R: [Diritto] parziale offtopic: macchina "crakkata"

Marco Sforzi diritto@softwarelibero.it
Wed, 29 May 2002 20:10:20 +0200 

> -----Messaggio originale-----
> Da: diritto-admin@softwarelibero.it
> [mailto:diritto-admin@softwarelibero.it]Per conto di Paolo Furieri
> Inviato: mercoledì 29 maggio 2002 16.36
> A: diritto@softwarelibero.it
> Oggetto: [Diritto] parziale offtopic: macchina "crakkata"



> suppongo quindi che sia materiale per fare una indagine.

Certamente: il reato sicuramente ipotizzabile (da quello che ci dici) è il
615/ter c.p. ("Accesso abusivo ad un sistema informatico o telematico"),
perché sono entrati nel tuo sistema (pena fino a tre anni, o fino a 5 se
ipotesi aggravata);

>si sono memorizzati un bel po' di password delle caselle di posta dei miei
>utenti. poi hanno cercato di riutizzarle su altri server.

per questo fatto specifico, potrebbero procedere anche per il 615/quater
("detenzione e diffusione abusiva di codici di accesso a sistemi informatici
e telematici"); se poi avessero anche cancellato qualche dato, potrebbero
procedere anche per un 635/bis ("Danneggiamneto di sistemi informatici o
telematici").


>
> il tutto e' iniziato il 27, finito ieri sera (quando ho
> spento il sistema).
>


Tieni presente che il delitto di "accesso abusivo" (615/ter) è perseguibile
"a querela di parte", mentre gli altri sono perseguibili d'ufficio.
La querela la devi fare (se vuoi) entro "tre mesi dal giorna della notizia
del fatto che costituisce il reato", se no il reato non è più procedibile.
Devi farla, quindi, entro il 27-28-29 agosto (il giorno preciso dipende da
quando esattamente ti sei accorto dell'intrusione e quello lo sai tu, dal
momento che pare che hai "beccato la cosa quando era in piena attività".
Per farla, non c'è bisogno di andare dall'avvocato, ma basta che ti rechi in
un qualsiasi posto di polizia giudiziaria (Carabinieri o Polizia) e ci
pensano poi loro ad inoltrarla a chi di dovere (Pubblico ministero del
Tribunale dove hanno sede i tuoi server).

Conserva, naturalmente, tutto quanto ritieni utile a documentare l'attacco
(file di log, indirizzi IP degli intrusori ecc... ecc...), che potrà essere
utile alle indagini ed eventualmente prodotto come prova nel giudizio.
Sul valore probatorio del c.d. "documento informatico" c'è ancora molta
confusione, ma non ci sono seri ostacoli al loro ingresso nel processo.
Consiglio, comunque, di consegnare una copia (anche su Floppy) dei file che
ritenessi utili direttamente alla polizia giudiziaria all'atto della
denuncia-querela, come "allegato" alla stessa.


N.B. se decidessi di farla tu personalmente, chiedi espressamente (e fai
mettere a verbale) che vuoi essere avvisato in caso di proroga delle
indagini o di richiesta di archiviazione (se no rischi che nessuno ti dica
nulla, nemmeno in caso di archiviazione delle indagini. Se chiedi di essere
avvisato, invece, in caso di archiviazione te lo comunicano prima, così puoi
controllare che cosa è stato davvero fatto e -se credi sia stato fatto poco
o nulla- ti puoi opporre entro 20 giorni e chiedere che le indagini invece
proseguano, indicando specifici atti di indagine da compiere).


Concretamente, le indagini potrebbero svolgerle anche i Carabinieri (!?!),
ma per lo più vengono affidate (a seconda dei circondari) o alla Polizia
Postale (!) o a certe sezioni della Guardia di Finanza (nella mia
esperienza, però, questi li ho visti svolgere per lo più indagini su
duplicazioni abusive di SW, mentre la Pol. Post. è più "preparata" per
questioni come gli accessi abusivi ecc...).


> i paesi coinvolti sono olanda, germania, cecoslovacchia, usa.
>
> il bello e' che la password "tuttofare" che hanno messo e'
> "giadatiamo",
> quindi con molta probabilita' e' gente italiana.

Italiana o straniera, la nazionalità di questi non dovrebbe essere un
ostacolo all'avvio delle indagini, perché "chiunque commette un reato nel
territorio dello Stato è punito secondo la legge italiana" e il reato "si
considera commesso nel territorio dello stato (...) quando [ivi] si è
verificato l'evento che è conseguenza dell'azione o dell'omissione" (art. 9
c.p.).
Se il server attaccato è in Italia, quindi, è competente l'autorità italiana
e si applica la legge italiana a chiunque (anche straniero) risulti
responsabile ;-).
Del resto, questa soluzione è già stata applicata in vari casi di
diffamazione commessa in Internet, da siti stranieri.

Se i responsabili venissero individuati e rinviati a giudizio, potresti
costituirti parte civile nel processo penale e chiedere loro i danni
(morali, materiali ecc...), in caso di condanna.

> c'e' qualcuno che mi sa dire come procedere (vorrei evitare
> di andare alla
> locale stazione di polizia, quella e' l'ultima ratio ....)
>

Francamente ignoro quali timori ti trattengano dall'idea di denunciare la
cosa, ma mi limito a rilevare che rientri... nella media delle "vittime" di
questo tipo di comportamenti.
Nel caso di grandi azienda (ma vale anche per le piccole) è di solito il
timore del "danno di immagine", conseguente alla "pubblicità" della
notizia...
Spesso (e posso credere sia un timore più fondato) è invece il timore di
essere chiamati a rispondere dei danni eventualmente cagionati a terzi.
Se è questo che ti "tormenta", posso dire (ma non vorrei... divagare) che
l'unico "rischio" potrebbe venire dalla l. sulla "Privacy" (675/96), che
infatti fissa un pricipio generale di "colpa presunta" in capo al
responsabile del trattamento, equiparato così al gestore di "attività
pericolose" (in pratica l'attività di un ISP è equiparata a quella di chi
produce, ad es., fuochi di artificio e che infatti, se gli esplode la
fabbrica, è lui che deve dimostrare di non essere in colpa, mentre i
danneggiati non devono dimostrare che i danni subiti sono "colpa" sua).
Questo principio, però, vale solo per la responsabilità CIVILE e non per
quella penale (qualcuno dovrebbe farti una causa civile, per chiederti i
danni da lui eventualmente subiti a seguito dell'attacco. Ma chi potrebbe
realisticamente farlo?

Sul versante penale, invece, basta ricordare che la l. sulla Privacy prevede
l'OBBLIGO, per il responsabile del trattamento, di adottare certe "misure
minime di sicurezza", la cui omissione (sia dolosa, sia semplicemente
"colposa") è infatti anche sanzionata penalmente (art. 36, L. Privacy).
Se ciò che temi è che la denuncia dell'attacco subito possa tradursi in un
"boomerang" a tuo danno, potendo far emergere tue eventuali "pecche" di
sicurezza penalmente rilevanti, posso tranquillizzarti ricordandoti che le
"misure minime di sicurezza" che è obbligatorio adottare (definite solo con
un d.p.r. del 1999, in vigore dall'1.1.2000, mai più aggiornato), si
limitano a prevedere misure... veramente "minime" (per non dire ovvie e in
alcuni casi anche ingenue), come la previsione di Password per l'accesso al
sistema e l'impiego di un antivirus... aggiornato almeno ogni 6 (sei!) mesi.
Credo quindi che dal punto di vista penale tu sia (per forza) in regola e
non abbia nulla da temere.

Vedi tu... ;-)






>
> Paolo Furieri - Amministratore di sistema Netcom
> Tel 0575 380590 - Fax 0575 981701
>
> _______________________________________________
> Diritto mailing list
> Diritto@softwarelibero.it
> http://lists.softwarelibero.it/mailman/listinfo/diritto
> Totale iscritti:      97
>