L'"hacking morale" presto non sarà più sanzionato
Il Ministero della Giustizia tedesco ha deciso di proteggere meglio gli hacker. Almeno se agiscono "in buona fede". Dal punto di vista legale, però, questo è difficile. C'è anche disaccordo su quanto debba essere estesa l'impunità.
A fine ottobre, il ministro federale della Giustizia Marco Buschmann (FDP) ha sottoposto all'approvazione del governo federale un progetto di legge per modernizzare il diritto penale informatico. Egli ritiene che gli hacker le cui azioni sono di "interesse pubblico" non debbano più essere perseguiti. A suo avviso, le persone che vogliono colmare le lacune della sicurezza informatica meritano un riconoscimento e non una punizione. Dopotutto, tali vulnerabilità di sicurezza potrebbero essere sfruttate anche da soggetti malintenzionati.
"Buona intenzione" difficile da dimostrare
La prevista revisione della legge riguarda in particolare la Sezione 202a del Codice Penale. Questa prevede una pena detentiva fino a due anni o una multa per chi "ottiene un accesso non autorizzato a dati appositamente protetti superando le precauzioni di sicurezza".
Fonte: Shutterstock
La sanzione non dovrebbe più essere comminata se si può dimostrare che una persona è semplicemente penetrata in un sistema (di un'autorità pubblica o di un'azienda, ecc.) al fine di individuare una vulnerabilità di sicurezza. Inoltre, tale vulnerabilità deve essere segnalata all'organizzazione responsabile. Deve anche essere chiaro che non c'è altro modo per identificare questa vulnerabilità. Lo stesso dovrebbe valere per la sezione 202b. Questa prevede la stessa pena se una persona "ottiene dati da un trasferimento non pubblico per sé o per altri senza autorizzazione".
Al tempo stesso, però, lo spionaggio e l'intercettazione dei dati devono essere puniti più severamente in casi particolarmente gravi. Ad esempio, se l'hacking è stato effettuato a scopo di lucro o se qualcuno ha subito una perdita di beni. Ma anche, ad esempio, se è stata danneggiata l'infrastruttura del governo federale o di uno stato. In questi casi, la pena potrebbe essere aumentata fino a cinque anni.
Il pomo della discordia: la Sezione 202c StGB
La sezione 202c del Codice Penale tedesco non sarà toccata dalla modifica prevista. Questa sezione criminalizza la "produzione (...) o la messa a disposizione di password o (...) programmi informatici idonei (...)". In questo modo si criminalizzano i cosiddetti strumenti per hacker, che vengono già utilizzati dagli amministratori di rete, ad esempio, ma che in futuro dovranno essere utilizzati anche per scopi legali, secondo le voci critiche.
Per questo motivo, l'associazione "La vita di una persona" ha deciso di non modificare l'emendamento.
E' per questo che il Chaos Computer Club (CCC), ad esempio, ritiene che anche il paragrafo c della sezione 202 debba essere abolito, come ha dichiarato a Netzpolitik.org. Altrimenti, anche i ricercatori di sicurezza professionisti continueranno a lavorare in una "pericolosa zona grigia". Tuttavia, Buschmann non vede la necessità di un cambiamento in questo senso.
Da quando ho scoperto come attivare entrambi i canali telefonici sulla scheda ISDN per ottenere una maggiore larghezza di banda, sperimento con le reti digitali. Con quelle analogiche, invece, da quando so parlare. A Winterthur per scelta, con il cuore rossoblu.