Ruba questa connessione wi-fi

Questo è il titolo dato ad un post di un articolo su Wired da Bruce Schneier, colui che l’Economist ha definito “security guru” e il creatore della newsletter di Crypto-Gram. Un articolo dai toni, sicuramente, provocatori.

Shneier ammette, nel suo articolo, che per lui condividere la propria connessione wireless domestica è, fondamentalmente, una questione di cortesia. Nessun problema per le limitazioni alla banda della sua connessione.

Ogni qualvolta qualcuno gli chiede in che modo protegga la propria connessione wi-fi egli risponde che la tiene, candidamente, aperta e senza alcun sistema di cifratura. Egli è consapevole del fatto che qualcuno potrebbe utilizzare la sua connessione per commettere ogni sorta di nefandezza, come ad esempio scaricare o condividere immagini pedopornografiche, ciò nonostante ritiene che tenere aperto o chiuso l’accesso al proprio Access Point wireless sia del tutto indifferente. Con un minimo di praticità, infatti, ogni wardriver smaliziato potrebbe comunque accedervi.

Bruce sa, inoltre, che alcuni rischi reali ci sono: c’è il rischio di poter vedere sequestrato il proprio computer e c’è il rischio che gli inquirenti non riescano a cogliere immediatamente la ipotesi che un AP possa essere utilizzato da soggetti differenti dal suo titolare. Pur prevedendo tutto ciò ritiene, comunque, che il massimo della sicurezza la si ottenga senza alcun controllo o limitazione in accesso. Ciò che conta, prosegue, è tenere i dati al sicuro all’interno del proprio computer, utilizzando, ad esempio, sistemi di cifratura dei dati.

La sicurezza informatica è sempre una questione di compromessi. Se la connessione wireless fosse protetta e qualcuno la “bucasse” per commettere reati informatici in rete – prosegue Schneier – sarebbe più difficile difendersi dall’accusa di essere i responsabili di quei reati. Con una connessione condivisa, invece, basterebbe dire all’accusa: “io non ne so niente… d’altronde la mia connessione è condivisa e potrebbe essere stato chiunque a commettere il reato di cui mi si accusa”.

Ebbene il ragionamento è, paradossalmente, condivisibile. Tuttavia potrebbe ingenerare false aspettative di impunità in chi dovesse seguire questi ragionamenti in termini pratici. Schneier, sostanzialmente, affronta l’argomento dal punto di vista della sicurezza dei dati contenuti nel sistema informatico del soggetto che condivide la connessione wireless ma (mi pare) sottovaluta i problemi legati alla responsabilità che da tale condotta potrebbe derivare.

A parte l’eventuale violazione contrattuale che il fornitore di connettività potrebbe lamentare si impongono alcune considerazioni tecniche di natura penalistica.

E’ corretto dire che chi lasci l’accesso al proprio AP liberamente disponibile non corra alcun “rischio” nel caso in cui vengano commessi reati attraverso la connettività messa a disposizione?

Il primo rischio che corre chi condivide la propria connettività internet è, come notato da Schneier, quello di vedersi sequestrare il computer (sia esso un sequestro probatorio o preventivo). Su tale macchina saranno eseguite le indagini di computer forensics, dalle quali potranno emergere, a suo (Tizio) carico, “chiari” indici di responsabilità per il crimine commesso (ad esempio se le indagini sono volte a ricercare il responsabile di una condivisione di materiale pedopornografico e, sul computer del “condivisore di accessibilità ad internet” dovessero scoprirsi programmi di peer to peer con file pedopornografici posti nella cartella condivisa). Se, invece, le analisi di computer forensics non dovessero evidenziare alcun elemento di responsabilità “diretta”, allora (probabilmente) i rischi andranno ad attenuarsi.

Il discorso si complica notevolmente.

Esempio: Caio si collega all’AP di Tizio. Questo AP non è protetto ma da’ libero accesso a chiunque. Caio diffonde immagini pedopornografiche (art. 600 ter, terzo comma, c.p.). Le indagini di network forensics evidenziano che dall’indirizzo IP dell’AP di Tizio sono state diffuse immagini pedopornografiche. Il PC di Tizio viene sequestrato e Tizio – con notevole probabilità – sarà indagato per il reato di diffusione di materiale pedopornografico. In fase di indagini o nel processo si scopre (ipotesi ottimistica) che Tizio non ha diffuso il materiale pedopornografico, perché, ad esempio, nel suo computer non viene rinvenuta traccia di quella diffusione.

Ebbene, a questo punto, potrebbe emergere una responsabilità di Tizio per non aver impedito la commissione del reato da parte di Caio.

Primo problema: Tizio aveva l’obbligo giuridico di impedire la commissione del reato?

Secondo problema: il reato non impedito può equipararsi ad un evento di cui all’art. 40 cpv. c.p.? Anche se il reato non-impedito non è un reato di evento ma è un reato di mera condotta?

Terzo problema: è ammissibile un concorso unilaterale (di Tizio) animato da dolo eventuale?

[…]

Segue…