Una panoramica sul mondo della Sicurezza Informatica, del Networking, della Virtualizzazione e non solo. Blog particolarmente indicato per i reparti IT che comunque alterna articoli scritti per specialisti con articoli formulati con linguaggio semplice e comprensibile a tutti.

Ogni articolo di questo blog è stato integralmente scritto dall'autore. Il contenuto è completamente originale e la riproduzione, anche parziale, è vietata salvo autorizzazione.

giovedì 17 ottobre 2019

Leggi vigenti e tecnici, come non commettere (gravi) errori legali

Sistemisti e tecnici informatici spesso sottovalutano le leggi che regolamentano il nostro mestiere. Quanti prendono alla leggera il far eseguire un software di teleassistenza ad un Cliente che non ha siglato esplicitamente il consenso? Non è difficile, in questo campo, commettere un illecito penale e ritrovarsi nei guai. Capiamo insieme quali sono i limiti e quali le precauzioni attraverso le quali tutelare un mestiere che si muove sempre su una sottile linea di demarcazione tracciata tra etica, legalità e necessità tecniche.


Il padre di ogni articolo è il 615ter. C.P., ovvero:

Chiunque abusivamente si introduce in un sistema informatico o telematico protetto da misure di sicurezza, ovvero vi si mantiene contro la volontà espressa o tacita di chi ha il diritto di escluderlo, è punito con la reclusione fino a tre anni.

La pena è della reclusione da uno a cinque anni:

1) se il fatto è commesso da un pubblico ufficiale o da un incaricato di un pubblico servizio, con abuso dei poteri, o con violazione dei doveri inerenti alla funzione o al servizio, o da chi esercita anche abusivamente la professione di investigatore privato, o con abuso della qualità di operatore del sistema;
2) se il colpevole per commettere il fatto usa violenza sulle cose o alle persone, ovvero se è palesemente armato;
3) se dal fatto deriva la distruzione o il danneggiamento del sistema o l'interruzione totale o parziale del suo funzionamento, ovvero la distruzione o il danneggiamento dei dati, delle informazioni o dei programmi in esso contenuti.

Qualora i fatti di cui ai commi primo e secondo riguardino sistemi informatici o telematici di interesse militare o relativi all'ordine pubblico o alla sicurezza pubblica o alla sanità o alla protezione civile o comunque di interesse pubblico, la pena è, rispettivamente, della reclusione da uno a cinque anni e da tre a otto anni.
Nel caso previsto dal primo comma il delitto è punibile a querela della persona offesa; negli altri casi si procede d'ufficio.

Fin qui è evidente, non si scherza, ed è ben chiaro il campo di applicazione. Ma proviamo a fare degli esempi pratici:
  • Il ragazzetto che incautamente per arrotondare la paghetta si scrive 2 righe di VB e crea un ransomware, incorre nel comma 3 con l'aggravante di distruzione di dati, che prevede la reclusione da 1 a 5 anni. Sicuramente a questo articolo si aggiungerà il fine estorsivo (da 5 a 10 anni di reclusione nella variante più leggera).
  • Il tecnico che, per eseguire un intervento occasionale richiesto verbalmente, fa scaricare all'Utente Finale di un Cliente un software di teleassistenza, si espone alla possibilità che il responsabile IT o l'AD del Cliente stesso possano ritenere questo un accesso non autorizzato, con le conseguenze del caso. Per non incorrere in problemi, il consiglio è quello di avere sempre per iscritto, da parte di un responsabile o dell'Amministratore, la richiesta di intervento tecnico. Gli interventi in regime manutentivo esulano da questa dinamica in quanto regolamentati da un contratto di manutenzione che, a sua volta, dovrebbe prevedere la nomina della figura correttamente inquadrata all'interno del contesto del GDPR.
Qui c'è un risvolto estremamente interessante. La Corte di Cassazione (27/10/2011 n.4694 Sez. U) ha sancito il campo di applicazione del 615ter anche quando qualcuno, pur munito legittimamente di password, utilizzi quest'ultima per ragioni diverse da quelle proprie del suo incarico. E si aprono scenari estremamente interessanti che vediamo con degli esempi:
  • Il tecnico configura un FileServer ma, erroneamente, all'account del magazziniere ha dato privilegi per accedere all'area dell'amministrazione. Questo non solleva il magazziniere dalla responsabilità di non accedere ad aree a lui non concesse. L'abilitazione del proprio account, sostanzialmente, non è un giustificativo valido ad eccedere ed abusare dei propri privilegi.
  • Il tecnico che si deve occupare esclusivamente delle stampanti ha ottenuto la password di un utente amministrativo del dominio Active Directory affinchè il dispositivo di stampa possa collegarsi con quest'ultimo per ricevere l'elenco degli utenti. Il tecnico che utilizzi queste credenziali per altri fini, pur avendole ottenute legittimamente, sta commettendo l'illecito penale di cui sopra.
  • Il tecnico curioso che trova su un monitor di servizio in un aeroporto ID e password di un teamviewer e tenta di accedervi, anch'esso incorre nel 615ter. (il possedere le credenziali non lo autorizza ad accedere al sistema).
In sostanza la Cassazione ha sancito che, colui che pur essendo abilitato, acceda o si mantenga in un sistema informatico o telematico violando le condizioni ed i limiti risultanti dal complesso delle prescrizioni impartite dal titolare del sistema per delimitarne l'impiego, commette un illecito correlato al 615ter. indipendentemente dalla materiale possibilità di accedere indiscriminatamente a tutti i dati (anche nel privato).


Art. 615 quater, detenzione di codici di accesso:

Chiunque, al fine di procurare a sé o ad altri un profitto o di arrecare ad altri un danno, abusivamente si procura, riproduce, diffonde, comunica o consegna codici, parole chiave o altri mezzi idonei all'accesso ad un sistema informatico o telematico, protetto da misure di sicurezza, o comunque fornisce indicazioni o istruzioni idonee al predetto scopo, è punito con la reclusione sino a un anno e con la multa sino a cinquemilacentosessantaquattro euro.
La pena è della reclusione da uno a due anni e della multa da cinquemilacentosessantaquattro euro a diecimilatrecentoventinove euro se ricorre taluna delle circostanze di cui ai numeri 1) e 2) del quarto comma dell'articolo 617quater.

Qui c'è poco da commentare: le password dei nostri Clienti sono sacre. Diffonderle arbitrariamente ottenendo un vantaggio significa compiere un illecito.


Art. 617 quater, un altro interessante articolo:

Chiunque fraudolentemente intercetta comunicazioni relative a un sistema informatico o telematico o intercorrenti tra più sistemi, ovvero le impedisce o le interrompe, è punito con la reclusione da sei mesi a quattro anni.
Salvo che il fatto costituisca più grave reato, la stessa pena si applica a chiunque rivela, mediante qualsiasi mezzo di informazione al pubblico, in tutto o in parte, il contenuto delle comunicazioni di cui al primo comma.
I delitti di cui ai commi primo e secondo sono punibili a querela della persona offesa.
Tuttavia si procede d'ufficio e la pena è della reclusione da uno a cinque anni se il fatto è commesso:
1) in danno di un sistema informatico o telematico utilizzato dallo Stato o da altro ente pubblico o da impresa esercente servizi pubblici o di pubblica necessità;
2) da un pubblico ufficiale o da un incaricato di un pubblico servizio con abuso dei poteri o con violazione dei doveri inerenti alla funzione o al servizio, ovvero con abuso della qualità di operatore del sistema;
3) da chi esercita anche abusivamente la professione di investigatore privato.

Facciamo qualche esempio:
  • Abbiamo acceso uno sniffer e stiamo facendo un Man In The Middle intercettando il traffico.
  • Il Cliente ci ha chiesto di fare un'analisi di rete, il consiglio è quello di avere sempre un'autorizzazione scritta ad effettuare qualsiasi operazione che comporti lo sniffing o il dump del traffico.

Considerazioni

Ovviamente non ho trattato volontariamente la frode informatica (Art. 640ter C.P.), atto volontario con scopi ben delineati. L'articolo ha un fine diverso (per quanto io non sia un giurista, mi perdonino i lettori specializzati ai quali invito e, anzi, chiedo eventuali correzioni), ovvero quello di sensibilizzare chi di mestiere fa questo e che, a volte, incautamente, ingenuamente o involontariamente incorre in azioni che potrebbero avere risvolti estremamente seri e complessi.



Discaimer: Ogni articolo di questo blog è stato integralmente scritto dall'autore. Il contenuto è completamente originale e la riproduzione, anche parziale, è vietata salvo autorizzazione.