La Direttiva NIS 2, all’articolo 21, prevede che le entità essenziali e importanti adottino “misure tecniche, operative e organizzative appropriate e proporzionate” per gestire i rischi legati alla sicurezza delle reti e dei sistemi informativi.
Tra tali misure, il penetration testing risulta essere una pratica raccomandata per la verifica della robustezza delle difese implementate, in quanto permette di simulare attacchi reali per individuare vulnerabilità e falle di sicurezza.
La direttiva stabilisce infatti, da una parte, che le entità devono applicare misure che includano la gestione dei rischi, e dall’altra, impone alle autorità competenti di vigilare sul rispetto dei requisiti e, se necessario, di richiedere l’adozione di test specifici, tra cui rientrano i test di penetrazione.
D’altra parte, le operazioni di penetration testing sono perfettamente in linea con i requisiti previsti dalla norma ISO/IEC 27001:2022, lo standard internazionale per la gestione della sicurezza delle informazioni che, nell’ambito della protezione contro i rischi informatici, introduce il concetto di valutazione del rischio e di controlli preventivi.
In particolare, l’Annex A dell’ISO/IEC 27001:2022 fa esplicito riferimento alla necessità di adottare misure per “prevenire accessi non autorizzati”, per “proteggere la sicurezza fisica e ambientale” e per “valutare regolarmente la vulnerabilità dei sistemi”.
Inoltre, ulteriori specifici controlli della norma ISO richiamata, prevedono esplicitamente che le organizzazioni eseguano valutazioni regolari dei rischi attraverso l’utilizzo di test, tra cui rientra il penetration testing, come misura atta a garantire la sicurezza dei sistemi informativi contro minacce potenziali.
In ultima analisi, entrambe le normative sottolineano l’importanza di un approccio proattivo alla sicurezza, il quale include la conduzione di penetration testing per garantire l’integrità e la resilienza dei sistemi informativi.
Come osservato nei numeri precedenti, all’interno delle norme cui si è fatto riferimento, il penetration tester rappresenta una figura professionale di rilievo nell’ambito della sicurezza informatica, il cui compito è testare la vulnerabilità dei sistemi informatici di soggetti pubblici e privati mediante simulazioni di attacchi.
Questa attività, volta a individuare le debolezze dei sistemi di sicurezza, può, tuttavia, configurare responsabilità di natura sia civile che penale per il soggetto operante, in relazione a determinate condotte che eccedano i limiti di liceità.
La disciplina giuridica italiana, nel Codice Civile e nel Codice Penale, prevede infatti conseguenze rilevanti per il penetration tester nel caso in cui lo svolgimento della sua attività professionale sia viziato da irregolarità o violazioni normative.
L’attività in questione consiste, da un punto di vista pratico, nell’analisi dei sistemi informatici di terzi anche attraverso tecniche offensive simulate, tipiche degli attacchi informatici perpetrati da soggetti non autorizzati con la differenza fondamentale che l’attività di Ethical Hacking deve essere autorizzata dal consenso informato ed esplicito del soggetto interessato, generalmente formalizzato mediante contratto.
Il regime di responsabilità civile applicabile alla fattispecie trova fondamento negli artt. 1218 e 2043 del Codice Civile.
Nel primo caso, fermo quanto precisato nel primo numero in relazione all’applicazione delle disposizioni dell’art. 2236 in materia di responsabilità, si fa riferimento alla responsabilità contrattuale, che si configura qualora il penetration tester non esegua correttamente la prestazione dovuta, causando un danno al cliente per inadempimento o adempimento difforme.
In tale ipotesi, il prestatore d’opera intellettuale sarà tenuto a rispondere del danno patrimoniale subito dal cliente per effetto di una condotta negligente, imperita o imprudente. (ad ese.: il caso in cui, nel corso del test, il tester provochi accidentalmente l’interruzione o il malfunzionamento di un server preposto all’erogazione di un servizio critico, con conseguente interruzione di servizi essenziali per il cliente, arrecando così un pregiudizio economico).
Diversamente, l’art. 2043 c.c. disciplina la responsabilità aquiliana o extracontrattuale, che si concretizza in presenza di un fatto illecito che abbia causato un danno ingiusto; testualmente il codice civile precisa che: “Qualunque fatto doloso o colposo cha cagiona ad altri un danno ingiusto obbliga chi ha commesso il fatto a risarcire il danno”.
Per semplificare, il penetration tester potrebbe essere ritenuto responsabile ex art. 2043 c.c. nel caso in cui la sua attività comporti danni a terzi, anche in presenza di un rapporto contrattuale con il cliente. Ad esempio, qualora il tester ecceda i limiti del mandato conferito e acceda abusivamente a sistemi informatici di terzi, potrebbe essere chiamato a risarcire i danni cagionati.
Dal punto di vista della responsabilità penale, e del suo accertamento, ferma restando la difficoltà intrinseca, derivante spesso dalla volatilità delle relative evidenze digitali, legata all’accertamento dell’elemento soggettivo richiesto dalle norme incriminatrici, l’attività di penetration testing può integrare numerose ed eterogenee fattispecie di reati previste dal Codice Penale, in particolare in materia di criminalità informatica, anche laddove il tester agisca all’interno di pattuizioni condivise, stabilite con un contratto valido.
Alcune tra le principali fattispecie criminose rilevanti in tale ambito sono disciplinate dagli artt. 615-ter, 617-quater, 635-bis e 623 c.p.
L’art. 615-ter c.p. sanziona l’accesso abusivo a un sistema informatico o telematico, con riferimento a tale disposizione occorre osservare che, anche in presenza di un mandato conferito dal cliente, il penetration tester può incorrere in tale reato qualora violi i limiti dell’autorizzazione, accedendo a sistemi non inclusi nell’accordo contrattuale o utilizzando l’accesso per finalità non autorizzate. (ad. es.: l’ipotesi in cui il tester acceda a sistemi o dati estranei rispetto a quanto indicato nel contratto, incorrendo così in responsabilità penale).
Con riferimento invece all’art. 617-quater c.p. che punisce l’intercettazione, impedimento o interruzione illecita di comunicazioni informatiche o telematiche, si osserva che tale norma, e con essa la relativa fattispecie, potrebbe ritenersi perfezionata qualora, eccedendo i limiti del mandato, il penetration tester intercetti illecitamente comunicazioni o dati personali di terzi non autorizzate, con la conseguente configurazione di responsabilità penale.
A proposito altresì dell’art. 635-bis c.p., che prevede il reato di danneggiamento di sistemi informatici o telematici, non risulta difficile comprendere come il penetration tester potrebbe essere ritenuto responsabile ai sensi di questa norma se, durante l’esecuzione del test, distrugge, cancella o altera dolosamente o colposamente i dati di un sistema informatico del cliente o di terzi, ad esempio cagionando la perdita di dati sensibili per una condotta gravemente negligente durante un attacco simulato.
In relazione infine, all’art. 623 c.p. che punisce la rivelazione di segreti professionali, ci si limita a precisare che il penetration tester, nell’esercizio delle sue funzioni, potrebbe entrare in contatto con informazioni sensibili o segreti industriali del cliente, qualora tali informazioni vengano divulgate o utilizzate senza il consenso del titolare, il tester potrebbe essere accusato di violazione del segreto professionale, incorrendo così in responsabilità penale.
Avv. Giuseppe Serafini
Hai una domanda per l'autore?
Al codice del consumo (n.206/2005) vengono aggiunti nuovi articoli
Prossimo numero.
Nel prossimo numero ci concentreremo sui contenuti della bozza di disegno di legge attuativo della Direttiva NIS 2 o, in caso di sua emanazione, sui contenuti del relativo decreto legislativo di recepimento, esaminando in particolare le disposizioni relative alla responsabilità degli organi aziendali di gestione e controllo.
