Impunità dell'hacking etico: un parere legale chiarisce la questione
Su incarico dell'Istituto nazionale di prova per la sicurezza informatica NTC, lo studio legale Walder Wyss ha redatto un parere legale dettagliato dal titolo "Responsabilità penale dell'hacking etico". Uno dei risultati della perizia è che l'hacking etico è esente da pena se sono soddisfatte alcune condizioni quadro.
Il National Cyber Security Test Institute (NTC) testa ciò che altrimenti non viene testato. Analizza prodotti e infrastrutture digitali alla ricerca di vulnerabilità non testate o non sufficientemente testate, anche di propria iniziativa. Il problema è che l'analisi delle vulnerabilità, se comporta l'intrusione (tentata o effettiva) in un sistema di elaborazione dati di terzi (penetration test), è potenzialmente in conflitto con il reato di hacking ai sensi dell'art. 143bis comma 1 del Codice penale svizzero. In base a questo, "è punito chiunque penetri senza autorizzazione in un sistema di elaborazione dati di terzi appositamente protetto dall'accesso mediante apparecchiature di trasmissione dati". In breve: senza autorizzazione esplicita e senza consenso, l'individuazione di vulnerabilità di sicurezza è punibile secondo la legge svizzera nel momento in cui viene violata la sicurezza di accesso di un sistema altrui o si tenta di farlo. Il Codice penale svizzero punisce anche la manipolazione e la modifica dei dati.
Necessità giustificabile
Se nel corso dell'analisi delle vulnerabilità vengono violate norme penali, in determinate circostanze è possibile invocare la necessità giustificabile ai sensi dell'art. 17 CP. L'intrusione in un sistema è giustificata solo se vi sono indicazioni concrete che un sistema è affetto da potenziali vulnerabilità di sicurezza. Inoltre, la scoperta, la documentazione e le informazioni su queste vulnerabilità di sicurezza devono servire a scongiurare un accesso doloso. In termini soggettivi, è un prerequisito che la persona autorizzata ad agire in caso di emergenza sia consapevole della situazione di emergenza e agisca per salvare il bene giuridico minacciato.
Pubblicazione dei risultati delle analisi di vulnerabilità
Prima di una pubblicazione dettagliata, le vulnerabilità di sicurezza identificate e documentate dovrebbero essere completamente affrontate. In caso contrario, il livello di dettaglio di una pubblicazione dovrebbe essere ridotto alle informazioni necessarie. In questo modo gli utenti del sistema saranno avvertiti adeguatamente e avranno la possibilità di proteggersi.
Con la pubblicazione del parere legale, l'NTC fornisce un contributo all'attuale Strategia nazionale in materia di cibernetica della Confederazione, che mira a istituzionalizzare l'hacking etico. Il laboratorio di test e verifica del Cantone di Zugo lavora a stretto contatto con istituti di ricerca, aziende private di sicurezza informatica ed esperti internazionali. L'NTC esiste dal dicembre 2020.
Fonte e ulteriori informazioni: www.ntc.swiss
Questo articolo è apparso originariamente su m-q.ch - https://www.m-q.ch/de/straffreiheit-von-ethical-hacking-rechtsgutachten-klaert-auf/
