L’inarrestabile metamorfosi delle tecnologie dell’informazione ha trasformato radicalmente i paradigmi di protezione dei beni giuridici. In un’epoca dove la robustezza delle infrastrutture critiche è diventata sinonimo di sicurezza nazionale, chi opera nella cybersecurity non è più un semplice tecnico ma un attore centrale investito di responsabilità che travalicano il perimetro dei bit per approdare nelle aule di giustizia. Come avvocato che da anni seziona i reati informatici in tribunale e come docente che cerca di trasmettere la dogmatica di questa materia, avverto l’urgenza di fare chiarezza su un punto fondamentale: oggi l’operatore IT non è solo il difensore del sistema ma può diventarne, per azione o per una fatale omissione, il responsabile legale davanti allo Stato.
L’Agenzia per la Cybersicurezza Nazionale ha adottato lo European Cybersecurity Skills Framework per classificare le figure professionali e questa non è una mera operazione burocratica. In sede giudiziaria, questa catalogazione funge da parametro per identificare quella che noi giuristi chiamiamo posizione di garanzia. Ogni ruolo porta con sé una specifica esposizione al rischio penale. Se pensiamo al CISO, ci troviamo di fronte al vertice della gestione della sicurezza. Ai sensi dell’articolo 40 del Codice Penale, non impedire un evento che si ha l’obbligo giuridico di evitare equivale a cagionarlo. Se un responsabile omette di segnalare vulnerabilità critiche o non richiede gli investimenti necessari pur consapevole del rischio imminente, potrebbe essere chiamato a rispondere degli effetti dannosi di un attacco come se lo avesse agevolato.
Per le figure più operative come i Cybersecurity Architect o i Responder, il rischio è spesso legato alla condotta attiva. L’installazione di programmi di monitoraggio che possono essere interpretati come strumenti di intercettazione abusiva o la configurazione di backdoor non autorizzate integra fattispecie di reato se non supportata da una delega formale. Durante la gestione di un incidente, manovre di emergenza eccessivamente intrusive potrebbero causare il danneggiamento di dati o la violazione della segretezza delle comunicazioni. Ancora più delicata è la posizione del Digital Forensics Investigator. Un errore nella catena di custodia o l’alterazione di un supporto informatico può non solo invalidare un processo ma esporre il professionista ad accuse di falso o inquinamento probatorio.
 Christmas Sale -40% 𝗖𝗵𝗿𝗶𝘀𝘁𝗺𝗮𝘀 𝗦𝗮𝗹𝗲! Sconto del 𝟰𝟬% 𝘀𝘂𝗹 𝗽𝗿𝗲𝘇𝘇𝗼 𝗱𝗶 𝗰𝗼𝗽𝗲𝗿𝘁𝗶𝗻𝗮 del Corso "Dark Web & Cyber Threat Intelligence" in modalità E-Learning sulla nostra Academy!🚀
Fino al 𝟯𝟭 𝗱𝗶 𝗗𝗶𝗰𝗲𝗺𝗯𝗿𝗲, prezzi pazzi alla Red Hot Cyber Academy. 𝗧𝘂𝘁𝘁𝗶 𝗶 𝗰𝗼𝗿𝘀𝗶 𝘀𝗰𝗼𝗻𝘁𝗮𝘁𝗶 𝗱𝗲𝗹 𝟰𝟬% 𝘀𝘂𝗹 𝗽𝗿𝗲𝘇𝘇𝗼 𝗱𝗶 𝗰𝗼𝗽𝗲𝗿𝘁𝗶𝗻𝗮.
Per beneficiare della promo sconto Christmas Sale, scrivici ad [email protected] o contattaci su Whatsapp al numero di telefono: 379 163 8765.
Se ti piacciono le novità e gli articoli riportati su di Red Hot Cyber, iscriviti immediatamente alla newsletter settimanale per non perdere nessun articolo. La newsletter generalmente viene inviata ai nostri lettori ad inizio settimana, indicativamente di lunedì. |
L’articolo 615-ter c.p. rimane il pilastro della tutela del domicilio informatico e la sua interpretazione è più insidiosa di quanto sembri. La giurisprudenza della Cassazione ha chiarito che l’accesso è abusivo ogni volta che un soggetto pur dotato di credenziali legittime si trattiene nel sistema violando le disposizioni del titolare o agendo per scopi ontologicamente estranei alle finalità per cui il potere gli è stato conferito. Un amministratore di sistema che accede ai log di un collega per curiosità personale commette un reato anche se possiede tecnicamente le chiavi per farlo. In questi casi l’abuso della qualità di operatore costituisce un’aggravante che trasforma la procedibilità da querela a d’ufficio, rendendo l’azione penale inevitabile.
Il penetration tester si trova in una posizione paradossale: la sua attività materiale è formalmente identica a un attacco criminale. L’unica scriminante che separa la sua condotta dal reato è il consenso dell’avente diritto previsto dall’articolo 50 del Codice Penale. Tuttavia questo consenso deve essere preventivo, informato e soprattutto specifico. Un tester che durante un’attività autorizzata decide autonomamente di estendere il raggio d’azione a una rete interna non inclusa nel contratto commette il reato di accesso abusivo.
Affinché un professionista sia ritenuto penalmente responsabile per un data breach o un attacco ransomware, invece, la pubblica accusa deve dimostrare la sussistenza di un nesso di causalità ipotetica. Si deve cioè provare che se la misura di sicurezza omessa (come l’applicazione di una patch critica già disponibile) fosse stata adottata, l’evento con elevata probabilità non si sarebbe verificato. La colpa professionale si manifesta nell’ignorare i risultati di test di vulnerabilità o nella scelta di fornitori palesemente inadeguati per ragioni di risparmio. La Direttiva NIS 2 ha accentuato questo profilo eliminando lo scudo della sola responsabilità societaria e introducendo la responsabilità personale degli organi di gestione per l’inottemperanza agli obblighi di sicurezza.
Il recente intervento legislativo ha inasprito le pene per l’accesso abusivo fino a dieci anni di reclusione se l’azione causa il danneggiamento del sistema o se colpisce infrastrutture di interesse pubblico. È stata inoltre introdotta un’aggravante specifica per l’estorsione commessa mediante reati informatici, un punto che tocca da vicino i CISO coinvolti nella gestione di trattative ransomware. A questo si aggiungono le nuove frontiere dell’intelligenza artificiale con il reato di diffusione illecita di contenuti generati tramite IA per trarre in inganno o causare danno. Per chi si occupa di sicurezza, l’uso di tecniche generative AI per simulazioni di social engineering deve essere ora più che mai autorizzato nei minimi dettagli per non incorrere nelle nuove sanzioni.
La complessità di questo quadro impone al professionista moderno l’adozione di rigorose strategie di compliance. È fondamentale verbalizzare ogni richiesta di budget o di intervento tecnico negata dalla direzione per poter dimostrare in sede penale la propria mancanza di colpa. Per i consulenti, la chiave della sicurezza legale risiede nelle Rules of Engagement. Il contratto deve definire in modo puntuale indirizzi IP target, finestre temporali e tecniche escluse. La sicurezza informatica non è più una disciplina esclusivamente tecnica e la tolleranza verso la zona grigia della gestione IT si è azzerata. Solo agendo nel perimetro della legge l’esperto di cybersecurity può dirsi realmente al sicuro dai rischi intrinseci alla sua professione.
Seguici su Google News, LinkedIn, Facebook e Instagram per ricevere aggiornamenti quotidiani sulla sicurezza informatica. Scrivici se desideri segnalarci notizie, approfondimenti o contributi da pubblicare.
Cybercrime
Cyber Italia
Innovazione
Cybercrime
Cybercrime