Nel momento in cui decidiamo di rendere sicuro un dato sistema informatico non vogliamo fare altro che predisporre tutte le misure idonee a prevenire i danni che su di esso potrebbero essere provocati. Si cerca, in altre parole, di ridurre il rischio di un attacco prevenendone le modalità di esecuzione e predisponendo le opportune contromisure. Naturalmente qualsiasi tipo di prevenzione, in particolare in ambito informatico, non riesce mai a garantire il sistema protetto, in modo completo e definitivo, contro tutti gli attacchi, anche perché questi ultimi si presentano sempre diversi. Ed è proprio su questo aspetto, la continua evoluzione delle modalità offensive, che lo strumento honeypot può essere, in modo lecito, utilizzato con estremo beneficio per il sistema che si vuole proteggere. Un sistema sicuro è quello che permette non solo di impedire l’accesso o il danno ma anche di avvisare e mantenere traccia (visibile) dell’intrusione al fine di serrare la “porta” attraverso cui quest’ultima è avvenuta. Il problema diviene critico quando si analizza un terzo aspetto della sicurezza: la reazione. Nel momento in cui il responsabile della sicurezza, interrogando i dati ricavati da un honeypot, rileva delle intrusioni non autorizzate all’interno del sistema ha l’obbligo di predisporre delle misure di reazione idonee a reagire a quel tipo di attacco.
Ma fino a che punto è lecito reagire?
Sicuramente non si può rispondere con la stessa moneta, ad esempio: tracciando il percorso sino all’origine e, una volta individuato il colpevole dell’intrusione, vendicarsi. Quello che si può compiere, senza incorrere in conseguenze penali, da vittime è: osservare i comportamenti dell’attaccante e utilizzarli come esperienze utili al fine di migliorare le proprie difese per il futuro ed eventualmente se si riesce a individuare l’origine dell’attacco denunciare il tutto alle forze dell’ordine collaborando con esse. Anche in questo caso si dovrebbe compiere un lungo discorso sull’illegittimità di farsi ragione da sé contro delle offese e del confine che diviene sottile, colorandosi di particolari problematiche, nell’ambito della realtà informatica tra questa azione non legittima e la legittima difesa.
Applicando, per analogia, le norme vigenti si può affermare che l’utilizzo di tale strumento, se impiegato con estrema attenzione e per fini leciti, non appare configurare una specifica ipotesi di reato. Tuttavia, ogni situazione costituisce un caso a sé che merita un’estrema attenzione e una puntuale valutazione alla luce non solo delle caratteristiche tecniche ed operative dello strumento utilizzato ma anche e principalmente del fine per cui viene ideato, adottato e reso operativo.
Quello che, comunque, appare certo è:
1. oggi non solo è lecito ma anche necessario, e in alcuni casi doveroso, precostituire delle difese e aggiornarle attraverso la conoscenza delle ultime tecniche utilizzate da chi tenta, per vari motivi, di attaccare e danneggiare un sistema informatico e in questa prospettiva lo strumento honeypot potrebbe rientrare, a buon titolo, nei piani di sicurezza di un sistema informatico proprio perché garantirebbe l’aggiornamento delle tecniche di difesa alla luce degli attacchi più moderni e insidiosi;
2. ideare e rendere operativo un sistema informatico non protetto, o non eccessivamente protetto, (salvo il caso in cui contenga dati personali) inserendolo tra altri protetti (vaso di terracotta tra vasi di ferro) e difficilmente violabili non costituisce di per sé un reato; il problema, semmai, è della vittima che, eventualmente, non potrà accusare l’attaccante di aver violato il proprio domicilio informatico perché non erano state predisposte delle idonee misure atte ad impedirne l’accesso e rendere noto all’esterno la volontà di esercitare il proprio ius escludendi alios;
3. è illecito l’utilizzo di un honeypot come arma per predisporre un attacco privato, “una vendetta” contro chi ha “bucato il sistema”, poiché nel nostro ordinamento giuridico non spetta ai privati catturare, giudicare e punire chi commette un reato in quanto è scopo principe del diritto quello di impedire che i cittadini si facciano giustizia da sé aggiungendo ad un delitto la commissione di un altro delitto.
Quest’articolo, con le sue inevitabili lacune, vuole rappresentare un invito (per alcuni sarà probabilmente una provocazione) diretto a chi si occupa di sicurezza informatica a parlare non solo di honeypot ma anche di altre realtà informatiche coinvolgendo il mondo del diritto, al fine di creare quella necessaria sinergia tra due mondi, che sebbene per cultura e formazione si trovano tra loro lontani, devono oggi necessariamente interagire. Come la società nata on-line ha delle esigenze che il diritto non può trascurare, pena un incolmabile “gap d’incomprensione”, così lo stesso diritto ha dei principi e delle regole che la società dell’informazione non può non rispettare, pena il ritorno alla legge di natura. L’intero scritto testimonia così le difficoltà incontrate da un giurista nell’analizzare, con gli strumenti normativi classici, argomenti relativi alla sicurezza informatica e ai problemi ad essa connessi.
Questa considerazione sull’impossibilità di contenere, stringendola con la mano del diritto, le diverse realtà legate all’utilizzo delle tecnologie informatiche non preclude in modo assoluto un intervento del diritto penale, anzi la sua presenza diviene auspicabile e necessaria purché nei limiti e con le modalità proprie del terreno che si vuole disciplinare.
Posto che un intervento regolatore di tipo penalistico sia indispensabile, come testimonia la già ricca produzione normativa, il problema diviene quello di ritagliare uno spazio operativo reale a tale diritto in modo da non ridurre lo stesso ad un semplice simbolo di un mitico controllore dormiente che può solo punzecchiare con uno spillo, se destato da qualche forte interesse, un gigante che quotidianamente cammina e opera nella on-line.