Ci occupiamo adesso degli aspetti operativi attinenti alle attività di Vulnerability Assessment, inclusi gli aspetti legali riguardanti la necessità di compilare un idoneo modello di liberatoria, al fine di prevenire possibili responsabilità legali derivanti da accesso abusivo a sistema informatico.

Attività di Vulnerability Assessment e Pentesting

Le attività di Vulnerability Assessment sono propedeutiche a quelle di Penetration Testing.

Esse consistono nella raccolta di informazioni sensibili, ottenute anche sfruttando fonti aperte di pubblico dominio interrogate tramite tools di Open Source Intelligence (OSINT).

Tra le fonti aperte vi rientrano le informazioni disponibili sul web e sui social media.

La raccolta e l’organizzazione delle informazioni reperite tramite Osint può integrare la profilazione e il dossieraggio, e come tali devono essere debitamente autorizzate

Il vulnerability assessment (VA) prevede delle fasi specifiche quali:

  • ottenere il pieno consenso del cliente;
  • firma dell’accordo di non divulgazione;
  • programmazione delle attività di collaudo;
  • esecuzione dei test di sicurezza;
  • analisi dei risultati ottenuti;
  • predisposizione del report finale per il cliente.

Attività di Penetration Testing

Le attività di penetration testing sono quelle più rappresentative degli ethical hacker, al punto che il termine stesso di ethical hacking viene spesso considerato sinonimo di tali attività.

L’idea sottostante ai penetration test è quella di tentare di penetrare le difese di un’organizzazione sfruttando le vulnerabilità rilevate nella fase del Vulnerability Assesment.

Nel realizzare i penetration test gli hacker etici sono tenuti ad osservare uno specifico codice deontologico, al fine di prevenire possibili danni al sistema e al patrimonio informativo del Cliente.

Di particolare importanza la necessità di ottenere una adeguata autorizzazione da parte del Cliente, al fine di prevenire il rischio di imputazione per il reato di Accesso Abusivo.

SCARICA IL MODELLO DI LIBERATORIA


Di seguito analizziamo gli aspetti normativi dell’accesso abusivo a sistema informatico.

Accesso abusivo ad un sistema informatico o telematico (art. 615-ter c.p.)

Chiunque abusivamente si introduce in un sistema informatico o telematico protetto da misure di sicurezza ovvero vi si mantiene contro la volontà espressa o tacita di chi ha il diritto di escluderlo, è punito con la reclusione fino a tre anni.

La pena è della reclusione da uno a cinque anni:

1) se il fatto è commesso da un pubblico ufficiale o da un incaricato di un pubblico servizio, con abuso dei poteri o con violazione dei doveri inerenti alla funzione o al servizio, o da chi esercita anche abusivamente la professione di investigatore privato, o con abuso della qualita´ di operatore del sistema;

2) se il colpevole per commettere il fatto usa violenza sulle cose o alle persone, ovvero se e´ palesemente armato;

3) se dal fatto deriva la distruzione o il danneggiamento del sistema o l´interruzione totale o parziale del suo funzionamento, ovvero la distruzione o il danneggiamento dei dati, delle informazioni o dei programmi in esso contenuti.

Qualora i fatti di cui ai commi primo e secondo riguardino sistemi informatici o telematici di interesse militare o relativi all´ordine pubblico o alla sicurezza pubblica o alla sanità o alla protezione civile o comunque di interesse pubblico, la pena è, rispettivamente, della reclusione da uno a cinque anni e da tre a otto anni.

Nel caso previsto dal primo comma il delitto è punibile a querela della persona offesa; negli altri casi si procede d´ufficio (1).

(1) Articolo aggiunto dall´art. 4, L. 23 dicembre 1993, n. 547.

Il reato di accesso abusivo ad un sistema informatico o telematico (art. 615-ter codice penale)

La norma tutela il c.d. domicilio informatico, e reprime qualsiasi introduzione in un sistema informatico posta in essere contro la precisa volontà del legittimo titolare del sistema informatico.

I sistemi tutelati dalla norma in oggetto sono dunque solo quelli protetti da misure di sicurezza, consistenti in dispositivi idonei ad impedire l’accesso al sistema a chi non sia autorizzato.

In realtà l’idoneità delle misure di sicurezza deve essere valutata in relazione alla sussistenza della volontà contraria del titolare del sistema all’intromissione e alla permanenza nello stesso da parte di soggetti non autorizzati.

Pertanto anche la richiesta di una semplice password di accesso è considerata sufficiente ad affermare tale volontà contraria, a prescindere dalla aggirabilità della misura scelta.

La “responsible disclosure”

La divulgazione responsabile (responsible disclosure) consiste nella prassi, a cui possono decidere di aderire sia aziende che professionisti del settore, in base alla quale nel caso in cui venga scoperta anche accidentalmente l’esistenza di una vulnerabilità all’interno di un prodotto software, della vulnerabilità si dà notizia preventivamente al produttore, affinchè adotti le soluzioni (patch) ritenute adeguate, anzichè renderla immediatamente di pubblico dominio.

Solo dopo che sia trascorso un ragionevole periodo di tempo dalla notifica della vulnerabilità al produttore del software, si considera “responsabile” la divulgazione della scoperta.

Perseguibilità a querela di parte del reato

Dal punto di vista penale, l’art. 615 ter sanziona l’accesso abusivo in quanto tale, a prescindere dalle motivazioni che hanno indotto l’autore ad effettuare la violazione (motivazioni che al più possono incidere sulla commisurazione della pena disposta dal giudice).

La perseguibilità del reato nei casi di cui al 1° comma è prevista tuttavia a querela di parte; pertanto è il titolare del sistema che decide di esporre denuncia-querela avverso l’accesso abusivo, così come eventualmente ritirare la denuncia.

Da tali considerazioni si potrebbe dedurre l’esistenza di ampi spazi di manovra per le attività di ethical hacking e di responsible disclosure.

In realtà tali spazi sono in concreto limitati dalla discrezionalità accordata dalla legge al titolare del sistema di denunciare o meno l’accesso abusivo.

L’attività dell’Ethical Hacking è quindi da considerarsi borderline, non potendosi da un lato rinvenire generiche e indefinite aree di non punibilità, e dall’altro considerare sempre integrato il reato, a prescindere dalle circostanze concrete in cui esso matura.

Queste considerazioni ci conducono ad analizzare le possibili cause di esclusione del reato.

Cause di esclusione del reato

Le cause di esclusione del reato sono circostanze al verificarsi delle quali viene meno l’antigiuridicità di una condotta, che per altri versi sarebbe illecita di per se stessa.

Le cause di esclusione del reato sono tassative, ed escludono l’antigiuridicità di una condotta; se non fossero previste cause di esclusione del reato, la condotta penalmente rilevante sarebbe sanzionabile sempre e comunque.

Le scriminanti

Le circostanze si dicono scriminanti quando la loro presenza rende lecita una condotta altrimenti ritenuta penalmente rilevante e sanzionabile.

Le esimenti

Le esimenti sono circostanze che mantengono inalterata sia l’antigiuridicità della condotta che la colpevolezza dell’autore, ma non rendono applicabili le sanzioni previste.

In altri termini, l’autore della condotta illecita rimane colpevole del reato commesso, tuttavia non è punibile in quanto la sanzione penale non è applicabile; possono però esserci ripercussioni in ambito civile (risarcimento del danno).

Consenso del titolare

Il consenso del titolare del diritto esclude l’illiceità del fatto ai sensi art. 50 c.p., secondo il quale “Non è punibile chi lede o pone in pericolo un diritto, col consenso della persona che può validamente disporne”.

Il consenso può riguardare solo diritti disponibili del titolare ed è assoggettato ai seguenti vincoli:

  • deve essere prestato dal soggetto titolare del diritto;
  • il titolare deve essere capace di prestarlo;
  • deve sussistere al momento del fatto;

Il consenso è sempre revocabile da parte del titolare.

Lo stesso art. 615 ter al 1° comma stabilisce l’illiceità dell’accesso effettuato “contro la volontà espressa o tacita di chi ha il diritto di escluderlo”: è questa la base giuridica che sostiene la prassi di far firmare al titolare del sistema informatico la liberatoria per le attività di ethical hacking quali il penetration testing.

Da tale prassi tuttavia non deve discendere l’erronea convinzione che la liberatoria renda sempre e comunque lecita l’attività dell’ethical hacker, in quanto essa sembra più rappresentare una condizione esimente che scriminante.

Torna all'Indice



© Innovation-Exploited.com - All rights reserved - Riproduzione Riservata