Reati informatici e “hacking etico”: sulla non punibilità della “divulgazione responsabile”. Un’interessante archiviazione del GIP di Catania.

Articolo scritto da Redazione Giurisprudenza Penale il 10 Novembre 2019

Tribunale di Catania, Ufficio del Giudice per le Indagini Preliminari, decreto di archiviazione, 15 luglio 2019
Giudice dott. Rizza

In tema di reati informatici, segnaliamo il provvedimento con cui il Giudice per le Indagini Preliminari del Tribunale di Catania ha disposto l’archiviazione in un procedimento per diffamazione (art. 595 c.p.) e accesso abusivo a sistema informatico (art. 615-ter c.p.) rifacendosi – al fine di dimostrare l’infondatezza della notizia di reato – al concetto di «divulgazione responsabile» e di cd. «hacking etico» (espressione con la quale ci si riferisce all’attività di chi, godendo di notevoli competenze tecniche, compia o simuli attacchi informatici al fine di portare il titolare del sistema informatico a conoscenza dell’esistenza di un problema nella sicurezza).

Pronunciandosi sul comportamento dell’indagato che, dopo aver scoperto una vulnerabilità contenuta in una applicazione, la aveva prima segnalata allo stesso produttore (che, nello stesso giorno, aveva subito un attacco informatico) e poi divulgata a tutela dei consumatori, il Giudice ha osservato come, considerata la crescente rilevanza che ha assunto nella gestione dell’attività d’impresa la sicurezza dei relativi sistemi informatici, costituisca ormai «prassi consolidata l’invito rivolto dai titolari delle aziende a comunicare loro la presenza di bug (errori di sistema) all’interno del loro apparato da parte di chi ne abbia conoscenza».

Nel caso de quo – si legge nel provvedimento di archiviazione – «l’indagato ha inviato una serie di missive allo staff della società e, solo a seguito dell’inerzia della medesima di voler correggere la vulnerabilità del sistema, si è deciso a render noto, a tutela dei consumatori, la presenza di un simile errore a distanza di un mese dalla sua segnalazione»; ciò comporta che la condotta dell’indagato «non integra il delitto di cui all’art. 615-ter c.p., inquadrandosi la stessa nella metodologia comune della “divulgazione responsabile”, avendo il medesimo contattato prima l’azienda coinvolta proprio per consentirle di emendare l’errore entro un lasso di tempo, che può variare da trenta giorni a un anno, a seconda della gravità e della complessità della vulnerabilità».

Parole chiave: , ,

Categorie: ARTICOLI, DIRITTO PENALE, Parte speciale