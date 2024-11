Dopo aver commesso errori madornali, come la condanna di un ricercatore che aveva scoperto una password harcoded in un software pubblico (orrore!), la Germania corre ai ripari promuovendo un disegno di legge che offre protezione legale automatica ai ricercatori che scoprono vulnerabilità di sicurezza e le segnalano in modo responsabile.

Il Ministro federale della Giustizia, Marco Buschmann, osserva che coloro che aiutano a risolvere problemi di sicurezza nel settore IT dovrebbero essere trattati con riconoscenza, non ricevere un avviso circa l’avvio di un procedimento giudiziario a loro carico.

Finalmente, in anticipo rispetto al legislatore italiano che sembra ancora “sordo” sull’argomento, la Germania si appresta a riconoscere il ruolo dell’hacker etico ovvero di colui che si muove in maniera responsabile, segnalando problemi di sicurezza agli aventi titolo senza trarne alcun tornaconto personale e senza provocare alcun danno.

Gli hacker etici devono essere protetti ed esclusi da qualunque procedimento legale

Buschmann fa presente che la proposta di legge esclude da qualsiasi vertenza giuridica tutti quei soggetti che svolgono attività di ricerca in campo informatico e che segnalano privatamente la scoperta di nuove vulnerabilità. Tutte le sanzioni previste dal diritto penale sono quindi escluse per chiunque svolga operazioni tese a rilevare e risolvere vulnerabilità. A meno che queste azioni non siano considerate “non autorizzate”.

I criteri che ricercatori ed hacker etici sono tenuti a rispettare per non correre rischi sono i seguenti:

L’azione deve essere svolta con l’obiettivo di identificare una vulnerabilità o un altro rischio per la sicurezza in un sistema informatico.

in un sistema informatico. Il ricercatore deve avere l’intenzione di segnalare la vulnerabilità di sicurezza identificata a un ente responsabile in grado di affrontare il problema, come l’operatore del sistema, il produttore del software o l’Ufficio federale per la sicurezza informatica (BSI). Quest’ultimo è l’equivalente italiano dell’Agenzia per la Cybersicurezza Nazionale (ACN).

di sicurezza identificata a un ente responsabile in grado di affrontare il problema, come l’operatore del sistema, il produttore del software o l’Ufficio federale per la sicurezza informatica (BSI). Quest’ultimo è l’equivalente italiano (ACN). L’atto di accesso al sistema vulnerabile deve risultare necessario per identificare e confermare la vulnerabilità stessa. La norma proibisce accessi non necessari o “eccessivi” rispetto alle finalità dell’azione. Tradotto, se scopro una vulnerabilità che espone dati personali altrui, non posso mettermi a scandagliare queste informazioni in modo massivo né tanto meno scaricarle in locale.

La stessa esclusione della responsabilità penale si applica anche ai reati di intercettazione e modifica dei dati, posto che il ricercatore deve comunque – anche in questi casi – attenersi alle prescrizioni sopra citate.

A questo punto, la legge seguirà l’iter di approvazione parlamentare entrando in vigore, verosimilmente, all’inizio del prossimo anno.

Italia, svegliati!

Dopo il bug bounty di Stato promosso in Svizzera e gli sforzi che si stanno compiendo in Germania per arrivare a una legislazione a protezione di chi svolge attività di ricerca nel campo della sicurezza informatica, in Italia ancora tutto tace.

La consapevolezza del problema in ambito europeo, ben evidenzia che è possibile attivarsi per promuovere – e non vessare – le azioni degli hacker etici. In Italia, al momento, si preferisce voltarsi dall’altra parte, con il rischio (più che concreto) che chi scopre una grave vulnerabilità in un software della Pubblica Amministrazione (PA) o in un’applicazione sviluppata da un soggetto privato non la segnali, con il preciso intento di scongiurare un provvedimento giudiziario.

La realtà è proprio questa: chi segnala vulnerabilità di sicurezza in Italia rischia grosso. Accade spesso che anche chi segnala responsabilmente un problema di sicurezza sia chiamato a rispondere di accesso abusivo ad un sistema informatico o telematico (art. 615 ter codice penale).

Il tema oggetto di questo articolo ci sta particolarmente a cuore. Eppure, provando a coinvolgere i soggetti di competenza, ad oggi non abbiamo ricevuto riscontri.

Parlando di piattaforme della PA, l’orientamento sarebbe quello di autorizzare e accettare segnalazioni di vulnerabilità da parte di soggetti certificati, ossia di individui ritenuti affidabili e in grado di fornire report attendibili, con un approccio corretto e responsabile. Posto che al momento non ci risultano novità in tal senso, questo tipo di approccio non pare comunque sufficiente per innescare quel circolo virtuoso che vede gli hacker etici come un pezzetto essenziale del puzzle. Avere la possibilità di conoscere e risolvere tempestivamente le vulnerabilità di sicurezza, è il miglior modo per proteggere qualunque tipo di business. E questo punto, probabilmente, non è ancora chiaro a molti.

Credit immagine in apertura: iStock.com – gorodenkoff