Secondo gli esperti del settore, le leggi di Malta devono adattarsi per consentire agli “hacker etici” di segnalare le vulnerabilità della sicurezza informatica senza timore di essere perseguiti.
“Con il quadro giuridico esistente, non rivelerei nulla“, ha dichiarato l’avvocato specializzato in cybersecurity Ian Gauci.
Neville Grech, hacker etico ed esperto di cybersecurity, ha dichiarato che alcuni suoi ex colleghi universitari sono ora troppo spaventati per partecipare a corsi di cybersecurity nel caso in cui “vengano arrestati“.
I loro commenti fanno seguito al caso di quattro studenti di informatica che, dopo aver rivelato una debolezza della sicurezza all’interno del locale FreeHour, avrebbero potuto essere sfruttati da hacker malintenzionati.
Gauci ha spiegato che, nonostante le loro migliori intenzioni, gli studenti rischiano comunque di essere perseguiti.
“Secondo la legge, se c’è un accesso non autorizzato (hacking), indipendentemente dal fatto che sia fatto in modo etico o meno, è comunque perseguibile“, ha detto Gauci.
Gli studenti sono indagati in base all’articolo 337 del Codice penale, che rende illegale l’accesso a un’applicazione senza essere “debitamente autorizzati da una persona autorizzata“.
Gauci ha spiegato che Malta attualmente non ha disposizioni di “porto sicuro” per coloro che utilizzano le loro competenze informatiche per scopi etici, come la divulgazione di potenziali rischi per la sicurezza senza intenti malevoli.
Altri Paesi europei, come Francia e Belgio, hanno iniziato a emanare leggi che consentono l’hacking etico in determinate circostanze.
Quando un individuo desidera segnalare una vulnerabilità che riguarda un’organizzazione belga, deve segnalarla anche al Centre for Cybersecurity Belgium, il team di risposta informatica del Paese.
La legislazione belga, promulgata a febbraio, specifica anche che la persona che effettua la segnalazione deve agire senza intento fraudolento o doloso.
“Ci sono diversi modi in cui il legislatore può provvedere e proteggere gli hacker etici“, ha detto Gauci.
“In alternativa, la legge potrebbe anche essere modificata per introdurre alcune esenzioni dall’azione penale in alcuni casi prequalificati“.
Attualmente la Francia segue questo schema, in quanto le sue disposizioni esentano dal perseguire i ricercatori che segnalano le vulnerabilità.
Le giuste intenzioni
A livello internazionale, molte aziende, siti web e sviluppatori di software offrono programmi di divulgazione che possono dare agli hacker etici l’opportunità di ricevere un riconoscimento per la segnalazione di vulnerabilità e bug, ha affermato Gauci.
Questi programmi danno agli hacker etici i permessi e le autorizzazioni di cui hanno bisogno per portare avanti le loro pratiche senza preoccuparsi delle ramificazioni legali.
Alcuni dei miei ex colleghi all’università ora hanno paura di partecipare ai corsi di cybersecurity– Neville Grech
I programmi di divulgazione possono far parte di processi più ampi in cui i ricercatori di vulnerabilità collaborano e condividono le informazioni per garantire che, una volta individuate, le vulnerabilità vengano divulgate al pubblico una volta che sono state corrette o rattoppate, si legge nelle linee guida dell’UE.
Questi processi sono noti nel settore come Coordinated Vulnerability Disclosures (CVD).
Secondo un rapporto del 2022 dell’Agenzia dell’Unione Europea per la Cybersecurity (ENISA), Malta non ha ancora implementato una politica di CVD e non c’è alcun piano per implementarla in questa fase.
Tuttavia, nel 2016, il rapporto sulla Cyber Security Strategy di Malta affermava che “la possibilità di un quadro politico nazionale di divulgazione responsabile… può anche essere esplorata“.
Il quadro potrebbe essere attivato attraverso “l’autoregolamentazione, la promozione e l’incoraggiamento da parte del governo, nonché attraverso un quadro adeguato per garantire una divulgazione responsabile delle vulnerabilità“, si leggeva nel rapporto del 2016.
Lunedì sono state inviate delle interrogazioni all’Agenzia maltese per le tecnologie dell’informazione per sapere se è prevista l’adozione di tale quadro.
Tuttavia, poiché a Malta attualmente non esistono linee guida CVD e regimi di safe harbour, l’hacking etico non è un aspetto che la legge maltese prende in considerazione, ha affermato Gauci.
Michael Debono, Luke Bjorn Scerri, Luke Collins e Giorgio Grigolo sono stati arrestati dopo aver cercato di mettere in guardia una popolare app per studenti dalle sue falle di sicurezza. Foto: Daniel Tihn“Si potrebbe creare uno scudo legale per i cappelli bianchi (un altro termine per indicare gli hacker etici) di alto profilo, in modo che queste disposizioni possano essere tutelate anche nei sistemi legali esteri“, ha affermato Grech.
Grech ha definito l’importanza della sicurezza informatica come “un’attività essenziale che deve essere condotta per mantenere al sicuro il nostro sistema democratico, i cittadini, i residenti e le aziende che operano a livello internazionale“.
“Alcuni dei miei ex colleghi universitari ora hanno paura di partecipare ai corsi di cybersecurity per non essere arrestati“, ha detto Grech.
Anche i bug bounty soffrono di una mancanza di chiarezza giuridica. I bug bounty sono una pratica comune tra gli hacker “white-hat“, in quanto le aziende offrono ricompense finanziarie a coloro che trovano bug all’interno dei loro sistemi.
“I bug bounty non sono definiti dalla legge, ma sono piuttosto un termine usato nell’industria“, ha detto Gauci, sottolineando la necessità di includere disposizioni etiche nel Paese.
