Visto il crescente interesse verso il mondo dell’hacking e considerato che molte volte le parole Hacking e Legge stridono (sono tra loro in contrasto) vi invitiamo a leggere questo breve testo, frutto e sunto di ricerche.
Partendo dal presupposto che i crimini informatici (tra cui la violazione della privacy) sono tutti puniti con sanzioni amministrative e/o condanne penali possiamo dividere questi in macrocategorie.
Download di materiale protetto da diritti d’autore: il download, lo streaming o più in generale la diffusione di contenuti protetti da Copyright (©) viene regolata dalla legge n. 633 del 1941. Questa legge è piuttosto ampia e frastagliata, per questo cerchiamo di guardarla da un punto di vista più pratico:
Scaricare, copiare o più in generale replicare prodotti coperti da diritti d’autore SOLO per USO PERSONALE è legale? Possiamo fare due distinguo:
ASSOLUTAMENTE NO. Stando a quanto è riportato nell’Art. 171 ter il compimento del fatto prevede come pena la reclusione da sei mesi a tre anni e una multa che va da euro 2.582 a euro 15.493.
Per quanto riguarda lo streaming è altresì necessario -per completezza- specificare che se per i titolari dei servizi che permettono l’accesso a file protetti da copyright valgono le sanzioni previste dagli articoli 171 e 171-ter, per gli utilizzatori non sono previste sanzioni a meno che questi non scarichino il materiale visualizzato; in quest’ultimo caso valgono le leggi citate nel distinguo di cui sopra.
Accesso abusivo: questa tipologia di reati viene regolamentata dalla legge 547/1993.
Prendiamo come esempio un caso banale: sospettiamo che il/la nostro/a fidanzato/a ci tradisca oppure siamo tanto gelosi da voler tenere sotto controllo i suoi profili social SENZA CHE CI SIA STATA FORNITA LA PASSWORD. Può configurarsi un reato? La risposta è ovviamente: sì, e questo si chiama accesso abusivo ad un sistema informatico e telematico.
Come riportato nell’Art. 615-ter: “Chiunque abusivamente si introduce in un sistema informatico o telematico protetto da misure di sicurezza ovvero vi si mantiene contro la volontà espressa o tacita di chi ha il diritto di escluderlo, è punito con la reclusione fino a tre anni. …”.
Esiste però la possibilità che in passato il partner CI ABBIA FORNITO LA PASSWORD perché magari le serviva una mano a cambiare la lingua, possiamo usare questa password per tenerlo sotto controllo? E bene: NO. Se il nostro partner ci ha fornito la sua password univocamente per modificare le impostazioni sulla lingua possiamo usarle per fare solo quello e nient’altro nelle modalità e nei tempi stabiliti; se “già che ci siamo” le sfruttiamo per altro scatta il reato regolamentato dalla legge di cui sopra.
Diffusione abusiva di password o token d’accesso. Possedere dati di accesso di terzi è legale?
La legge ci dice che:” Chiunque, al fine di procurare a sé o ad altri un profitto o di arrecare ad altri un danno, abusivamente si procura, riproduce, diffonde, comunica o consegna codici, parole chiave o altri mezzi idonei all´accesso ad un sistema informatico o telematico, protetto da misure di sicurezza, o comunque fornisce indicazioni o istruzioni idonee al predetto scopo, è punito con la reclusione sino ad un anno e con la multa sino a 5164 euro”.
Come possiamo leggere ed interpretare, il solo possesso dei dati -a patto che non siano stati reperiti per vie illecite-non costituirebbe un illecito a meno che non ci sia l’intenzione di procurare profitti personali arrecando danni. In ogni caso la diffusione è vietata.
Intercettazione e disturbo delle comunicazioni. Ho acquistato un jammer per vedere come è fatto. Posso utilizzarlo? Bene, a meno che tu non stia svolgendo una operazione di polizia o non abbia ricevuto un permesso speciale da parte di un ente governativo la risposte è NO. In Italia -ma più in generale in tutta Europa- l’utilizzo dei Jammer è categoricamente vietato e sanzionabile penalmente. Dal momento che questa tecnologia inibisce le comunicazioni e crea disagio a chiunque si trovi nel raggio d’azione dello strumento -forze dell’ordine incluse- l’utilizzo di questo strumento è in primis punito dall’Art. 340 che dice: “Chiunque, fuori dei casi previsti da particolari disposizioni di legge, cagiona una interruzione o turba la regolarità di un ufficio o servizio pubblico o di un servizio di pubblica necessità, è punito con la reclusione fino a un anno.”.
Inoltre come sancito dagli Art. 671 e 617-bis anche le intercettazioni e le eventuali pubblicazioni (anche parziali) circa il contenuto della comunicazione sono punibili con la reclusione da uno a cinque anni.
Frode informatica. È reato introdursi indebitamente -tramite alterazioni di un sistema informatico o tramite accesso abusivo- in un sistema altrui al fine di trarre un vantaggio dal danneggiamento dell’altro (che sia economico oppure volto ad ottenere dati riservati e/o brevetti o materiale protetto da diritti d’autore, ecc..).
Questa tipologia di reati è regolamentata dalla legge 547/1993 ed in particolare dall’Art. 640-ter che dice: “Chiunque, alterando in qualsiasi modo il funzionamento di un sistema informatico o telematico o intervenendo senza diritto con qualsiasi modalità su dati, informazioni o programmi contenuti in un sistema informatico o telematico o ad esso pertinenti, procura a sé o ad altri un ingiusto profitto con altrui danno, è punito con la reclusione da sei mesi a tre anni e con la multa da cinquantuno euro a milletrentadue euro. La pena è della reclusione da uno a cinque anni e della multa da trecentonove euro a millecinquecentoquarantanove euro se ricorre una delle circostanze previste dal numero 1) del secondo comma dell'articolo 640, ovvero se il fatto è commesso con abuso della qualità di operatore del sistema. ..”.
Il phishing rientra quindi nella frode informatica? In base al modo con cui si configura il reato la pratica del phishing può rientrare nella categoria di truffa o di frode informatica. Se questa pratica viene messa eseguita usando loghi contraffatti di istituti/istituzioni e/o mediante sostituzione di persone (e.g.: fingersi un tecnico che sta operando delle verifiche), nel momento in cui le password vengono utilizzate per accedere a degli account personali allora si configura il reato di truffa. Se invece il phishing viene attuato mediante l’utilizzo di malware (che siano trojan od altro) allora si configura il reato di frode informatica. La differenza tra i due reati sta quindi nel fatto che nel primo caso è la vittima a fornire all’attaccante i suoi dati sensibili, nel secondo invece i dati vengono acquisiti usando le “maniere forti”
Portscanning e vulnerability scanning sono legali? No, o meglio: mappare o testare la sicurezza di una mia macchina o software non è reato. Lo stesso discorso vale se si è autorizzati a farlo dal legittimo proprietario. Nel caso in cui si esegue un mapping o una scansione delle vulnerabilità su una macchina sulla quale non si è autorizzati a farlo allora l'entità che ha ricevuto lo scanning può denunciare l’accaduto. In generale fare pentesting su macchine remote e senza l’autorizzazione del legittimo proprietario è reato e per la legge italiana gli strumenti utilizzati a questo scopo sono equivalenti a strumenti per lo scasso e possono essere utilizzati solo da chi svolge un lavoro che li giustifichi.
Partendo dal presupposto che i crimini informatici (tra cui la violazione della privacy) sono tutti puniti con sanzioni amministrative e/o condanne penali possiamo dividere questi in macrocategorie.
Download di materiale protetto da diritti d’autore: il download, lo streaming o più in generale la diffusione di contenuti protetti da Copyright (©) viene regolata dalla legge n. 633 del 1941. Questa legge è piuttosto ampia e frastagliata, per questo cerchiamo di guardarla da un punto di vista più pratico:
Scaricare, copiare o più in generale replicare prodotti coperti da diritti d’autore SOLO per USO PERSONALE è legale? Possiamo fare due distinguo:
- Posseggo o sono in grado di dimostrare di aver posseduto una copia originale dell’opera:
Stando a quanto riportato nell’Art. 71 – sexies – comma 4: “… i titolari dei diritti sono tenuti a consentire che, nonostante l'applicazione delle misure tecnologiche di cui all'articolo 102-quater, la persona fisica che abbia acquisito il possesso legittimo di esemplari dell'opera o del materiale protetto, ovvero vi abbia avuto accesso legittimo, possa effettuare una copia privata, anche solo analogica, per uso personale, a condizione che tale possibilità non sia in contrasto con lo sfruttamento normale dell'opera o degli altri materiali e non arrechi ingiustificato pregiudizio ai titolari dei diritti.”
mi viene sancito il diritto ad eseguire delle copie di backup per uso personale ma allo stesso tempo vengono legittimati i produttori a proteggere le proprie opere dalle copie - Non posseggo e non ho mai posseduto una copia originale dell’opera:
Stando a quanto riportato nell’Art. 174 ter: “Chiunque abusivamente utilizza, anche via etere o via cavo, duplica, riproduce, in tutto o in parte, con qualsiasi procedimento, anche avvalendosi di strumenti atti ad eludere le misure tecnologiche di protezione, opere o materiali protetti, oppure acquista o noleggia supporti audiovisivi, fonografici, informatici o multimediali non conformi alle prescrizioni della presente legge, ovvero attrezzature, prodotti o componenti atti ad eludere misure di protezione tecnologiche è punito con la sanzione amministrativa pecuniaria di euro 154…”
essendo prevista una sanzione amministrativa che va da euro 154 a euro 1032 in caso di recidività o maggiore gravità del fatto, l’atto risulterà illecito.
ASSOLUTAMENTE NO. Stando a quanto è riportato nell’Art. 171 ter il compimento del fatto prevede come pena la reclusione da sei mesi a tre anni e una multa che va da euro 2.582 a euro 15.493.
Per quanto riguarda lo streaming è altresì necessario -per completezza- specificare che se per i titolari dei servizi che permettono l’accesso a file protetti da copyright valgono le sanzioni previste dagli articoli 171 e 171-ter, per gli utilizzatori non sono previste sanzioni a meno che questi non scarichino il materiale visualizzato; in quest’ultimo caso valgono le leggi citate nel distinguo di cui sopra.
Accesso abusivo: questa tipologia di reati viene regolamentata dalla legge 547/1993.
Prendiamo come esempio un caso banale: sospettiamo che il/la nostro/a fidanzato/a ci tradisca oppure siamo tanto gelosi da voler tenere sotto controllo i suoi profili social SENZA CHE CI SIA STATA FORNITA LA PASSWORD. Può configurarsi un reato? La risposta è ovviamente: sì, e questo si chiama accesso abusivo ad un sistema informatico e telematico.
Come riportato nell’Art. 615-ter: “Chiunque abusivamente si introduce in un sistema informatico o telematico protetto da misure di sicurezza ovvero vi si mantiene contro la volontà espressa o tacita di chi ha il diritto di escluderlo, è punito con la reclusione fino a tre anni. …”.
Esiste però la possibilità che in passato il partner CI ABBIA FORNITO LA PASSWORD perché magari le serviva una mano a cambiare la lingua, possiamo usare questa password per tenerlo sotto controllo? E bene: NO. Se il nostro partner ci ha fornito la sua password univocamente per modificare le impostazioni sulla lingua possiamo usarle per fare solo quello e nient’altro nelle modalità e nei tempi stabiliti; se “già che ci siamo” le sfruttiamo per altro scatta il reato regolamentato dalla legge di cui sopra.
Diffusione abusiva di password o token d’accesso. Possedere dati di accesso di terzi è legale?
La legge ci dice che:” Chiunque, al fine di procurare a sé o ad altri un profitto o di arrecare ad altri un danno, abusivamente si procura, riproduce, diffonde, comunica o consegna codici, parole chiave o altri mezzi idonei all´accesso ad un sistema informatico o telematico, protetto da misure di sicurezza, o comunque fornisce indicazioni o istruzioni idonee al predetto scopo, è punito con la reclusione sino ad un anno e con la multa sino a 5164 euro”.
Come possiamo leggere ed interpretare, il solo possesso dei dati -a patto che non siano stati reperiti per vie illecite-non costituirebbe un illecito a meno che non ci sia l’intenzione di procurare profitti personali arrecando danni. In ogni caso la diffusione è vietata.
Intercettazione e disturbo delle comunicazioni. Ho acquistato un jammer per vedere come è fatto. Posso utilizzarlo? Bene, a meno che tu non stia svolgendo una operazione di polizia o non abbia ricevuto un permesso speciale da parte di un ente governativo la risposte è NO. In Italia -ma più in generale in tutta Europa- l’utilizzo dei Jammer è categoricamente vietato e sanzionabile penalmente. Dal momento che questa tecnologia inibisce le comunicazioni e crea disagio a chiunque si trovi nel raggio d’azione dello strumento -forze dell’ordine incluse- l’utilizzo di questo strumento è in primis punito dall’Art. 340 che dice: “Chiunque, fuori dei casi previsti da particolari disposizioni di legge, cagiona una interruzione o turba la regolarità di un ufficio o servizio pubblico o di un servizio di pubblica necessità, è punito con la reclusione fino a un anno.”.
Inoltre come sancito dagli Art. 671 e 617-bis anche le intercettazioni e le eventuali pubblicazioni (anche parziali) circa il contenuto della comunicazione sono punibili con la reclusione da uno a cinque anni.
Frode informatica. È reato introdursi indebitamente -tramite alterazioni di un sistema informatico o tramite accesso abusivo- in un sistema altrui al fine di trarre un vantaggio dal danneggiamento dell’altro (che sia economico oppure volto ad ottenere dati riservati e/o brevetti o materiale protetto da diritti d’autore, ecc..).
Questa tipologia di reati è regolamentata dalla legge 547/1993 ed in particolare dall’Art. 640-ter che dice: “Chiunque, alterando in qualsiasi modo il funzionamento di un sistema informatico o telematico o intervenendo senza diritto con qualsiasi modalità su dati, informazioni o programmi contenuti in un sistema informatico o telematico o ad esso pertinenti, procura a sé o ad altri un ingiusto profitto con altrui danno, è punito con la reclusione da sei mesi a tre anni e con la multa da cinquantuno euro a milletrentadue euro. La pena è della reclusione da uno a cinque anni e della multa da trecentonove euro a millecinquecentoquarantanove euro se ricorre una delle circostanze previste dal numero 1) del secondo comma dell'articolo 640, ovvero se il fatto è commesso con abuso della qualità di operatore del sistema. ..”.
Il phishing rientra quindi nella frode informatica? In base al modo con cui si configura il reato la pratica del phishing può rientrare nella categoria di truffa o di frode informatica. Se questa pratica viene messa eseguita usando loghi contraffatti di istituti/istituzioni e/o mediante sostituzione di persone (e.g.: fingersi un tecnico che sta operando delle verifiche), nel momento in cui le password vengono utilizzate per accedere a degli account personali allora si configura il reato di truffa. Se invece il phishing viene attuato mediante l’utilizzo di malware (che siano trojan od altro) allora si configura il reato di frode informatica. La differenza tra i due reati sta quindi nel fatto che nel primo caso è la vittima a fornire all’attaccante i suoi dati sensibili, nel secondo invece i dati vengono acquisiti usando le “maniere forti”
Portscanning e vulnerability scanning sono legali? No, o meglio: mappare o testare la sicurezza di una mia macchina o software non è reato. Lo stesso discorso vale se si è autorizzati a farlo dal legittimo proprietario. Nel caso in cui si esegue un mapping o una scansione delle vulnerabilità su una macchina sulla quale non si è autorizzati a farlo allora l'entità che ha ricevuto lo scanning può denunciare l’accaduto. In generale fare pentesting su macchine remote e senza l’autorizzazione del legittimo proprietario è reato e per la legge italiana gli strumenti utilizzati a questo scopo sono equivalenti a strumenti per lo scasso e possono essere utilizzati solo da chi svolge un lavoro che li giustifichi.