Roma – Un piccolo caso giudiziario si è trasformato in una potenziale bomba ad orologeria per i network telematici britannici: un magistrato inglese ha infatti chiarito, in una sentenza appena emessa, che le attuali normative del paese non vietano gli attacchi distribuiti di tipo dos (denial of service).
Non si tratta di cosa di poco conto: i DDoS sono sempre più utilizzati dalla criminalità per mettere in ginocchio aziende, taglieggiarle e ricattarle, organizzazioni che sfruttano la grande quantità di botnet disponibili, reti spesso enormi composte da migliaia di computer zombie gestiti da cracker senza scrupoli.
La sentenza è legata al caso di cui PI ha parlato ieri , quello di un giovane britannico portato alla sbarra per aver inviato 5 milioni di email al mail server di una ditta per la quale aveva lavorato, congestionandolo. Un’azione che il giudice ha paragonato ad una forma di denial-of-service.
Secondo il magistrato, il giovane, di cui non sono state rivelate le generalità, non avrebbe violato il Computer Misuse Act in quanto le email non hanno portato a “modifiche non autorizzate” del sistema aggredito, unica fattispecie coperta dalla normativa. “Il mondo dell’informatica – ha spiegato il magistrato – è cambiato radicalmente da quella legge del 1990”. “In questo caso – ha scritto – le singole email inviate hanno sì comportato modifiche al server, ma modifiche autorizzate: sebbene inviate in massa, con la conseguente congestione del server, l’effetto ottenuto non è una modificazione così come descritta dalla sezione 3 del CMA”. Per queste ragioni, ha spiegato il giudice, “ho concluso che nessun tribunale potrebbe ragionevolmente sentenziare che le modifiche causate dalle email inviate dall’imputato non erano autorizzate”.
Gli avvocati del giovane, e lo stesso imputato, si sono detti evidentemente felici della sentenza di primo grado. Sebbene non sia ancora chiaro se l’azienda presa di mira abbia intenzione di ricorrere in appello, gli stessi legali hanno parlato di un “caso-chiave” che richiede una immediata azione legislativa. Per ora, questo l’effetto della sentenza, un cittadino britannico che lanciasse un attacco DDoS potrebbe cavarsela senza imputazioni di sorta .