilità sarebbe riservata unicamente al Procuratore Generale dello stato in cui il crimine ha avuto luogo. Una situazione in cui in pratica i cittadini non potrebbero difendersi legalmente dallo spyware.
La EFF cita come esempio il celebre caso del rootkit Sony-BMG : se questa norma fosse esistita allora, le cause intentate in California contro il colosso asiatico, che diedero ragione ai consumatori, probabilmente non avrebbero avuto luogo .
La nuova legge poi non garantirebbe alcun aumento significativo nei fondi stanziati a favore delle istituzioni federali deputate a combattere i malware : le procure federali e la Commissione sarebbero quindi impossibilitate a perseguire tutti i presunti responsabili, diminuendo l’efficacia della lotta a questo tipo di reati.
Sono in molti a temere questa prospettiva: una diminuzione della pressione sui produttori di spyware potrebbe causare un aumento dei rischi per in consumatori. Ma è anche il principio di trasformazione in reato federale di queste infrazioni a convincere poco: il timore è che, come nel caso dello spam, i colpevoli si limitino a porre la propria sede legale in qualche nazione che non preveda questo tipo di reato .
L’ultima obiezione sollevata dalla EFF riguarda la figura del cosiddetto “buon samaritano”, vale a dire le software house produttrici di dispositivi anti-malware o capaci di fare piazza pulita degli spyware presenti su una macchina: secondo l’organizzazione sarebbe stato auspicabile offrire a queste aziende una sorta di protezione , contro le cause intentate da sedicenti produttori di software legittimi che nasconderebbero tecnologie pericolose .
In questi giorni ha attirato l’attenzione dei media un caso che illustra questa possibilità: Zango, azienda precedentemente nota come 180Solution, ha fatto causa ai produttori dell’applicazione Spyware Doctor (inclusa nel Google Pack ), poiché il loro software rimuoverebbe le applicazioni Zango dai PC senza avvisare gli utenti.
Lo scorso anno , Zango era stata chiamata in giudizio dalla Commissione Federale sul Commercio, ed aveva accettato di pagare tre milioni di dollari per far cadere le accuse. Oggi Zango starebbe tentando di dare una ripulita alla propria immagine: da qui la richiesta di 35 milioni di dollari di risarcimento.
Secondo l’azienda produttrice di Spyware Doctor si tratterebbe tuttavia di un semplice stratagemma, per tentare di alterare il processo di revisione delle proprie liste di prodotti e marchi ritenuti “pericolosi”.
Luca Annunziata
Ti potrebbe interessare
25 mag 2007