Le regole sul cyber crimine vanno riformate
La Rubrica: Cybersecurity Week
Al termine delle indagini l'accusa di omicidio è stata lasciata cadere. Immagino che vi starete domandando a cosa mi riferisco. Qualche mese orsono, per la precisione qui, avevo parlato dell'attacco informatico attraverso cui era stato bloccato l'intero ospedale di Dusserldorf e la possibilità che il mancato ricovero di un'anziana paziente, poi deceduta, avrebbe offerto l'opportunità agli inquirenti di incriminare i responsabili dell'aggressione virtuale per un omicidio reale. Le indagini condotte dal procuratore di Colonia Markus Hartmann hanno ricostruito con precisione l'accaduto. In particolare l'autopsia e le perizie hanno portato gli inquirenti a stabilire che la donna di 78 anni sarebbe morta anche se fosse stata ricoverata immediatamente. Di conseguenza il trasferimento e il conseguente ritardo, determinati dall'attacco, non sono risultati determinanti, pertanto non hanno causato direttamente la morte.
La Rubrica Cybersecurity week
La procura ha quindi deciso di non procedere con la "storica" incriminazione, perché "la condizione clinica è stata l'unica causa di morte", pur non escludendo che i ritardi abbiano contribuito in piccola misura al decesso, ma non abbastanza per reggere alla prova dell'aula di un tribunale. Evidente una certa delusione del procuratore che ha rimarcato quanto sia stato complesso rimettere in moto l'attività dell'ospedale, che ancora dieci giorni dopo era ben lontano dalla piena operatività. Questo nonostante i criminali avessero consegnato le chiavi di decifrazione appena avvisati della vittima.
Inoltre la procura teme che sarà molto difficile portare davanti alla giustizia i criminali dato che l'origine del malware, denominato Doppelpaymer, sembrerebbe portare verso la Russia, paese raramente disponibile ad accogliere richieste di estradizione, soprattutto per crimini informatici.
Questo finale, probabilmente giuridicamente indiscutibile, dovrebbe quanto meno aprire un confronto su una complessiva rivalutazione del crimine informatico e di come debba essere inquadrato, soprattutto nella prospettiva dell'evoluzione tecnologica in cui l'Internet delle Cose e le intelligenze artificiali non sono più "futuribili", ma "attuali". Tuttavia, senza scomodare le implicazioni di tecnologie di cui ancora la maggioranza della popolazione mondiale non ha capito alcunché, un altro fatto di segno opposto mi aiuta a spiegare quanto possa essere difficile interpretare un delitto informatico. Un giornalista olandese si è connesso a una riunione riservata dei ministri della Difesa dell'Unione europea. La domanda è come ci sia riuscito. La soluzione è di una semplicità imbarazzante: nell'annunciare su Twitter l'evento il ministro della Difesa dell'Olanda, la signora Ank Bijleveld, ha reso disponibile il link della riunione virtuale e di fatto il relativo codice di accesso (sembra mancasse soltanto l'ultima cifra).
Quando il giornalista si è connesso, l'alto rappresentante dell'Ue Josep Borrell ha chiesto all'intruso: "Sai che questo è un reato?". Il protagonista dell'accesso abusivo si è immediatamente disconnesso, tuttavia l'Unione Europea ha sporto denuncia per l'accaduto. La parte surreale è quanto è accaduto dopo, almeno secondo le notizie emerse. Il premier olandese Mark Rutte avrebbe dichiarato: "Dimostra quanto bisogna stare attenti a questo tipo di incontri; una riunione dei ministri della Difesa non è mai banale; si consiglia cautela; l'unica nota positiva è che Bijleveld ha fatto notare ad altri ministri quanto bisogna stare attenti". Analizziamo l'affermazione. Una riunione "riservata" non può essere banale per definizione. Consigliare la cautela in questo contesto significa ammettere esplicitamente che qualcuno non ha la benché minima idea del significato della parola "sicurezza". Fatemi dire che se si tratta del ministro della difesa la cosa diventa piuttosto imbarazzante. Se poi si aggiunge che "l'unica nota positiva" è quella di fare notare "quanto bisogna stare attenti" si precipita nel ridicolo. Auspicando che la difesa degli altri stati europei sia in mani migliori di quella olandese, mi auguro che tutti i partecipanti abbiano fatto una "silenziosa e grassa" risata collettiva. Giusto per non piangere.
Domanda per tutti i giuristi: veramente il giornalista è perseguibile e i criminali dell'ospedale no? Oppure dobbiamo iniziare a sviluppare un modo diverso di vedere le cose?