Si sta assistendo ad una vera e propria riscoperta del ruolo dell’hacker etico, che segna un ritorno al significato originario e positivo del termine. È sempre più evidente come aziende e istituzioni possano trarre vantaggio dalle competenze digitali di sviluppatori, ricercatori e dei c.d. hacker etici (anche «white hats»), valorizzandone il contributo nella prevenzione e gestione delle vulnerabilità informatiche. Tuttavia, in assenza di un quadro giuridico specifico, l’etichetta di “etico” rimane priva di un significato giuridico univoco, esponendo inevitabilmente al rischio di criminalizzazione anche di quegli hacker che operano animati da “buone intenzioni”. Ecco la situazione.
Chi è l’hacker etico e cosa fa
L’hacker etico è un professionista specializzato nella sicurezza informatica, in grado di individuare eventuali rischi di cybersecurity per aziende e istituzioni.
Aste immobiliari
il tuo prossimo grande affare ti aspetta!
Quando infrastrutture, reti o sistemi digitali presentano una vulnerabilità cioè una condizione tecnica che consente la compromissione dell’integrità, della riservatezza o della disponibilità delle informazioni, l’hacker etico è in grado di individuarla e segnalarla, consentendo così un intervento tempestivo prima che possa essere sfruttata da attori malevoli.
Così, in uno scenario globale di evoluzione dei livelli di cybersecurity, dovuto al mutamento e al crescente affinamento di attori, modalità operative, pervasività ed efficacia delle minacce cibernetiche, si palesa la necessità di integrare tali nuove figure professionali nella filiera della prevenzione dei reati informatici.
La storia dell’hacking
La storia dell’hacking trae origine nell’inverno tra il 1958 e il 1959, grazie alle prime “esplorazioni tecnologiche” degli studenti del Massachussetts Institute of Technology (MIT), più precisamente in un club studentesco di modellismo ferroviario (Tech Model Railroad Club), al cui interno, per la prima volta, cominciò a circolare il termine di hacker. Quest’ultimo aveva inizialmente una connotazione positiva: nel gergo usato dai membri del club soleva difatti indicare tutti coloro che erano dotati di notevoli abilità informatiche, capaci di spingere i programmi informatici al di là delle funzioni per le quali erano stati sviluppati (come peraltro, il significato del verbo «to hack»).
Si trattava di questo: un gruppo di studenti brillanti e versatili, spinti dalla passione per l’informatica, che vivevano come una sfida tecnologica lo sviluppo di programmi sempre più performanti, ottimizzati al punto da ridurre al minimo istruzioni e righe di codice. Così, in queste origini pionieristiche affondano le radici dell’etica hacker, accompagnate da una prima raffigurazione dal sentore quasi romantico: spinti da quella che definiscono un’eroica passione antiburocratica, gli hacker aspirano ad ergersi quali paladini di una informazione libera e priva di condizionamenti esterni.
Carta di credito con fido
Procedura celere
Il passo, tuttavia, sarà breve nel transitare, durante gli anni Ottanta, verso una connotazione negativa: passando da “eroi della rivoluzione informatica” secondo Steven Levy, a criminali informatici tout court secondo i mass media, l’opinione pubblica e l’immaginario collettivo. Il timore e l’apprensione per gli hacker sembra diffondersi con impeto in tutto il globo: la facilità con cui appare possibile portare a termine una azione delittuosa per mezzo di un elaboratore è difatti la spinta che porta numerosi soggetti a delinquere. L’indirizzare se stessi verso la carriera cybercriminale non è dunque un raptus momentaneo, ma anzi si presenta quale un avvicinamento progressivo: l’individuo, in una logica razionale-utilitaristica, valuta costi e benefici legati alla possibilità di commettere un reato, fino a maturare la convinzione di poter agire “offuscandosi” – grazie a proxy, VPN, reti TOR e sistemi di crittografia – e di rendersi, di fatto, difficilmente tracciabile e identificabile, potendo agire all’interno di uno spazio intrinsecamente de-materializzato.
Hacker etico e coordinated vulnerability disclosure
Questi professionisti sono da intendersi operanti entro le c.d. politiche di coordinated vulnerability disclosure (in seguito, CVD), ossia l’insieme di pratiche regolamentate finalizzate all’individuazione, segnalazione e correzione delle vulnerabilità presenti in sistemi, servizi e prodotti ICT. Chiaro è che individuare una vulnerabilità richieda lo svolgimento di attività tecniche, quali: analisi automatizzate, revisione del codice e penetration testing, quest’ultimo consistente in operazioni di sicurezza informatica che, anche mediante tecniche offensive, mirano a valutare la resilienza e l’affidabilità di sistemi, reti e applicazioni.
Tali test e revisioni possono essere eseguiti sia da soggetti interni all’organizzazione che ha sviluppato il sistema/rete, sia da attori esterni che operano talvolta con il consenso e la cooperazione dell’ente proprietario, talvolta in maniera indipendente. A tal proposito, si pensi, a titolo esemplificativo, ai c.d. Bug Bounty Programs, iniziative promosse da enti – pubblici o privati – che prevedono l’erogazione di ricompense, spesso di natura economica, a favore di chi riesca a individuare e segnalare vulnerabilità presenti nei propri sistemi o servizi.
Hacker etico in Italia
Nonostante il panorama europeo, con la Direttiva (UE) 2022/2555 (c.d. NIS 2) all’art. 12, richieda che ciascuno Stato membro adotti una propria politica nazionale per la regolazione delle modalità di rilevamento delle vulnerabilità nei sistemi informatici, e un apposito meccanismo di “assistenza alle persone fisiche o giuridiche che segnalano una vulnerabilità” il recepimento nazionale italiano si è limitato ad individuare l’organo competente alla ricezione e gestione delle segnalazioni (il CSIRT Italia – che agisce da Direttiva 2022/2555 come “intermediario di fiducia agevolando, se necessario, l’interazione tra la persona fisica o giuridica che segnala la vulnerabilità e il fabbricante o fornitore di servizi o prodotti ICT potenzialmente vulnerabili”), lasciando tuttora scoperti i profili relativi alla responsabilità del segnalante, nonché alle tutele giuridiche applicabili agli operatori della sicurezza informatica coinvolti nella divulgazione delle vulnerabilità.
Le responsabilità dell’hacker etico: cosa rischia
Per esemplificare: se un hacker etico identifica una “falla” di sistema e ne informa lo sviluppatore (o venditore), affinché possa adottare le necessarie patch correttive, si esporrà, a prescindere dall’eticità delle “buone intenzioni” del proprio agire, al rischio di responsabilità penale (e civile), sia nel caso in cui l’accesso al sistema sia avvenuto spontaneamente, sia laddove abbia agito dietro previ accordi di penetration testing (o simili), integrando, ad esempio, le fattispecie di cui agli artt. 615-ter c.p., 635-bis c.p., 635-quinquies c.p, (qualora, anche solo inavvertitamente, l’intervento abbia causato danni o interruzioni dei servizi).
Peraltro, una specifica disciplina in materia contribuirebbe a un generale allineamento con quanto previsto dalla normativa europea vigente. Oltre alla già citata Direttiva NIS 2, anche il Regolamento (UE) 2019/881 (Cybersecurity Act) si colloca sulla stessa linea, affermando che le CVD “potrebbero svolgere un ruolo importante negli sforzi degli Stati membri per migliorare la cybersicurezza” (al Considerando 30).
Vale la pena evidenziare come, a tal fine, alcuni Stati membri dell’Unione Europea abbiano già introdotto e sperimentato specifiche policy, prevedendo diverse forme di safe harbour per i tester. Si ricordi, ad esempio, il caso della Francia, dove già dal 2016 un tester può segnalare una vulnerabilità sospetta all’Agence nationale de la sécurité des systèmes d’information (ANSSI) e beneficiare delle tutele previste dall’art. 47 della Loi pour une République Numérique (che interviene modificando l’art. L 2321-4 Code de la defense) che esonera da responsabilità penale il soggetto che abbia condotto attività di penetration testing in buona fede (misurata sul grado di aderenza del tester alle regole, buone pratiche e protocolli individuati dall’ANSSI).
Come incentivare l’hacking etico
Oltre alla necessità di una regolamentazione chiara, merita in questa sede attenzione anche il potenziale ruolo deterrente delle politiche di CVD. In effetti, laddove gli strumenti sanzionatori tradizionali mostrano una limitata efficacia – basti pensare all’esiguo tasso di arresto e condanna per reati informatici, a fronte di un volume in costante aumento – si potrebbe ipotizzare che le pratiche di CVD contribuiscano a scoraggiare lo sfruttamento criminale delle vulnerabilità (quale la loro ri-vendita nei circuiti underground del dark web) e, al contempo, incentivino comportamenti etici e conformi, promuovendo la segnalazione responsabile come pratica virtuosa.
Opportunità unica
partecipa alle aste immobiliari.
Le evidenze criminologiche indicano che, per incidere sul “calcolo” costi/benefici che orienta la decisione di intraprendere un’azione criminale, una politica di CVD dovrebbe essere strutturata in modo da incentivare la segnalazione delle vulnerabilità. Ciò potrebbe avvenire attraverso l’erogazione di ricompense (come quelle monetarie previste nei già menzionati Bug Bounty Programs) oppure tramite premi simbolici o riconoscimenti pubblici, ove opportuni, con l’obiettivo di attrarre i «black hats» verso mercati legittimi e comportamenti conformi.
Formazione hacker etico
Di pari rilevanza sono le campagne di educazione e sensibilizzazione volte a orientare i giovani hacker verso comportamenti prosociali, attraverso l’insegnamento di tecniche di ethical hacking e programmazione responsabile. Iniziative come l’olandese “Hack in the Class”, in cui esperti IT visitano le scuole al fine di promuovere competenze tecniche e valori legati all’hacking etico, trovano solido fondamento nella teoria dell’apprendimento sociale: l’interazione con coetanei orientati a condotte positive può infatti motivare i giovani appassionati di informatica a intraprendere e mantenere pratiche etiche.
Regolamentazione ethical hacking, le priorità
Una futura regolamentazione dovrebbe garantire, in via preventiva, un adeguato livello di certezza giuridica e prevedere una definizione operativa (seppur flessibile) di ethical hacking. L’adozione di una politica nazionale (accompagnata da un’adeguata revisione della normativa penale) che sia volta a disciplinare la ricerca e la segnalazione delle vulnerabilità, rappresenterebbe un primo passo fondamentale in questa direzione, imponendo ai ricercatori l’onere di attenersi a un insieme chiaro e condiviso di regole. Tali regole potrebbero ispirarsi proprio alle regole d’ingaggio dei Bug Bounty Programs, includendo: l’individuazione di aree in-scope e out-of-scope, l’elenco delle vulnerabilità ammissibili, linee guida per una disclosure responsabile e l’indicazione delle condotte vietate in fase di testing.
Guardando al futuro, è legittimo chiedersi se una riforma di questo tipo, per quanto indispensabile, possa essere sufficiente. Da un lato, mentre le strategie generali di cybersicurezza e contrasto alla criminalità informatica si stanno progressivamente definendo a livello europeo – data la natura transnazionale delle tecnologie digitali e del cyberspazio – le attività di hacking etico rischiano di essere ostacolate dalla frammentazione normativa tra gli Stati membri, soprattutto nei casi che coinvolgono più giurisdizioni. Per questo motivo, una politica di CVD, con un impatto chiaro sulla responsabilità penale degli hacker etici, sarebbe auspicabile che venisse adottata a livello europeo, garantendo così maggiore uniformità ed efficacia, rispetto a iniziative limitate al solo ambito nazionale.
***** l’articolo pubblicato è ritenuto affidabile e di qualità*****
Visita il sito e gli articoli pubblicati cliccando sul seguente link
Investi nel futuro
scopri le aste immobiliari
