Impunità dell'hacking etico: un parere legale chiarisce la questione
Su incarico dell'Istituto nazionale di prova per la sicurezza informatica NTC, lo studio legale Walder Wyss ha redatto un parere legale dettagliato dal titolo "Responsabilità penale dell'hacking etico". Uno dei risultati della perizia è che l'hacking etico è esente da pena se sono soddisfatte alcune condizioni quadro.
L'Istituto nazionale di prova per la sicurezza informatica NTC verifica ciò che altrimenti non viene testato. Esamina i prodotti e le infrastrutture digitali alla ricerca di vulnerabilità non testate o non sufficientemente testate, anche di propria iniziativa. Il problema: l'esecuzione di analisi di vulnerabilità - nella misura in cui comportano la penetrazione (tentata o effettiva) di un sistema di elaborazione dati altrui (test di penetrazione) - è potenzialmente in conflitto con il reato di hacking ai sensi dell'art. 143bis comma 1 CP. In base a questo articolo, viene punito "chiunque, mediante apparecchiature di trasmissione dati, penetri in modo non autorizzato in un sistema di elaborazione dati di terzi appositamente protetto contro il suo accesso". In breve: senza un mandato esplicito e senza consenso, l'individuazione di vulnerabilità di sicurezza è punibile secondo la legge svizzera non appena viene superata la sicurezza di accesso di un sistema straniero o viene fatto un tentativo in tal senso. Inoltre, il Codice penale punisce la manipolazione e l'alterazione dei dati.
Necessità giustificabile
Se nel corso dell'analisi delle vulnerabilità vengono violate norme penali, in determinate circostanze è possibile invocare la necessità giustificabile ai sensi dell'art. 17 CP. L'intrusione in un sistema è giustificata solo se vi sono indicazioni concrete che un sistema è affetto da potenziali vulnerabilità di sicurezza. Inoltre, la scoperta, la documentazione e l'informazione su queste vulnerabilità di sicurezza devono servire a scongiurare un accesso doloso. In termini soggettivi, è un prerequisito che la persona autorizzata ad agire in caso di emergenza sia consapevole della situazione di emergenza e agisca per salvare il bene giuridico minacciato.
Pubblicazione dei risultati delle analisi di vulnerabilità
Prima di una pubblicazione dettagliata, le vulnerabilità di sicurezza identificate e documentate dovrebbero essere completamente affrontate. In caso contrario, il livello di dettaglio di una pubblicazione dovrebbe essere ridotto alle informazioni necessarie. In questo modo gli utenti del sistema saranno avvertiti adeguatamente e avranno la possibilità di proteggersi.
Con la pubblicazione del parere legale, l'NTC fornisce un contributo all'attuale Strategia nazionale in materia di cibernetica della Confederazione, che mira a istituzionalizzare l'hacking etico. Il laboratorio di test e verifica del Cantone di Zugo lavora a stretto contatto con istituti di ricerca, aziende private di sicurezza informatica ed esperti internazionali. L'NTC esiste dal dicembre 2020.
Fonte e ulteriori informazioni: www.ntc.swiss
