Cadono le braccia, quando l'ennesimo Badtrans arriva direttamente dalla mailbox di un internet provider, una settimana dopo dall'allarme e la disponibilità dell'antivirus! E il morale scende a terra leggendo le dichiarazioni di un responsabile della sicurezza di Microsoft, nell'intervista rilasciata a Punto informatico lunedì 3 dicembre. La casa avrebbe la coscienza a posto, perché rende note le vulnerabilità, dopo che sono state scoperte, e mette a disposizione gli strumenti per eliminarle.
Nessuno sembra sfiorato da un dubbio: se queste infezioni si verificano, non sarà perché i prodotti Microsoft sono difettosi all'origine? E, di conseguenza, non dovrebbe la stessa Microsoft essere chiamata a risarcire i danni causati dai prodotti difettosi?

Riassumiamo brevemente i fatti. La diffusione crescente di worm sempre più pericolosi è dovuta alla particolare struttura del programma di posta elettronica Microsoft Outlook (o Outlook Express). Lo dichiara la stessa Microsoft, per esempio a proposito di Badtrans: The virus makes use of the MS01-020 exploit, which means that the virus can execute on reading or previewing the email from within Outlook - it is not necessary to double click on any attachment.
Cioè, basta ricevere un messaggio contenente il worm perché si verifichino i suoi effetti, non occorre fare "doppio clic" sull'allegato.

Ora immaginiamo una situazione tipica: un medico che decide di comperare un PC e servirsene nella sua attività professionale. Va in un negozio e compera una macchina completa di tutto l'hardware e il software necessario. Quindi ha anche un modem (e anche un abbonamento gratuito all'internet) e naturalmente Outlook Express. C'è anche un antivirus, aggiornato a tre mesi prima. Tutto installato. Con qualche incertezza, ma con molto impegno, incomincia trafficare con il suo nuovo acquisto. Nulla gli può far sospettare che quello che sta per fare è una "attività pericolosa per sua natura o per la natura dei mezzi adoperati" (vedremo tra un attimo il perché).

Come prima cosa il nostro dottore - che non ha alcuna conoscenza e nessun interesse per l'informatica, quindi non legge riviste specializzate e non ha mai frequentato siti internet sulla materia - trascrive la sua rubrica cartacea nella rubrica di Windows, arrangiandosi alla meglio con l'aiuto in linea e con i consigli del figlio adolescente (espertissimo in videogiochi e telefonini). Quindi, usando il semplice software di data base preinstallato, inserisce le cartelle cliniche dei suoi pazienti. Segue anche i consigli di un collega e protegge l'archivio con una password (la faccenda è complicata, lo soccorre lo stesso collega che ha già fatto la stessa esperienza e si è fatto aiutare dall'esperto di turno).
Naturalmente incomincia a "navigare" e a scambiare messaggi e-mail, e naturalmente usa Outlook, perché non è a conoscenza dei problemi, dei rimedi e delle possibili alternative. E poi Outlook è già pronto...

Pronto a ricevere, come accade dopo qualche giorno, un worm  che prende la cartella clinica di un paziente e la spedisce a tutti gli indirizzi della rubrica, tra i quali ci sono, naturalmente, alcuni conoscenti del malato.
Le conseguenze sono facilmente immaginabili.
Ora Microsoft dice: "Abbiamo reso noti i problemi e abbiamo messo a disposizione le patch". Bene, ma come poteva il malcapitato dottore essere a conoscenza di tutto questo? C'è  l'art. 18 della legge 675/96 che recita: "Chiunque cagiona danno ad altri per effetto del trattamento di dati personali è tenuto al risarcimento ai sensi dell'articolo 2050 del codice civile". E l'art. 2050 del codice civile sancisce che "Chiunque cagiona danno ad altri nello svolgimento di un'attività pericolosa, per sua natura o per la natura dei mezzi adoperati, è tenuto al risarcimento, se non prova di aver adottato tutte le misure idonee a evitare il danno".

Ora è evidente che chi diffonde dati personali a causa di un worm non ha adottato "tutte le misure idonee a evitare il danno",  essenzialmente l'installazione di un opportuno antivirus e il suo tempestivo aggiornamento, che non può limitarsi alla cadenza semestrale prevista dal DPR 318/99 (necessaria solo per evitare la sanzione penale). Ma chi è il vero responsabile dell'accaduto, nell'esempio che abbiamo fatto? Il buon medico è soltanto una vittima, lui conosce i virus che colpiscono gli uomini, non quelli che attaccano i computer.
Evidentemente la responsabilità è di chi ha prodotto il software pericoloso e di chi lo ha venduto, senza informare l'acquirente sui rischi e senza fornirgli strumenti adatti e evitare i danni.

Non basta dire che gli avvisi e gli aggiornamenti del software sono disponibili sul sito della casa, perché non tutti gli utenti possono essere informati sulla necessità di continue verifiche. Si aggiunga anche che se uno capita per pura curiosità sui siti di Microsoft non trova nessun allarme: serve un minimo di esperienza per trovare le pagine delle "pezze", occorrono una buona dose di fiducia per sottoporre il computer alle verifiche proposte e non poco tempo di connessione per scaricare tutti i rimedi consigliati.
Il punto non è nella disponibilità delle pezze, è nella cattiva qualità del prodotto.

E qui torniamo al discorso fatto qualche giorno fa: serve un intervento del legislatore per obbligare i produttori di hardware e software almeno a informare con chiarezza i clienti dei rischi connessi all'uso del PC. Sul piano civilistico sarebbe necessario prevedere una responsabilità specifica dei produttori di hardware e software, anche sulla falsariga delle norme in materia di tutela dei dati personali, ma è prevedibile che le azioni di lobbying delle aziende interessate renderebbero molto difficile l'approvazione di una normativa in questo senso. Tuttavia già oggi il principio generale della responsabilità per danni obbligherebbe il produttore del software al risarcimento, in barba alle  ridicole clausole vessatorie, che sono regolarmente presenti nei contratti che il cliente è costretto a "sottoscrivere" con un clic o con l'apertura di una busta (articolo 1469-bis e seguenti del codice civile).

Sul piano penale appare sempre più urgente una revisione del codice nella parte aggiornata con la legge 547/93, prevedendo, fra l'altro, limitate ipotesi colpose per la diffusione di codici dannosi (nei casi, per esempio, degli amministratori di sistema).
E qui, anche senza specifiche previsioni legislative, torna il discorso del ruolo che gli internet provider possono svolgere per limitare la diffusione dei codici pericolosi, sottoponendo a controlli la posta elettronica che transita sugli appositi server (vedi l'articolo di Corrado Giustozzi). L'obiezione che viene sollevata di fronte a questa ipotesi è che un filtraggio delle e-mail sarebbe in contrasto con la normativa sulla tutela dei dati personali.

Non è vero: il controllo automatico degli attachment non comporta alcun trattamento di dati, e nemmeno la violazione del segreto epistolare, perché in seguito a una procedura di questo tipo nessuno prende conoscenza del contenuto dei messaggi. In ogni caso basterebbe una specifica informazione nel contratto, con una sintetica spiegazione della natura del controllo, per eliminare qualsiasi dubbio di legittimità della procedura. Ed è difficile immaginare un cliente che rifiuta di essere protetto dal rischio di ricevere virus!
Senza considerare i vantaggi commerciali che possono derivare da un'offerta ben presentata di un servizio più sicuro.

Per oggi ci fermiamo qui, ma il discorso è tutt'altro che concluso: è già alto l'allarme per un nuovo worm: si chiama "W32.Goner.A@mm". Aggiornate subito gli antivirus!