L'analisi

Sito INPS in down, troppo facile dare la colpa agli hacker

di Daniele Minotti, Avvocato, D&L Net |

Abbiamo realmente prove della responsabilità di qualche “attaccante informatico” al sito dell'INPS? Nulla si può escludere, ma, in realtà, la prospettiva dovrebbe essere invertita perché, come vedremo alla fine, certi assunti perentori potrebbero non essere leciti.

La rubrica “Digital & Law” è curata da D&L Net e offre una lettura delle materie dell’innovazione digitale da una prospettiva che sia in grado di offrire piena padronanza degli strumenti e dei diritti digitali, anche ai non addetti ai lavori. Per consultare tutti gli articoli clicca qui.

Il 1° d’aprile (sembra uno scherzo e, invece, no), il sito INPS è andato in palla e, per giunta, chi era riuscito ad accedere ha potuto vedere dati di altri utenti. Sovraccarico e attacchi hacker, ha dichiarato il Presidente Pasquale Tridico in interviste al limite del “balbettante”.

Subito dopo, si è iniziato a parlare di attacchi anche alle nostre eccellenze della Sanità come l’Istituto Spallanzani.

Hacker e sito INPS in down

La colpa viene tendenzialmente attribuita agli “hacker”, entità, peraltro, non completamente chiara a tutti quelli che usano il termine.

Al di là di ciò, abbiamo realmente prove della responsabilità di qualche “attaccante informatico”? Nulla si può escludere, ma, in realtà, la prospettiva dovrebbe essere invertita perché, come vedremo alla fine, certi assunti perentori potrebbero non essere leciti.

Scendiamo nei particolari, usando anche conoscenza di un certo mondo (quello veramente “hacker”) e logica.

I sabotatori non compiono le azioni di disturbo, ma di ricatto

Chi conosce realmente gli hacker sa che i loro scopi sono dimostrativi (denunciare le manchevolezze informatiche di un certo sistema sbandierato come perfetto, ad esempio) oppure politici (sabotaggio di certe politiche ritenute sbagliate). Io, personalmente, non condivido tutto ciò, ma nell’economia di questo scritto posso affermare che il vero “hacker” non compie azioni giusto per rompere le scatole, per un fine malevolo.

D’altro canto, esistono anche altri soggetti appartenenti alla criminalità comune (pur informatizzata) che si attivano in certi momenti esclusivamente per motivi economici. E’ quello che sembra stesse per accadere per lo Spallanzani, dove pare sia emerso un tentativo di estorsione di tipo “ransomware” (appunto, programmi ricattatori).

Giusto per parlare di reati, abbiamo appena nominato l’estorsione (“sei mi dati tot Bitcoin, ti sblocco i dati che ti ho reso inaccessibili), ma ci sono anche gli accessi abusivi e/o i danneggiamenti di sistemi pubblici o di pubblica utilità.

Le ‘associazioni’ di hacker

Ora, non sono cose che dico io con un semplice “buonsenso”. Basta seguire un qualsiasi TG un po’ più critico che fa approfondimenti senza appiattirsi sulle dichiarazioni ufficiali.

Il dubbio – a mio modo di vedere legittimo – è che per giustificare inefficienze della macchina pubblica (sotto finanziata, sottopagata, mal gestita, ecc.) si dia la colpa a chi, tutto sommato, non può difendersi, sostanzialmente perché non esiste: non esiste, infatti, un’associazione degli hacker. Quelli un po’ più organizzati (Anonymous) hanno preso immediatamente le distanze.

L’INPS e la comunicazione

Ma la cosa non finisce qui perché denunciando, peraltro “a reti unificate”, reati così gravi (accessi abusivi e/o danneggiamenti a sistemi informatici pubblici o di pubblica utilità o altri abusi di dati – tutti reati perseguibili d’ufficio) si rischia, a propria volta, di commettere un reato, precisamente quello di “Simulazione di reato” previsto dall’articolo 367 c.p. “Chiunque, con denuncia, querela, richiesta o istanza, anche se anonima o sotto falso nome, diretta all’Autorità giudiziaria o ad un’altra Autorità che a quella abbia obbligo di riferire, afferma falsamente essere avvenuto un reato, ovvero simula le tracce di un reato, in modo che si possa iniziare un procedimento penale per accertarlo, è punito con la reclusione da uno a tre anni”.

Oltre al fatto che in questo caso conclamato di violazione dei dati (“data breach”) non sarà semplice scaricare la colpa su ipotetici terzi.

Si badi bene, dunque, a dare la colpa agli altri quando, invece, dipende da inefficienze imputabili a titolare di trattamento.