Oltreoceano stanno lavorando per disciplinare la giustizia fai-da-te per chi subisce sgradite incursioni sui propri sistemi informatici aziendali o sui dispositivi personali
Mala tempora currunt. Il risvolto digitale del nostro pianeta attraversa un periodo indiscutibilmente difficile. Forse, l’atmosfera è infeltrita dal sovraffollamento di moderni necrofori che rimuovono quel che resta delle vittime dei cyber-attacchi. Probabilmente, sono i troppi monatti hi-tech a sottolineare la criticità della situazione. In ogni caso, l’atmosfera è pesante. Due deputati a stelle (50 e non 5) e strisce hanno presentato un disegno di legge che mira ad abilitare le legittime difesa e reazione di chi ha subito una incursione da parte di presunti pirati informatici. Quella che si intravede in prospettiva è una sorta di miniaturizzata “licenza di uccidere” non rilasciata a leggendari agenti segreti, ma riconosciuta al quisque de populo, indipendentemente sia stato “violato” a livello individuale o nel contesto organizzativo di appartenenza.
Il provvedimento in questione, che si chiama “Active Cyber Defense Act” (ACDC) e va a emendare uno dei capisaldi della normativa in materia di crimine informatico (ovvero il “Computer Fraud and Abuse Act”), autorizza chi è stato hackerato a organizzare ricognizioni, cacce al colpevole e spedizioni punitive. In termini pratici, chi è finito nel mirino dei pirati informatici può uscire dalla propria rete e intraprendere l’itinerario inverso a quello percorso da chi ha compiuto l’aggressione. L’obiettivo è di raggiungere la rampa di lancio degli invisibili missili piovuti sui computer presi a bersaglio, così da identificare il responsabile, intrufolarsi nei suoi apparati, cancellare ogni informazione questo possa aver sgraffignato, sviluppare e consolidare metodologie e tecnologie per tracciare rapidamente la locazione fisica dell’aggressore.
Dalle nostre parti, ci sarebbe qualche difficoltà a immaginare la legittimazione di una simile condotta. Il codice penale italiano parla fin troppo chiaro in proposito. Basta andare a leggere quel che dice l’articolo 392 c.p. per rendersi conto che è preferibile astenersi da iniziative che invece oltre oceano potrebbero diventare la regola. Chiunque agisce allo scopo di esercitare un proprio diritto (e nei dintorni di un sistema informatico non si fatica a immaginarne più d’uno a cominciare dalla riservatezza dei dati personali, oggi tanto di moda) e – pur potendo ricorrere all’Autorità giudiziaria – “si fa arbitrariamente ragione da sé medesimo” mediante violenza sulle cose, è punito (a querela della persona offesa) con la multa fino a cinquecentosedici euro (un milione di lire di un tempo). Il terzo comma di quella norma specifica che “si ha violenza sulle cose allorché… viene impedito o turbato il funzionamento di un sistema informatico o telematico”. Fin troppo evidente. Chi vede l’esiguo importo della sanzione pecuniaria sarebbe indotto a ritenere “conveniente” azzardare simili mosse, ma è opportuno segnalare che un simile comportamento incorpora anche altre violazioni alle norme inserite nel codice penale dalla storica legge 23 dicembre 1993 n. 547 in materia di computer crime. Chi vuol far di conto è costretto a considerare l’accesso abusivo, il danneggiamento o altre iniziative delittuose che addizionano anni di reclusione a chi si renda protagonista di qualche vendetta privata.
Il contesto merita di essere disciplinato e la soluzione americana può essere motivata da un possibile effetto di deterrenza: prima di attaccare, il saper di poter essere “ricambiato” può ridurre l’entusiasmo che solitamente accompagna gli arrembaggi digitali. Ma a pensarci bene, cosa accadrebbe se l’aggressore fosse in grado di camuffare alla perfezione la propria identità e provenienza? Come andrebbe a finire se la vittima (ingannata da mille trucchi) reagisse andando a prendersela con qualcuno che – totalmente estraneo – è stato solo adoperato con lo scippo del suo numero IP o di altro elemento a lui riconducibile?