I cyber attacchi potrebbero diventare un reato punibile con almeno due anni di carcere, pena prevista sull’intero continente europeo secondo un disegno di legge che la commissione per i diritti civili del Parlamento europeo ha appena approvato con 50 voti favorevoli, uno contrario e tre astenuti. A pagare, oltre agli autori degli attacchi, anche chi produce o utilizza software per azioni di hacking e le aziende che “beneficiano” di questi attacchi.
Una visione ad ampio raggio, quella della proposta di legge quadro europea sul tema, che se da un lato sembra guardare agli Anonymous e agli hacktivisti della Rete – ad alto tasso di simbologia politica anti sistema – dall’altro non dimentica chi invece i cracker li paga per colpire un’azienda concorrente. Secondo la relatrice Monika Hohlmeier (deputato tedesco del PPE), l’accesso illegale, l’interferenza o l’intercettazione di dati dovrebbero essere rivisti dentro una legge che armonizzi la selva giuridica che attualmente caratterizza il vecchio continente:
Abbiamo a che fare con gravi attacchi di natura criminale, alcuni dei quali sono condotti da organizzazioni criminali. I danni patrimoniali causati ad aziende e privati è di diversi miliardi ogni anno. Nessuna casa automobilistica può mettere in strada una macchina senza le cinture di sicurezza. E se questo accade, la società produttrice sarebbe ritenuta responsabile per eventuali danni. Queste regole devono essere applicate anche nel mondo virtuale.
Ma cosa significa e come dovrebbe funzionare? La legge individua la pena minima (due anni) con delle aggravanti, ad esempio nel caso di attacchi su larga scala (botnet), calcolate in base ai costi finanziari prodotti, così da evitare punizioni eccessive per azioni simboliche. Poi si dedica anche alle tecniche. Per l’IP spoofing (la sottrazione di identità per commettere un reato) si arriva a tre anni, con l’aggravante se commessa da un’organizzazione oppure se prende di mira le infrastrutture critiche come i sistemi informatici di centrali elettriche o le reti di trasporto.
Il progetto di legge – che la commissione vorrebbe far approvare al Parlamento entro l’estate – guarda anche alla responsabilità delle persone giuridiche, per evitare che i casi di spionaggio industriale sfocino in veri e propri attacchi di aziende private contro altre aziende private mettendo al libro paga quegli stessi esperti di cyber attacchi che si vorrebbe punire. Il concetto che emerge da questo disegno è che si punisce chi agisce, ma anche chi non evita che qualcuno agisca e persino chi dispone di strumenti atti a condurre attacchi informatici (anche se non è dimostrato che si attueranno realmente in futuro). Ed è questo l’aspetto più delicato di tutta le legge, che non piace affatto ad alcuni commentatori, come Techdirt, che non esita a definirlo «folle».
I paesi membri dell’UE che ratificassero la legge saranno tenuti a garantire che le loro reti nazionali siano disponibili tutti i giorni dell’anno e che possano rispondere a richieste urgenti entro un massimo di otto ore, «al fine di prevenire la diffusione di attacchi informatici oltre frontiera».