Difesa attiva e hack back: il labirinto legale della cybersecurity
Nel precedente contributo abbiamo esplorato come la posizione di garanzia del professionista della cybersecurity si scontri con fattispecie classiche come l’accesso abusivo. Tuttavia, nella mia esperienza professionale e accademica, riscontro spesso una zona d’ombra ancora più insidiosa ovvero quella in cui la vittima di un attacco decide di passare al contrattacco.
Se il primo articolo delineava il perimetro della responsabilità generale, questo secondo intervento intende sviscerare i rischi penali legati alla cosiddetta difesa attiva. Il desiderio di identificare l’aggressore o di neutralizzare la minaccia alla fonte è tecnicamente comprensibile, ma giuridicamente si scontra con il principio fondamentale secondo cui il monopolio dell’uso della forza appartiene esclusivamente allo Stato.
Il miraggio della legittima difesa nell’ambito digitale
Molti operatori invocano l’articolo 52 del Codice penale convinti che respingere un attacco informatico con un contro-attacco sia sempre lecito. La realtà processuale è molto più complessa poiché la legittima difesa richiede la presenza di un pericolo attuale di un’offesa ingiusta e una reazione strettamente proporzionata.
Nel momento in cui un analista di sicurezza decide di colpire il sistema dell’aggressore per disabilitarlo, rischia di uscire dal perimetro della scriminante. Se l’attacco è già avvenuto e si agisce per ritorsione o per recuperare i dati, manca il requisito dell’attualità del pericolo trasformando la difesa in una condotta di accesso abusivo o di esercizio arbitrario delle proprie ragioni o, peggio, in un danneggiamento informatico aggravato.
Le tecniche di difesa attiva spaziano dal semplice monitoraggio avanzato fino all’installazione di beacon o trap destinate a tracciare l’attaccante. Il rischio penale sorge quando queste misure escono dal perimetro dei propri sistemi.
L’inserimento di codice tracciante in un file sottratto che, una volta aperto dall’aggressore, comunica la sua posizione geografica o i suoi dati tecnici, può configurare il reato di accesso abusivo a sistema informatico a parti invertite. In questo scenario il professionista della sicurezza diventa tecnicamente un hacker agli occhi della legge poiché introduce uno strumento in un sistema altrui senza il consenso del titolare, indipendentemente dal fatto che quel titolare sia a sua volta un criminale.
L’impatto della Legge 90 del 2024 sulle manovre di contrattacco
La recente riforma legislativa del 2024 ha introdotto una stretta significativa sulla detenzione di strumenti atti a interrompere o danneggiare sistemi informatici. Chi decide di implementare strategie di contrattacco (hack back) per paralizzare i server dell’attaccante si espone alle nuove e più gravi pene previste per il danneggiamento di sistemi di pubblica utilità se, per errore o per rimbalzo del traffico, l’azione colpisce infrastrutture sensibili.
Il legislatore italiano ha chiarito che la gestione delle minacce deve passare attraverso i canali istituzionali come l’Agenzia per la Cybersicurezza Nazionale e le Forze di Polizia. Qualunque iniziativa privata di “polizia digitale” non solo è priva di copertura legale ma può essere interpretata come un aggravamento del danno sistemico.
Un discorso a parte merita la gestione dei riscatti informatici dove la difesa attiva si intreccia con il rischio di favoreggiamento. La Legge 90 del 2024 ha inasprito le sanzioni per la cyber-estorsione, ponendo il CISO o il consulente in una posizione delicatissima. Partecipare attivamente a una trattativa o facilitare il pagamento di un riscatto senza informare l’Autorità Giudiziaria può esporre il professionista ad accuse di riciclaggio o di intralcio alla giustizia. La difesa del patrimonio aziendale non può mai giustificare condotte che violano i doveri di cooperazione con lo Stato, specialmente quando l’attacco proviene da entità soggette a sanzioni internazionali.
Dalla reazione impulsiva alla conformità procedurale
La protezione legale del professionista della sicurezza non si ottiene con la forza tecnica ma con la precisione metodologica. La corretta strategia di difesa deve limitarsi al contenimento all’interno del proprio perimetro (honeypots, sandbox, isolamento di rete) evitando proiezioni offensive esterne. Ogni azione intrapresa durante la fase di incident response deve essere documentata in un registro degli eventi inalterabile che possa servire in sede processuale per dimostrare l’assenza di dolo dannoso.
Come docente di Diritto penale dell’informatica e soprattutto come avvocato, insisto sempre su un punto: la migliore difesa attiva è una documentazione passiva impeccabile che dimostri come ogni manovra sia stata dettata esclusivamente dalla necessità tecnica di preservare l’integrità dei dati propri o del cliente.
Il professionista moderno deve saper distinguere tra ciò che è tecnicamente possibile e ciò che è legalmente sostenibile in un’aula di tribunale. La crescente complessità delle minacce non deve diventare un pretesto per scorciatoie procedurali che metterebbero a rischio la carriera e la libertà personale del tecnico. La vera eccellenza nel nostro settore si misura oggi nella capacità di neutralizzare l’offesa rimanendo rigorosamente all’interno del perimetro tracciato dal Codice penale.
Ti è piaciuto questo articolo? Ne stiamo discutendo nella nostra Community su LinkedIn, Facebook e Instagram. Seguici anche su Google News, per ricevere aggiornamenti quotidiani sulla sicurezza informatica o Scrivici se desideri segnalarci notizie, approfondimenti o contributi da pubblicare.
Avvocato penalista e cassazionista, noto anche come docente di Diritto Penale dell'Informatica, ha rivestito ruoli chiave nell'ambito accademico, tra cui il coordinamento didattico di un Master di II Livello presso La Sapienza di Roma e incarichi di insegnamento in varie università italiane. E' autore di oltre cento pubblicazioni sul diritto penale informatico e ha partecipato a importanti conferenze internazionali come rappresentante sul tema della cyber-criminalità. Inoltre, collabora con enti e trasmissioni televisive, apportando il suo esperto contributo sulla criminalità informatica.
Aree di competenza: Diritto Penale Informatico, Cybercrime Law, Digital Forensics Law, Cybercrime Analysis, Legal Teaching, Scientific Publishing
Visita il sito web dell'autore
