SICUREZZA INFORMATICA

La difesa anti-malware è sempre legittima? Troppe incognite sulla cyber security

“Un attacco informatico è come il ghiaccio sporco sulle strade, quando te ne accorgi è sempre troppo tardi” scriveva Dan Verton. Ma la velocità di reazione può far entrare in rotta di collisione con la normativa. Ecco i nodi da chiarire

08 Mar 2019
Stefano Aterno

Professore a contratto presso l'università di Foggia, avvocato

cybersecurity_Featured

L’aumento vertiginoso di cybercrime favorito dall’accelerazione di nuove tecnologie pone una serie di interrogativi su cui è necessario far chiarezza. Fino a che punto lo specialista ha carta bianca per difendere sistemi a rischio? Occorre valutare caso per caso le condizioni poste dagli ambiti normativi così da scongiurare che il consulente possa trovarsi indagato per accesso abusivo al sistema informatico. Ecco una panoramica dei rischi connessi agli eventuali conflitti tra norme e sicurezza. Utile in un periodo in cui si fa un gran parlare di cyber security a tutti i livelli. I tempi in cui fu pubblicato un bel libro di Dan Verton ( 2002) sulla cyber security e sul cyber terrorismo sono molto lontani, ma è sempre attuale il suo monito, presente nella testa di ogni operatore: un attacco cyber è come il ghiaccio sporco sulle strade, quando te ne accorgi è sempre troppo tardi.

Negli anni successivi i fatti hanno dimostrato le sue preoccupazioni e non soltanto le aziende ma interi Paesi sovrani sono letteralmente terrorizzati dagli effetti degli attacchi cibernetici. Sia sotto un profilo tecnico infrastrutturale (e quindi anche economico) sia sotto il profilo politico, sia sotto quello della segretezza delle informazioni che potrebbero essere esfiltrate.

Il margine di intervento a disposizione degli specialisti in security

Numerosi sono gli episodi accaduti che hanno aumentato la compliance delle aziende nel comparto sicurezza e sicurezza informatica ma soprattutto molti sono i prodotti e gli investimenti in termini anche di risorse specializzate che aziende, forze di polizia, pubbliche amministrazioni e servizi di sicurezza stanno impegnando su questo settore.

WHITEPAPER
6 elementi da considerare per un sistema telefonico in cloud adatto alla tua azienda enterprise
Cloud
Risorse Umane/Organizzazione

Security Operation Center (SOC), veri e propri centri interni o esterni di sicurezza informatica, consulenti, ingegneri e ditte altamente specializzate nel settore formano scudi e protezione, per quanto possibile, alla massiccia offensiva cibernetica a cui oggi sono soggette le infrastrutture critiche del paese, le multinazionali e anche le piccole/medie aziende di informatica che spesso in qualità di sub-responsabili del trattamento gestiscono milioni di dati per conto di grandi top player.

Nell’azione di contrasto ai tentativi di attacco informatico, nell’analisi dei malware, dei virus e dei sistemi dai quali questi malware provengono, gli operatori tecnici informatici e consulenti possono effettuare qualsiasi operazione? È tutto legittimo oppure vi sono dei rischi concreti di commettere dei reati?

Fare penetration test o sfruttare le vulnerabilità o le password in chiaro lasciate nei codici sorgenti dei malware sono mosse che possono essere utilizzate per disinnescare la minaccia? Fino a dove può spingersi il consulente senza incorrere in un reato? Sono tutte domande non trascurabili soprattutto perché i limiti informatici del cyberspazio sono spesso molto più labili e indeterminati dei limiti fisici.

Se nel corso delle sue operazioni il consulente commette condotte di intrusione abusiva nel domicilio informatico altrui, o di danneggiamento di dati, informazioni, programmi e sistemi informatici altrui o di alterazione dei sistemi informatici e telematici, anche se finalizzati a tutelare la propria azienda da un tentativo di attacco o da una minaccia vi è il rischio che successivamente al deposito della relazione consulenziale o dopo la pubblicazione degli studi sul malware qualcuno faccia o faccia fare accertamenti giudiziari sui fatti relativi all’attacco informatico e il consulente poi si possa trovare indagato per accesso abusivo a sistema informatico o danneggiamento informatico. Anche se la condotta di intrusione è motivata da una necessità di comprendere più a fondo le cause, la provenienza dell’attacco e magari il luogo o lo spazio in cloud dove sono custoditi i dati illecitamente esfiltrati, qualcuno potrebbe ritenere configurabile un illecito penalmente rilevante.

Gli strumenti in mano al consulente

A prescindere dai casi di completa assenza dell’elemento psicologico richiesto per tali delitti (quindi del dolo) e quindi prescindendo dai semplici e banali casi di mera colpa anche se colpa cosciente o di una responsabilità colposa omissiva, non si può trascurare l’ipotesi in cui il consulente abbia e si sia prefigurato una volontà ben precisa di sfruttare quelle credenziali rinvenute o quella vulnerabilità trovata per accedere lo stesso all’interno di uno spazio informatico o effettuare certe operazioni al fine di tutelare l’azienda per la quale lavora o con la quale ha un contratto di consulenza.

In molti casi questi malware esfiltrano dati dai server della vittima e li mettono in modo automatico (e a prescindere dall’owner del programma) in spazi in cloud dedicati e prestabiliti. È abbastanza chiaro che un consulente o una società di cybersecurity tentino tutto il possibile, sempre ovviamente nei limiti della legittimità, per rientrare in possesso dei dati, per toglierli dalla disponibilità di soggetti terzi criminali o comunque seguano le tracce informatiche lasciate dagli hacker (quelli cattivi) e dai loro sistemi software.

La domanda da porsi è: il consulente deve fermarsi sulla porta non oltrepassando la soglia del domicilio informatico? Deve astenersi dal realizzare condotte di difesa attiva (differenze dalla difesa passiva) con sistemi Honeypot (“barattolo del miele” che funge da trappola o esca) e deve sempre e comunque fermarsi e non andare più avanti salvo avvisare le forze di polizia?

In quest’ultima ipotesi vale la pena di rilevare che in tali casi i tempi di reazione devono essere così rapidi che avvisare le forze di polizia specializzate (già oberate di lavoro e in ristrettezze spesso di uomini e mezzi), preparare la denuncia (anche solo per i casi di tentativi ?) e depositarla impiegano tempi così da risultare sufficienti a far sparire le tracce necessarie per assicurare i criminali alla giustizia.

È possibile che in tali specifici casi non siano ravvisabili delle condizioni scriminanti per tali operatori? È ben possibile che non sia invocabile una legittima difesa proporzionata all’offesa?

Perché sono dannose le soluzioni “fai da te”

Si potrebbe riflettere sulla scriminante dell’esercizio del diritto e dell’adempimento del dovere nelle quali entrambe le scriminanti poggiano sul principio di non contraddizione tra le norme dell’ordinamento, con l’unica differenza che nel primo caso, si lascia al soggetto il potere di scelta tra più possibilità di comportamento (essendo libero di esercitare o meno un suo diritto), mentre, nel secondo, tale facoltà manca, perché vi è l’obbligo di porre in essere la condotta lesiva.

Si tratta pur sempre di un conflitto tra norme che proibiscono e autorizzano uno stesso comportamento e in cui la norma sul diritto prevale sulla norma incriminatrice.

In questa sede non si vuole giustificare sempre e comunque l’indagine di soggetti privati fino ad arrivare a rendere libera ogni attività invasiva di indagine contro tutti e tutto. Assolutamente non è questo il senso dei concetti qui riportati. Le perplessità sorgono soltanto in quelle ipotesi ove vi è una reazione di difesa attiva a chiari e inequivocabili tentativi o condotte riuscite di attacco informatico. Quindi nessun caso di indagini informatiche invasive “fai da te” ma una giusta fase di difesa attiva e proattiva e una presa di coscienza che oltre ad un certo livello è bene informare l’Autorità giudiziaria anche attraverso le forze di polizia specializzate.

In conclusione, ad avviso di chi scrive occorre cominciare a ragionare su questi temi e verificare anche attraverso un dibattito che auspico costruttivo e informato se non vi siano già tutti gli strumenti per legittimare tali condotte e consentire una giusta reazione alle minacce del cybercrime.

@RIPRODUZIONE RISERVATA

Speciale PNRR

Tutti
Incentivi
PA
Sostemibilità
Analisi
Formazione
Salute digitale
Sicurezza
Sostenibilità
Digital Economy
Formazione
Trasferimento tecnologico, il Mise mette sul piatto 7,5 milioni
Strategie
PSN e Strategia Cloud Italia: a che punto siamo e come supportare la PA in questo percorso
Dispersione idrica
Siccità: AI e analisi dei dati possono ridurre gli sprechi d’acqua. Ecco gli interventi necessari
PNRR
Cloud, firmato il contratto per l’avvio di lavori del Polo strategico
Formazione
Competenze digitali, stanziati 48 milioni per gli Istituti tecnologici superiori
Iniziative
Digitalizzazione delle reti idriche: oltre 600 milioni per 21 progetti
Competenze e competitività
PNRR, così i fondi UE possono rilanciare la ricerca e l’Università
Finanziamenti
PNRR, si sbloccano i fondi per l’agrisolare
Sanità post-pandemica
PNRR, Missione Salute: a che punto siamo e cosa resta da fare
Strategie
Sovranità e autonomia tecnologica nazionale: come avviare un processo virtuoso e sostenibile
La relazione
Pnrr e PA digitale, l’alert della Corte dei conti su execution e capacità di spesa
L'editoriale
Elezioni 2022, la sfida digitale ai margini del dibattito politico
Strategie
Digitale, il monito di I-Com: “Senza riforme Pnrr inefficace”
Transizione digitale
Pnrr: arrivano 321 milioni per cloud dei Comuni, spazio e mobilità innovativa
L'analisi I-COM
Il PNRR alla prova delle elezioni: come usare bene le risorse e centrare gli obiettivi digitali
Cineca
Quantum computing, una svolta per la ricerca: lo scenario europeo e i progetti in corso
L'indice europeo
Desi, l’Italia scala due posizioni grazie a fibra e 5G. Ma è (ancora) allarme competenze
L'approfondimento
PNRR 2, ecco tutte le misure per cittadini e imprese: portale sommerso, codice crisi d’impresa e sismabonus, cosa cambia
Servizi digitali
PNRR e trasformazione digitale: ecco gli investimenti e le riforme previste per la digitalizzazione della PA
Legal health
Lo spazio europeo dei dati sanitari: come circoleranno le informazioni sulla salute nell’Unione Europea
Servizi digitali
PNRR e PA digitale: non dimentichiamo la dematerializzazione
Digital Healthcare transformation
La trasformazione digitale degli ospedali
Governance digitale
PA digitale, è la volta buona? Così misure e risorse del PNRR possono fare la differenza
Servizi digitali
Comuni e digitale, come usare il PNRR senza sbagliare
La survey
Pnrr e digitale accoppiata vincente per il 70% delle pmi italiane
Missione salute
Fascicolo Sanitario Elettronico alla prova del PNRR: limiti, rischi e opportunità
Servizi pubblici
PNRR: come diventeranno i siti dei comuni italiani grazie alle nuove risorse
Skill gap
PNRR, la banda ultra larga crea 20.000 nuovi posti di lavoro
Il Piano
Spazio, Colao fa il punto sul Pnrr: i progetti verso la milestone 2023
FORUMPA2022
PNRR e trasformazione digitale: rivedi i Talk di FORUM PA 2022 in collaborazione con le aziende partner
I contratti
Avio, 340 milioni dal Pnrr per i nuovi propulsori a metano
Next Generation EU
PNRR, a che punto siamo e cosa possono aspettarsi le aziende private
Fondi
Operativo il nuovo portale del MISE con tutti i finanziamenti per le imprese
Servizi comunali
Il PNRR occasione unica per i Comuni digitali: strumenti e risorse per enti e cittadini
Healthcare data platform
PNRR dalla teoria alla pratica: tecnologie e soluzioni per l’innovazione in Sanità
Skill
Competenze digitali, partono le Reti di facilitazione
Gli obiettivi
Scuola 4.0, PNRR ultima chance: ecco come cambierà il sistema formativo
Sistema Paese
PNRR 2, è il turno della space economy
FORUM PA 2022
FORUM PA 2022: la maturità digitale dei comuni italiani rispetto al PNRR
Analisi
PNRR: dalla Ricerca all’impresa, una sfida da cogliere insieme
Innovazione
Pnrr, il Dipartimento per la Trasformazione digitale si riorganizza
FORUM PA 2022
PA verde e sostenibile: il ruolo di PNRR, PNIEC, energy management e green public procurement
Analisi
PNRR, Comuni e digitalizzazione: tutto su fondi e opportunità, in meno di 3 minuti. Guarda il video!
Rapporti
Competenze digitali e servizi automatizzati pilastri del piano Inps
Analisi
Attuazione del PNRR: il dialogo necessario tra istituzioni e società civile. Rivedi lo Scenario di FORUM PA 2022
Progetti
Pnrr, fondi per il Politecnico di Torino. Fra i progetti anche IS4Aerospace
Analisi
PNRR, Colao fa il punto sulla transizione digitale dell’Italia: «In linea con tutte le scadenze»
La Svolta
Ict, Istat “riclassifica” i professionisti. Via anche al catalogo dati sul Pnrr
Analisi
Spazio, Colao fa il punto sul Pnrr: i progetti verso la milestone 2023
FORUM PA 2022
Ecosistema territoriale sostenibile: l’Emilia Romagna tra FESR e PNRR
Il Piano
Innovazione, il Mise “centra” gli obiettivi Pnrr: attivati 17,5 miliardi
Analisi
PNRR: raggiunti gli obiettivi per il primo semestre 2022. Il punto e qualche riflessione
Analisi
PNRR: dal dialogo tra PA e società civile passa il corretto monitoraggio dei risultati, tra collaborazione e identità dei luoghi
Webinar
Comuni e PNRR: un focus sui bandi attivi o in pubblicazione
Analisi
Formazione 4.0: cos’è e come funziona il credito d’imposta
PA e Sicurezza
PA e sicurezza informatica: il ruolo dei territori di fronte alle sfide della digitalizzazione
PA e sicurezza
PNRR e servizi pubblici digitali: sfide e opportunità per Comuni e Città metropolitane
Water management
Water management in Italia: verso una transizione “smart” e “circular” 
LE RISORSE
Transizione digitale, Simest apre i fondi Pnrr alle medie imprese
Prospettive
Turismo, cultura e digital: come spendere bene le risorse del PNRR
Analisi
Smart City: quale contributo alla transizione ecologica
Decarbonizzazione
Idrogeno verde, 450 milioni € di investimenti PNRR, Cingolani firma
Unioncamere
PNRR, imprese in ritardo: ecco come le Camere di commercio possono aiutare
I fondi
Industria 4.0: solo un’impresa su tre pronta a salire sul treno Pnrr
Formazione
Trasferimento tecnologico, il Mise mette sul piatto 7,5 milioni
Strategie
PSN e Strategia Cloud Italia: a che punto siamo e come supportare la PA in questo percorso
Dispersione idrica
Siccità: AI e analisi dei dati possono ridurre gli sprechi d’acqua. Ecco gli interventi necessari
PNRR
Cloud, firmato il contratto per l’avvio di lavori del Polo strategico
Formazione
Competenze digitali, stanziati 48 milioni per gli Istituti tecnologici superiori
Iniziative
Digitalizzazione delle reti idriche: oltre 600 milioni per 21 progetti
Competenze e competitività
PNRR, così i fondi UE possono rilanciare la ricerca e l’Università
Finanziamenti
PNRR, si sbloccano i fondi per l’agrisolare
Sanità post-pandemica
PNRR, Missione Salute: a che punto siamo e cosa resta da fare
Strategie
Sovranità e autonomia tecnologica nazionale: come avviare un processo virtuoso e sostenibile
La relazione
Pnrr e PA digitale, l’alert della Corte dei conti su execution e capacità di spesa
L'editoriale
Elezioni 2022, la sfida digitale ai margini del dibattito politico
Strategie
Digitale, il monito di I-Com: “Senza riforme Pnrr inefficace”
Transizione digitale
Pnrr: arrivano 321 milioni per cloud dei Comuni, spazio e mobilità innovativa
L'analisi I-COM
Il PNRR alla prova delle elezioni: come usare bene le risorse e centrare gli obiettivi digitali
Cineca
Quantum computing, una svolta per la ricerca: lo scenario europeo e i progetti in corso
L'indice europeo
Desi, l’Italia scala due posizioni grazie a fibra e 5G. Ma è (ancora) allarme competenze
L'approfondimento
PNRR 2, ecco tutte le misure per cittadini e imprese: portale sommerso, codice crisi d’impresa e sismabonus, cosa cambia
Servizi digitali
PNRR e trasformazione digitale: ecco gli investimenti e le riforme previste per la digitalizzazione della PA
Legal health
Lo spazio europeo dei dati sanitari: come circoleranno le informazioni sulla salute nell’Unione Europea
Servizi digitali
PNRR e PA digitale: non dimentichiamo la dematerializzazione
Digital Healthcare transformation
La trasformazione digitale degli ospedali
Governance digitale
PA digitale, è la volta buona? Così misure e risorse del PNRR possono fare la differenza
Servizi digitali
Comuni e digitale, come usare il PNRR senza sbagliare
La survey
Pnrr e digitale accoppiata vincente per il 70% delle pmi italiane
Missione salute
Fascicolo Sanitario Elettronico alla prova del PNRR: limiti, rischi e opportunità
Servizi pubblici
PNRR: come diventeranno i siti dei comuni italiani grazie alle nuove risorse
Skill gap
PNRR, la banda ultra larga crea 20.000 nuovi posti di lavoro
Il Piano
Spazio, Colao fa il punto sul Pnrr: i progetti verso la milestone 2023
FORUMPA2022
PNRR e trasformazione digitale: rivedi i Talk di FORUM PA 2022 in collaborazione con le aziende partner
I contratti
Avio, 340 milioni dal Pnrr per i nuovi propulsori a metano
Next Generation EU
PNRR, a che punto siamo e cosa possono aspettarsi le aziende private
Fondi
Operativo il nuovo portale del MISE con tutti i finanziamenti per le imprese
Servizi comunali
Il PNRR occasione unica per i Comuni digitali: strumenti e risorse per enti e cittadini
Healthcare data platform
PNRR dalla teoria alla pratica: tecnologie e soluzioni per l’innovazione in Sanità
Skill
Competenze digitali, partono le Reti di facilitazione
Gli obiettivi
Scuola 4.0, PNRR ultima chance: ecco come cambierà il sistema formativo
Sistema Paese
PNRR 2, è il turno della space economy
FORUM PA 2022
FORUM PA 2022: la maturità digitale dei comuni italiani rispetto al PNRR
Analisi
PNRR: dalla Ricerca all’impresa, una sfida da cogliere insieme
Innovazione
Pnrr, il Dipartimento per la Trasformazione digitale si riorganizza
FORUM PA 2022
PA verde e sostenibile: il ruolo di PNRR, PNIEC, energy management e green public procurement
Analisi
PNRR, Comuni e digitalizzazione: tutto su fondi e opportunità, in meno di 3 minuti. Guarda il video!
Rapporti
Competenze digitali e servizi automatizzati pilastri del piano Inps
Analisi
Attuazione del PNRR: il dialogo necessario tra istituzioni e società civile. Rivedi lo Scenario di FORUM PA 2022
Progetti
Pnrr, fondi per il Politecnico di Torino. Fra i progetti anche IS4Aerospace
Analisi
PNRR, Colao fa il punto sulla transizione digitale dell’Italia: «In linea con tutte le scadenze»
La Svolta
Ict, Istat “riclassifica” i professionisti. Via anche al catalogo dati sul Pnrr
Analisi
Spazio, Colao fa il punto sul Pnrr: i progetti verso la milestone 2023
FORUM PA 2022
Ecosistema territoriale sostenibile: l’Emilia Romagna tra FESR e PNRR
Il Piano
Innovazione, il Mise “centra” gli obiettivi Pnrr: attivati 17,5 miliardi
Analisi
PNRR: raggiunti gli obiettivi per il primo semestre 2022. Il punto e qualche riflessione
Analisi
PNRR: dal dialogo tra PA e società civile passa il corretto monitoraggio dei risultati, tra collaborazione e identità dei luoghi
Webinar
Comuni e PNRR: un focus sui bandi attivi o in pubblicazione
Analisi
Formazione 4.0: cos’è e come funziona il credito d’imposta
PA e Sicurezza
PA e sicurezza informatica: il ruolo dei territori di fronte alle sfide della digitalizzazione
PA e sicurezza
PNRR e servizi pubblici digitali: sfide e opportunità per Comuni e Città metropolitane
Water management
Water management in Italia: verso una transizione “smart” e “circular” 
LE RISORSE
Transizione digitale, Simest apre i fondi Pnrr alle medie imprese
Prospettive
Turismo, cultura e digital: come spendere bene le risorse del PNRR
Analisi
Smart City: quale contributo alla transizione ecologica
Decarbonizzazione
Idrogeno verde, 450 milioni € di investimenti PNRR, Cingolani firma
Unioncamere
PNRR, imprese in ritardo: ecco come le Camere di commercio possono aiutare
I fondi
Industria 4.0: solo un’impresa su tre pronta a salire sul treno Pnrr

Articoli correlati