In un certo senso, si può affermare che l'essenza della colpa risiede nella prevedibilità dell'evento dannoso. Nessuno, infatti, può essere ritenuto responsabile di un danno cagionato a terzi se il fatto dannoso non può assolutamente considerarsi "prevedibile" e se non viene dimostrato che la attività o la non-attività (che in termini giuridici si definiscono rispettivamente come "azione" ed "omissione" dell'agente) sono riconducibili a quelle cautele che ciascuno è tenuto ad adottare nei normali accadimenti della vita.
In altre parole (e per limitarci al tema oggetto di questo dibattito) il gestore di un sistema informativo può essere chiamato a rispondere (civilmente) per il danno cagionato ad uno degli utenti soltanto se viene provato che egli non ha improntato la propria condotta a quelle cautele che ciascuno è normalmente tenuto ad adottare e, particolarmente, se ha omesso di tenere una condotta doverosa.

In questo contesto è evidente che tra gli "eventi" illeciti che possono considerarsi "prevedibili" da parte del sysop nella gestione di un sistema informatico e/o telematico rientrano a buon titolo sia l'uso da parte degli utenti della posta elettronica per scambiare informazioni riservate o per diffondere notizie a contenuto diffamatorio o per favorire la prostituzione, sia l'uso del file-transfer per diffondere software abusivamente riprodotto o virus informatici (per fermarci alle ipotesi di più comune interesse).
In alcuni casi, la omessa adozione di cautele dovute può condurre il gestore del sistema ad essere considerato penalmente responsabile (del fatto commesso da utenti del BBS) per avere consapevolmente agevolato, con la propria omissione, la commissione del reato da parte di terzi (in altre parole, il sysop è un concorrente nel reato). E' il caso, ad esempio, della abusiva duplicazione di programmi che vengono scambiati liberamente tra utenti attraverso il file server del BBS, quando si dimostri che il sysop è a conoscenza di (o non può ignorare) tale attività illecita

Cosa deve fare, dunque, il gestore della BBS se vuoler evitare di essere coinvolto nel fatto illecito altrui ? Quali cautele "minime" debbono considerarsi adeguate a fronteggiare gli illeciti più comuni?

Alcune affermazioni di un autorevole specialista, udite nel corso del convegno ANFoV organizzato a Roma il 31 maggio scorso, sembrano ispirate a queste premesse teoriche (cioè: la responsabilità del gestore risiede nella prevedibilità dell'illecito che può essere commesso con l'uso del sistema messo a disposizione degli utenti), ma conducono a conseguenze a dir poco discutibili, del tipo "...un vero sysop sa bene quale tipo di traffico si svolge sulla sua rete e deve pertanto cautelarsi " oppure "Il Sysop deve farsi autorizzare nel contratto di abbonamento ad accedere alle mail-box per controllare che l'uso del mezzo sia legittimo".
Ammesso, per assurdo, che ciò sia tecnicamente possibile (nemmeno un battaglione di carabinieri riuscirebbe a tenere sotto controllo le migliaia di transazioni al giorno che un internet provider normalmente indirizza automaticamente sulla rete) nessuno accetterebbe in linea di principio di sottomettere (per contratto!) la propria corrispondenza ad un sistematico controllo dei contenuti.

Ma ciò che - a mio parere - appare più d'ogni altra cosa criticabile in questa impostazione del problema, è proprio la premessa teorica: il responsabile di un BBS potrebbe ritenersi responsabile per l'uso illecito del mezzo da parte degli utenti soltanto qualora si dimostrasse che egli ha l'obbligo di controllare il flusso di corrispondenza nelle mail-boxes. Ed è di tutta evidenza, dunque, che nessuna norma attualmente impone questo obbligo, e che, in difetto di una espressa autorizzazione, qualsiasi intromissione nella e-mail altrui potrebbe integrare gli estremi del reato di violazione o soppressione di corrispondenza telematica (art. 616 del codice penale, in tal senso modificato dalla legge del 1993 sulla criminalità informatica ed applicabile anche alla "corrispondenza aperta" tipica delle mail-box).

Allo stesso modo è del tutto assurdo pretendere dal gestore di un sistema pubblico che questi proibisca o renda comunque impossibile l'uso di strumenti di crittografia per lo scambio di messaggi.
La segretezza delle comunicazioni è un diritto fondamentale di libertà che può essere compromesso o limitato soltanto in presenza di interessi collettivi superiori (come la sicurezza pubblica, ad esempio). Dunque, io ho il diritto di rendere la mia corrispondenza intelligibile soltanto al destinatario da me prescelto, così come ho il diritto di mettere l'antifurto sulla mia automobile o di chiudere il mio danaro in cassaforte.
Impedire l'uso di sistemi di encriptazione nel timore che qualcuno ne abusi per commettere reati equivale, se vogliamo, ad impedire alla gente di uscire di casa nel timore che qualcuno vada a rubare...

Resta dunque da vedere se esistano, o siano ricostruibili sulla base della comune esperienza, delle "norme tecniche di sicurezza" comunemente accettate. Si tratta, in sostanza, di norme "di buona condotta tecnica" che consentono di definire "prudente" o "non negligente" il comportamento del gestore di sistema.
Siamo tutti consapevoli, ad esempio, che tenere in linea un file di testo con l'elenco delle password costituisce una grave imprudenza, poiché rende agevole il furto di password , l'uso dei crediti altrui e lo scambio di persona.

La violazione di queste regole di prudenza, se comunemente accettate, può essere, pertanto, una causa di responsabilità del gestore di sistema e obbligarlo a risarcire il danno cagionato dalla mancata predisposizione delle doverose cutele.

Ecco, dunque, una sequenza ragionata di "norme tecniche minime" per la gestione "sicura" di un sistema informativo automatizzato.
Si tratta, naturalmente, di una raccolta esemplificativa di esperienze professionali e non ha in questo contesto scopi diversi da quelli di stimolo alla discussione.
Da notare come ogni regola tecnica tragga la propria ragione d'essere proprio nella "prevedibilità" - nel senso sopra cennato - di un possibile evento illecito legato all'abuso del sistema.

1. Identiflcazione degli utenti
Tutti hanno diritto ad usare uno pseudonimo, se vogliono, ma nessuno può agire nel sistema se non è conosciuto ed identificato con un regolare documento di identità dal sysop, che provvederà ad assegnargli sia il login name che la password (a richiesta della autorità giudiziaria il sysop deve essere sempre in grado di assegnare un evento del sistema ad un "autore").
Ciascun login name deve essere associato ad una persona fisica. I login name non utilizzati devono essere immediatamente disabilitati da parte del sysop per evitarne l'uso da parte di persone non autorizzate. E' opportuno, proprio a tale fine, prevedere un elenco degli utenti cancellati.
A ciascun login name ( e quindi a ciascuna persona fisica) deve essere associata una password di almeno sei caratteri, che dovrebbe essere cambiata periodicamente. Per assicurare un buon livello di sicurezza, il sistema dovrebbe imporre periodicamente la sostituzione della password e impedire il riutilizzo di quelle "scadute". Il sistema dovrebbe altresì verificare che tutti i serventi della rete siano tra loro reciprocamente autenticati (ad esempio integrando i dati dei serventi in un unico data base distribuito).
Alcuni sistemi con particolari esigenze di sicurezza (nel mondo bancario, ad esempio) utilizzano tecniche di crittografia nella fase di autenticazione (per evitare il pericolo di intercettazioni).
E' opportuno che il sistema effettui un login unico per accedere a tutti i servizi di rete.

2.Controllo degli accessi e protezione delle informazioni
Il sistema deve essere programmato per impedire connessioni simultanee da parte dello stesso utente che utilizzi diverse stazioni di lavoro (per controllare l'uso abusivo di password).
Non è prudente, in generale, consentire un numero illimitato di tentativi in caso di errore nella digitazione della password. Per alcuni servizi di manutenzione del sistema sarebbe opportuno limitare le fasce orarie in cui il sysop o i suoi collaboratori sono abilitati ad accedere all'host o al servente (allo scopo di impedire l'uso abusivo delle password di sistema).
E' indispensabile verificare periodicamente i diritti di accesso di ogniutente.
E' considerata una buona norma la accurata pianificazione dei backup periodici (non solo al fine di non perdere dati, ma - per quanto attiene alla sicurezza - per essere in grado in ogni momento e, in particolare, dopo un crash di sistema, di ricostruire le sequenze degli accessi e delle attività di sospetto sabotaggio). Perché il sistema di backup sia sempre efficace è necessario che il software effettui sempre la verifica in lettura dei dati dopo la loro scrittura, effettuando prove periodiche di ripristino su directory temporanee di lavoro.
E' opportuno assegnare ad un software residente il controllo permanente delle dimensioni dei file delle aree vitali del sistema (comparando, a scopo anti-virus, tali dimensioni con quelle ufficialmente dichiarate dal produttore).

3. Misure normative ed organizzative
Il gestore dovrebbe definire una normativa di sicurezza vincolante per tutto il personale appartenente all'organizzazione, focalizzando le attività di formazione sui problemi della sicurezza. Le norme di sicurezza devono essere conosciute ed accettate da tutti gli utenti al momento di sottoscrivere la loro adesione. Chi non osserva le norme di sicurezza deve essere sanzionato con l'esclusione dall'uso del sistema.
Le norme che sanzionano penalmente la duplicazione non autorizzata del software e la diffusione di virus informatici dovrebbero essere poste in evidenza al momento del primo login e soprattutto al momento della compilazione della scheda di adesione da parte del new user.
E' opportuno utilizzare chiavi crittografate per l'accesso di servizio per manutenzione alle aree critiche riservate del sistema.
(13.06.95)

Il dr. Gianni Buonomo, magistrato, è addetto all'Ufficio automazione del Ministero di Grazia e Giustizia