Era stato intercettato la prima volta nel marzo del 2001 e, pochi giorni dopo, si era capito che il codice autoreplicante Vierika aveva effettivamente una origine italiana: il suo autore, Gabriele Canazza, programmatore più noto come “Krivoj Rog”, è stato condannato ieri in appello, ma con una importante differenza rispetto alla condanna in primo grado subita nel 2005.
Con quella sentenza, la prima del genere nel nostro paese, si affermava che l’autore non solo era colpevole di danneggiamento di sistemi informatici ma anche di accesso abusivo al sistema di circa 900 utenti, tutti “infettati” da Vierika. Realizzato in Visual Basic, Vierika penetrava nei sistemi Windows vulnerabili autospedendosi poi via email come allegato agli indirizzi individuati sul computer colpito. La nuova sentenza, quella di ieri di cui Punto Informatico ha preso visione, ribadisce la colpevolezza per la realizzazione di quel codice, a cui si continua ad attribuire la capacità di far danni, mentre si afferma che la diffusione di Vierika non può essere considerata accesso abusivo aggravato ad un sistema altrui. Una revisione non secondaria della sentenza di primo grado.
L’attribuzione di colpevolezza da parte della Seconda Sezione Penale della Corte di Appello di Bologna presieduta dal giudice Salvatore Guarino riguarda dunque l’articolo 615 quinquies del codice penale che recita:
Diffusione di programmi diretti a danneggiare o interrompere un sistema informatico
1. Chiunque diffonde, comunica o consegna un programma informatico da lui stesso o da altri redatto, avente per scopo o per effetto il danneggiamento di un sistema informatico o telematico, dei dati o dei programmi in esso contenuti o ad esso pertinenti, ovvero l’interruzione, totale o parziale, o l’alterazione del suo funzionamento, è punito con la reclusione sino a due anni e con la multa sino a lire venti milioni.
La condanna in appello prevede due mesi di reclusione e 2mila euro di multa , con la pena detentiva sostituita da una sanzione di 2.280 euro, arrivando così a 4.280 euro “interamente condonata ex l. 241/06”.
Nella sentenza si afferma anche, come accennato, che non si può invece procedere per il reato previsto dal 615 ter , l’accesso abusivo appunto, per questioni tecniche che la difesa già in primo grado sosteneva che avrebbero dovuto essere rilevate. In sostanza, mancando la prova dell’aggravante, si dice, la Procura non avrebbe dovuto procedere per il reato di accesso abusivo semplice, che avrebbe richiesto una querela dei “danneggiati”. Danneggiati che, come ha sottolineato la difesa in più occasioni, non sono in realtà stati identificati.
Ma uno dei nodi fondamentali anche per la comunità informatica italiana tanto per il primo grado quanto per l’appello è legato alla natura di Vierika . Secondo la difesa, infatti, si tratta di un codice sostanzialmente innocuo e incapace di procurare danni. Lo stesso Canazza a questo proposito aveva spiegato che “Vierika non abbassa affatto le difese del computer, anzi, mi è servita come studio per vedere, per testare, per verificare la sicurezza di alcuni programmi, per verificare la sicurezza dei provider, per verificare e basta”.
Sulla natura di Verika proprio “Krivoj Rog” ha dedicato ampio spazio sul proprio sito , dove mette anche a disposizione i codici sorgenti del programma, proprio per dimostrare quello che ha sempre sostenuto, ovvero che Vierika non ha provocato danni. Sullo stesso sito anche la schermata con cui la società di sicurezza F-Secure, la prima ad “intercettare” Vierika sette anni fa, lo descrive come un worm mass mailer.
Il giudice di primo grado, come anche la Corte d’Appello, però hanno rifiutato di eseguire perizie in contraddittorio fra le parti sul codice , limitandosi dunque a far ricorso alla sola relazione tecnica dei cybercop della Guardia di Finanza che avevano identificato l’autore di Vierika.
Una vicenda complessa, dunque, sulla quale lo stesso Canazza si è espresso con una lunga lettera a Punto Informatico pubblicata due anni fa, in cui scriveva, tra l’altro:
“La verità è che Vierika ha infettato 2 Pc nel mondo: il mio e forse quello di un mio amico a cui ho detto “prova a lanciare questo script, vedi se ti lancia in automatico delle mail”. Sfido chiunque, soprattutto i lettori di questo sito, a portarmi prove tangibili di danni provocati da Vierika
Le motivazioni della sentenza di appello saranno rese note solo nelle prossime settimane, ma visti i problemi formali emersi nel procedimento è quantomai probabile che la difesa vorrà procedere in Cassazione. La vicenda, dunque, potrebbe non chiudersi così.