Di recente ha suscitato qualche polemica la risposta che l’Agenzia nazionale per la cybersecurity ha dato a uno spontaneo “segnalatore di vulnerabilità” al quale veniva evidenziato che il modo in cui era stato individuato il “buco” potrebbe avere violato delle norme penali (per di più, vista la natura pubblica della risorsa “attaccata”, anche perseguibili d’ufficio, vale a dire senza che la vittima si lamenti del fatto).
La risposta dell’ACN, giuridicamente rigorosa e frettolosamente criticata, è la prova che nella comunità degli “esperti di sicurezza” le vecchie abitudini sono dure a morire. Sono passati vent’anni da quando scrissi un articolo che affrontava l’argomento, ma nonostante il tempo, siamo ancora allo stesso punto: qualcuno (continua a) pensa(re) che la propria “superiore conoscenza” o un non meglio identificato “dovere morale” siano sufficienti a giustificare la commissione di un reato, cioè quello che, con un linguaggio già vecchio ai tempi, la legge sui reati informatici chiama “accesso abusivo a sistema telematico”.
In realtà, piaccia o no, se si commette un reato — e dimostrare, senza autorizzazione, che una vulnerabilità funziona su un sito specifico lo è [usando tecniche come “port scanning” e “war driving” ndr.] — si deve essere puniti. Al massimo, se effettivamente fossero dimostrate le “buone intenzioni” si potrebbe avere diritto a uno sconto di pena per avere agito, come dice il Codice penale, per “motivi di particolare valore morale o sociale”.
In altri termini, un conto è trovare una vulnerabilità in un software e segnalarla (ma anche in questo caso ci sono problemi relativi alla tutela della proprietà industriale e intellettuale dello sviluppatore); un altro conto è dire che il sistema raggiungibile tramite il dominio abc.xyz è vulnerabile da un particolare attacco perché lo si è effettivamente sferrato. Nel primo caso, al netto di altri potenziali problemi, non si starebbe commettendo direttamente un accesso abusivo; nel secondo sì. Simple as that come direbbero gli anglosassoni.
“Dovere morale” o “ricerca indipendente” sono giustificazioni molto praticate da chi esegue penetration test non autorizzati. A volte si tratta di persone effettivamente in buona fede, ma prive della consapevolezza giuridica di quello che stanno facendo. In altri casi, e non da oggi, siamo di fronte a soggetti che, avvolti nel mantello da hacker — o meglio, indossata la felpa con il cappuccio che nell’iconografia mainstream ha sostituito “l’adolescente con i brufoli che ‘buca’ la NASA o il Pentagono”— cercano visibilità, lavoro o, più banalmente, entrambe le cose.
A prescindere dalle motivazioni che riguardano casi specifici, il dibattito pubblico sui pen-test non autorizzati vede contrapposti i sostenitori della loro legalizzazione ai “rigoristi” che, invece, continuano a ritenere che una pratica del genere sia da scoraggiare e, anzi, da sanzionare. Purtroppo, ed è inevitabile, questo è un dialogo tra sordi perché le due posizioni sono basate su presupposti inconciliabili. Da un lato, anche prendendo per buona la loro buona fede, ci sono i sostenitori del hacking etico, dall’altro ci sono i “legisti” che pongono il “rule of law” — il primato della legge — al di sopra di ogni motivazione individuale.
Posto in questi termini, allora, il dibattito sui pen-test non è più su questioni tecniche o sul cavillare in definizioni giuridiche, ma riguarda un tema che da millenni occupa giuristi e filosofi: dobbiamo seguire l’etica oppure la legge? Abbiamo o meno il diritto di fare “ciò che è giusto”? Intuitivamente, anche per via della diffusa convinzione indotta dal finto egalitarismo da social network che le proprie idee abbiano un valore assoluto, la risposta propenderebbe per la superiorità dell’etica sulla legge. Poi, però, ci si dovrebbe chiedere di quale etica stiamo parlando, cioè se di quella individuale o quella di Stato.
La prima è irrilevante perché le convinzioni individuali valgono per sé e non per gli altri; mentre la seconda è incompatibile con un sistema democratico, perché l’etica di Stato è un attributo delle teocrazie anche laiche, come la Germania nazista o l’Unione Sovietica. Se vogliamo continuare a vivere in democrazia, quindi, non abbiamo alternative al rispettare la legge (non importa quanto imperfetta) e se la legge punisce i pen-test non autorizzati, allora cosi sia. Chi li esegue, sa cosa rischia.
Nulla vieta che, nella dimensione politica, si possa discutere se non sia il caso di legalizzare i pen-test abusivi e, anzi, vista la situazione sarebbe anche urgente affrontare il tema. Tuttavia, una riflessione del genere dovrebbe anche coinvolgere la irresponsabilità (nel senso di mancanza di una chiara responsabilità giuridica) delle software house e di chi utilizza i loro prodotti per fornire servizi al pubblico. È quello di cui si sta parlando, a livello comunitario, con il Cyber Resilience Act il regolamento che dovrebbe imporre ai produttori di hardware e software l’esecuzione di test di sicurezza come parte integrante della documentazione tecnica. Non è una soluzione perfetta, ma è un primo passo verso il traguardo della responsabilizzazione di tutti gli elementi della filiera. Altre possibilità immediatamente praticabili per regolamentare i pen-test sarebbero il recepimento attualmente in corso della Direttiva NIS2 e del secondo protocollo addizionale alla Convenzione di Budapest sul crimine informatico. Dunque, gli strumenti normativi ci sono tutti e sono già in corso di adozione. Serve dunque solo la volontà politica di affrontare la questione pen-test, non la “motivazione etica” soggettiva, quale che sia.
