Come spiega l’avvocato Fulvio Sarzana, il concetto di hacking etico, con la conseguente diffusione responsabile dei dettagli sulle vulnerabilità di sicurezza, non è attualmente riconosciuto nel nostro Paese e ricorda, tra i tanti, il caso di un ricercatore che aveva scoperto una vulnerabilità in un software.
Dopo aver segnalato il problema alla software house sviluppatrice per poi rivolgersi a un’associazione che tutela i consumatori solo a seguito dell’inerzia del produttore nel correggere la vulnerabilità, il ricercatore è stato chiamato in giudizio con l’apertura di un procedimento a suo carico per violazione di sistemi informativi e diffamazione.
Come osserva Sarzana, legale dell’imputato, il Giudice ha archiviato il procedimento osservando che è “prassi consolidata l’invito rivolto dai titolari delle aziende a comunicare loro la presenza di bug (errori di sistema) all’interno del loro apparato da parte di chi ne abbia conoscenza“.
Nel decreto di archiviazione si legge inoltre che “l’indagato ha inviato una serie di missive allo staff dell’azienda sviluppatrice e solo a seguito dell’inerzia della medesima di voler correggere la vulnerabilità del sistema, si è deciso a render noto, a tutela dei consumatori, la presenza di un simile errore a distanza di un mese dalla sua segnalazione. La condotta non integra pertanto, sulla scorta di quanto chiarito, il delitto di cui all’art. 615-ter c.p., inquadrandosi la stessa nella metodologia comune della divulgazione responsabile avendo peraltro l’indagato medesimo contattato prima l’azienda coinvolta proprio per consentirle di emendare l’errore entro un lasso di tempo, che può variare da trenta giorni a
un anno, a seconda della gravità e della complessità della vulnerabilità“
segue su Il software
