Wardriving, hacking legale o no?

di Daniele Minotti. La ricerca di buchi di sicurezza nelle reti wireless, ormai sempre più diffuse, porta ancora una volta alla ribalta le azioni di hacking costruttivo, che può anche rivelarsi illegale
di Daniele Minotti. La ricerca di buchi di sicurezza nelle reti wireless, ormai sempre più diffuse, porta ancora una volta alla ribalta le azioni di hacking costruttivo, che può anche rivelarsi illegale


Roma – Il “Wardriving” negli Stati Uniti è, ormai, una pratica ampiamente sperimentata anche se non necessariamente di elevato contenuto tecnico. Esiste pure un sito dall’omonimo dominio dove reperire tutte le informazioni del caso, comprese le istruzioni per la realizzazione della bizzarra (ma efficace) “Pringles antenna”.

Ma cos’è, anzitutto, il “wardriving”? Il termine – ma si conosce anche un meno diffuso “LAN jacking” – è l’ennesimo neologismo di origine statunitense legato alle nuove tecnologie e coniato, secondo il sito indicato, da Pete Shipley. E’ composto, molto semplicemente, dai due termini “war” e “driving” e, secondo la definizione resa nella lingua originale, consiste in quanto segue: “driving around looking for unsecured wireless networks”. L’accento è, posto, dunque, sulla mera ricerca delle falle delle reti wireless, insomma sul’hacking “buono”, quello praticato con fini non distruttivi, ma per il miglioramento della sicurezza informatica.

Si ripropone, così, la dicotomia “hacking buono” e “hacking cattivo”, ma, ad avviso di chi scrive, si sottovalutano ancora una volta le possibili conseguenze giuridiche dell’azione in sé, al di là delle motivazioni personali non necessariamente rilevanti (almeno da questo punto di vista, quello giuridico).

Il fenomeno merita una breve panoramica. Le reti wireless (prime fra tutte, attualmente, quelle che utilizzano lo standard 802.11b) hanno ormai prezzi popolari. Non è difficile trovare, anche sui cataloghi della grande distribuzione italiana, sistemi W-LAN (access point e schede Pcmcia o USB) a poche centinaia di euro.

I vantaggi sono innegabili. A fronte di velocità più che soddisfacenti, una rete wireless permette di evitare costosi e complicati cablaggi garantendo un’assoluta libertà di movimento all’operatore (nei limiti delle copertura, comunque ampia). A ciò si aggiunga che sul mercato italiano sono state presentate le prime soluzioni wireless per l’accesso a Internet, mentre alcune amministrazioni pubbliche (come Trento) iniziano concretamente a pensare di coprire il proprio territorio. Tali occasioni determineranno un’ulteriore, decisiva espansione della tecnologia in questione.

Un primo problema, però, è rappresentato dal fatto che poche imprese adottano, ufficialmente, reti wireless. Al contrario, sovente sono i dipendenti a procurarsi, per propria comodità, i dispositivi necessari all’insaputa del datore di lavoro così compromettendo la sicurezza informatica aziendale.

Oltre a ciò, va ricordato che le reti wireless supportano protocolli di crittografia come WEP – Wired Equivalent Privacy -, ma lo stesso, oltre a non essere – a quanto si dice – particolarmente robusto viene raramente attivato, così lasciando che il flusso di dati sia agevolmente conoscibile da “curiosi” adeguatamente attrezzati.


Su queste premesse di fatto si aprono alcune questioni giuridiche di non poco conto. Tralasciando la complessa disciplina relativa alle apparecchiature ricetrasmittenti (comunque da non sottovalutare), dal punto di vista del “wardriver” la condotta è chiaramente un’intercettazione che, nel nostro ordinamento, è punita, se riguardante un sistema informatico o telematico, dall’art. 617- quater c.p. con la precisazione che la semplice scansione della rete, senza presa di cognizione del contenuto del flusso, può, al limite, essere considerata tentativo (comunque punibile, seppur in maniera più lieve) e non reato consumato.

Per la verità, anche la mera installazione di apparecchiature atte all’intercettazione può costituire reato (art. 617- quinquies c.p.), ma, atteso che tali apparecchiature sono, quanto meno nella loro configurazione hardware minima, sostanzialmente identiche a quelle usate per usi leciti, occorrerebbe pur sempre la prova dell’univocità dell’intento illecito (ad esempio, mediante il ritrovamento di un tool specifico come AirSnort).

L’inserimento in una rete wireless può, peraltro, essere il primo passo di un accesso abusivo, fatto punibile, sussistendo determinate condizioni, ai sensi dell’art. 615- ter c.p., e per un uso illecito del sistema altrui (ad esempio, lo sfruttamento della connessione ad Internet) punibile come frode informatica (art. 640- quater c.p.).

Sul fronte opposto, anche il responsabile di un eventuale trattamento dati personali il cui sistema implementa soluzioni wireless può essere chiamato a rispondere davanti ad un giudice. Il termine di riferimento è, ovviamente, la legge 675/96, in particolare l’art. 36 che punisce l’omessa adozione di misure di sicurezza (laddove la crittografia può considerarsi misura di sicurezza).

Occorre, inoltre, ricordare la responsabilità civile, forse più gravosa, prevista dall’art. 18 l. 675/96 secondo a quale “chiunque cagiona danno ad altri per effetto del trattamento di dati personali è tenuto al risarcimento ai sensi dell’articolo 2050 del codice civile”. Non tutti sono consapevoli, però, che l’art. 2050 c.c. comporta una vera e propria inversione dell’onere della prova, vale a dire la necessità di dimostrazione, positiva, di aver adottato tutte le misure di sicurezza del caso e di non averne omessa alcuna, fatto tutt’altro che agevole.

Sicché, non sembra inutile ricordare che il responsabile della sicurezza dovrà prestare la massima attenzione non soltanto alle soluzioni informatiche autorizzate, ma anche a quelle predisposte – pur per motivi di lavoro – dai dipendenti in modo del tutto autonomo.

Non vi sono, comunque, soluzioni giuridiche precostituite. A questo proposito, trovo molto responsabile una frase tratta proprio da www.wardriving.com: “As with any questionable activity, there are always two sides. Whether you agree or disagree with the whole practice makes no difference to me, but in the future, legal proceedings and violations may be related to wardriving. Technology is not bound to ethics. It is the application and use (or abuse) of that technology that brings ethics into it”.

avv. Daniele Minotti – Genova
Studio Minotti

Altri articoli dello stesso autore:
I dialer salvano il Web?
Internet e stampa: il punto della situazione

Link copiato negli appunti

Ti potrebbe interessare

04 07 2002
Link copiato negli appunti