HOME Articoli

Lo sai che? Password e wifi violati: cosa succede

Lo sai che? Pubblicato il 10 maggio 2018

Articolo di




> Lo sai che? Pubblicato il 10 maggio 2018

L’hacker che accede al sistema informatico altrui violando email e profili Facebook può essere identificato solo con l’indirizzo IP.

Hai notato che, tutte le volte in cui apri il computer, si accende un’icona che ti segnala la presenza dei wifi nelle vicinanze per la connessione a internet? Se hai mai provato a cliccare su una delle reti indicate nell’elenco, avrai notato che qualcuna di queste è a volte non protetta da password o ha impostato una password elementare (ad esempio la parola stessa «password» oppure «123456789»). Collegarsi a internet tramite la connessione altrui, in questi casi, è questione di un clic. Peraltro, dal punto di vista legale, se si tratta di una connessione flat (per la cui bolletta, cioè, non conta quanto navighi o cosa scarichi) e, durante il tuo passaggio su internet non commetti reati, è difficile intravedere in questo comportamento un illecito (ne avevamo già parlato in Collegarsi alla rete wifi di un’altra persona: cosa si rischia). Diverso è invece il comportamento dell’aspirante hacker che capta la rete altrui per violare dei profili Facebook, per accedere alle altrui email, per lasciare messaggi anonimi o commettere altri crimini. In questo caso, il titolare della connessione rischia di essere incriminato per un comportamento che non è suo. Ma la novità è che l’abusivo può essere facilmente rintracciato. E a chiarire come è stata la Cassazione con una sentenza pubblicata ieri [1]. Vediamo dunque in caso di wifi, nome utente e password violati: cosa succede?.

 Esiste un reato chiamato «accesso abusivo a sistema informatico». A commettere questo crimine, figlio dei giorni nostri, è chi entra in un database, in un programma, un account email o di un social network in modo non autorizzato. Non ci vuole una grossa esperienza di internet per capire che, se si compie l’illecito dalla connessione di casa o dell’ufficio, si può essere facilmente rintracciati dalla polizia al pari di chi commette un furto e poi scappa con la propria auto. E questo perché ogni rete internet, sia che essa sfrutti il tradizionale cavo che invece si valga del wifi, viene identificata tramite un indirizzo: il cosiddetto indirizzo IP. L’indirizzo IP (l’acronimo sta per Internet Protocol) è una sorta di targa che viene assegnata a ogni connessione, anche quella wifi. Tramite di esso è facile risalire alle mosse realizzate durante la navigazione. Un avvocato potrebbe trovare ogni forma di contestazione e dire magari che il solo indirizzo IP non prova nulla, che sono necessari ulteriori accertamenti tecnici per verificare la corrispondenza tra il reato informatico commesso durante la connessione e una determinata persona. Ma è proprio qui che interviene la sentenza della Cassazione. Secondo la Corte l’indirizzo IP è sufficiente a incastrare il responsabile dell’accesso abusivo al sistema informatico altrui e degli altri crimini informatici. Per cui il mancato accertamento delle ulteriore credenziali identificative non evita la condanna se è stato verificato l’indirizzo IP associato la computer dal quale sono stati fatti gli accessi.

L’indirizzo IP – precisano i giudici supremi – è costituito da un codice numerico che identifica univocamente un dispositivo – host – collegato a una rete informatica che utilizza l’Internet Protocol come protocollo di rete. Tale indirizzo, prosegue la sentenza, «viene assegnato a una interfaccia (ad esempio una scheda di rete) che identifica l’host di rete, che può essere costituito da un personal computer, un palmare, uno smartphone, un router o altro dispositivo». L’indirizzo IP, dunque, «identifica oggettivamente il dispositivo elettronico associato, mentre l’identificazione dell’operatore richiede indagini ulteriori, di tipo tecnico o di tipo logico». 

Questo significa che in caso di wifi, nome utente e password violati, l’accertamento dell’indirizzo IP del dispositivo è sufficiente, anche in assenza di ulteriori accertamenti tecnici, a risalire al criminale e a condannarlo. Insomma, come è stato un gioco da ragazzi per l’hacker sfruttare la rete altrui, diventa anche un gioco da ragazzi per il giudice emettere una sentenza di colpevolezza. 

Vi sono due modi per identificare chi entra in un sistema informatico altrui: il primo, che avviene mediante specifici e complessi accertamenti tecnici, conduce «ad una sorta di “mappatura genetica digitale” che può consentire l’identificazione certa dell’operatore che abbia effettuato connessioni attraverso un dispositivo connesso alla rete attraverso l’indirizzo IP». Il secondo è «attraverso elementi dimostrativi diversi dall’accertamento tecnico», purché sulla base di indizi gravi, precisi e concordanti.  

A dare il ‘la’ alla vicenda giudiziaria hanno provveduto alcune persone resesi conto che qualcheduno aveva avuto accesso illegittimamente ai loro profili personali su Facebook.

Le rapide indagini della Polizia postale hanno permesso di risalire all’hacker: un uomo, di origini lombarde, di quasi 50 anni.

Consequenziale il processo, conclusosi con una condanna, prima in Tribunale e poi in Corte d’Appello, per il reato di «accesso abusivo a un sistema informatico» e «sostituzione di persona».

Identica posizione assumono anche i Giudici della Cassazione, che respingono tutte le obiezioni proposte dal legale dell’hacker.

Inequivocabile la ricostruzione – piena di dettagli tecnici – della vicenda, da cui è emerso che l’uomo era «l’utilizzatore esclusivo del personal computer collegato all’indirizzo IP» identificato dalla Polizia Postale e associato «al wifi domestico».

note

[1] Cass. sent. n. 20485/2018 del 9.05.2018.

Corte di Cassazione, sez. V Penale, sentenza 23 marzo – 9 maggio 2018, n. 20485

Presidente Bruno – Relatore Tudino

Ritenuto in fatto

1.Con la sentenza impugnata, la Corte d’Appello di Milano ha confermato la decisione del tribunale di Monza, con la quale Cl. Ce. Ce. è stato condannato, all’esito del giudizio abbreviato, alla pena di giustizia per il reato di accesso abusivo a sistema informatico e sostituzione di persona, cui all’art. 615 ter cod. pen..

2. Avverso la sentenza, ha proposto ricorso l’imputato, per mezzo del difensore, deducendo, con unico motivo, la mancata valutazione dei motivi di appello, finalizzati a censurare la sentenza di primo grado in punto di identificazione dell’autore della illecita condotta di abusiva introduzione nei profili Facebook delle persone offese mediante specifiche deduzioni tecniche, in assenza di elementi individualizzanti.

Considerato in diritto

1. Il ricorso è manifestamente infondato.

2. Nel riportare i motivi d’appello, il ricorrente deduce il fraintendimento dell’atto di impugnazione, finalizzato a censurare l’attribuibilità soggettiva dell’accesso abusivo ai profili Facebook, tutelati da credenziali identificative, e la conseguente sostituzione d’identità digitale, avendo invece la corte territoriale ripercorso l’iter motivazionale della sentenza di primo grado in riferimento alla identificazione dell’indirizzo IP, omettendo di svolgere approfondimenti tecnici necessari per superare i limiti nell’associazione tra l’Internet Protocol rilevato e utente/proprietario del sistema.

2.1 Va, sul punto, rilevato come l’indirizzo IP sia costituito da un codice numerico che identifica univocamente un dispositivo – host – collegato a una rete informatica che utilizza l’Internet Protocol come protocollo di rete. Siffatto indirizzo viene assegnato a una interfaccia (ad esempio una scheda di rete) che identifica l’host di rete, che può essere costituito da un personal computer, un palmare, uno smartphone, un router o altro dispositivo.

L’indirizzo IP identifica, dunque, oggettivamente il dispositivo elettronico associato, mentre l’identificazione dell’operatore richiede indagini ulteriori, di tipo tecnico o di tipo logico.

2.2 Nel quadro così sommariamente delineato, l’atto di impugnazione pone il tema della attribuibilità – oltre il ragionevole dubbio – delle condotte illecite consumate mediante accesso ed uso della rete attraverso una postazione informatica; tema che involge profili di definizione dell’identità digitale, secondo specifiche tecniche di riferimento.

Osserva, sul punto, il Collegio come sia ormai patrimonio acquisito che la prova dell’utilizzazione di un sistema telematico possa essere ricondotta, mediante specifici accertamenti tecnici, ad una sorta di ‘mappatura genetica digitale’ che può consentire l’identificazione certa dell’operatore che abbia effettuato connessioni attraverso un dispositivo connesso alla rete attraverso l’indirizzo IP.

Al medesimo risultato probatorio può, tuttavia, pervenirsi attraverso elementi dimostrativi diversi dall’accertamento tecnico, purché rispondenti allo standard declinato dall’art. 192, comma II, cod. pro. pen..

3. Nella delineata prospettiva, le censure articolate nel ricorso non sono, nel caso in esame, fondate.

3.1 Dalla motivazione della sentenza impugnata risulta come la corte territoriale abbia individuato lo specifico profilo di doglianza prospettato nel ricorso, superandolo argomentativamente attraverso il puntuale richiamo ai principi di valutazione della prova logica, correttamente applicati nel caso di specie.

La sentenza impugnata evidenzia da un lato come l’imputato, nel richiedere la definizione del procedimento nelle forme del giudizio abbreviato, non abbia condizionato l’istanza ad accertamenti finalizzati all’analisi dei reperti informatici, ammettendo comunque il giudice di primo grado – su richiesta del pubblico ministero a prova contraria sulle produzioni documentali della difesa -l’esame del consulente tecnico; dall’altro, come gli elementi indiziari, complessivamente apprezzati, abbiano condotto alla attribuzione della illecita condotta all’imputato in quanto esclusivo usuario del personal computer collegato all’indirizzo IP, alla luce delle dichiarazioni dell’intestatario dell’utenza, congiunto convivente dell’imputato, e dello stesso Cl. Ce. Ce.. Né risulta – in un quadro di protezione debole dei sistemi violati evidenziato in sentenza – che l’imputato abbia, a sua volta, denunciato l’abusivo accesso all’indirizzo IP associato all’utenza domestica, o comprovato una potenza della banda router Wi-fi in suo uso tale da poter essere intercettata dall’esterno, nonostante la protezione della connessione attraverso apposita password.

Di guisa che la corte territoriale ha argomentativamente affrontato e risolto le critiche prospettate nell’atto di gravame, con motivazione completa e plausibile che si sottrae a censure in questa sede di legittimità.

3.2 Secondo l’indirizzo pacifico della giurisprudenza di legittimità, infatti, è preclusa in questa sede ogni rilettura degli elementi di fatto posti a fondamento della decisione impugnata e l’autonoma adozione di nuovi o diversi parametri di ricostruzione e valutazione dei fatti, ritenuti maggiormente plausibili o dotati di una migliore capacità esplicativa, dovendosi il giudice di legittimità limitare a verificare se la motivazione del giudice del merito sia intrinsecamente razionale e capace di rappresentare e spiegare l’iter logico seguito (Sez. 5, n. 1803 del 13/06/2016, Dragone, Rv. 38304; Sez. 2, n. 8076 del 21/11/2012, dep. 2013, Consolo, Rv. 254535).

Non possono, pertanto, assumere fondamento le censure volte a prospettare una portata dimostrativa alternativa delle medesime risultanze probatorie, adeguatamente valutate nel giudizio di merito.

Queste, nel caso in esame, sono state esaurientemente illustrate nel provvedimento impugnato, avendo il giudice di merito razionalmente ricostruito i plurimi elementi di natura logica che, pur in assenza di ulteriori accertamenti tecnici, hanno condotto al giudizio di responsabilità.

Sicché a fronte di tale esaustivo ragionamento, che specificamente si fonda sulla convergenza degli elementi individualizzanti e sull’accertamento dell’indirizzo IP associato al computer o dispositivo mobile dal quale sono stati operati gli accessi, non appare decisivo l’argomento prospettato nel ricorso, che intende contestare il mancato accertamento delle ulteriori credenziali identificative.

4. Né si illustra nel ricorso la decisività della prova di cui si contesta la mancata assunzione, con conseguente genericità della doglianza.

Sul punto va evidenziato come la mancata assunzione di una prova decisiva nel giudizio abbreviato non condizionato non sia deducibile come motivo di ricorso per cassazione (Sez. 5, Sentenza n.27985 del 05/02/2013, Rv. 255566, N. 5931 del 2006 Rv. 233845, N. 15086 del 2011 Rv. 249910), in presenza di una mera sollecitazione dell’imputato all’esercizio dei poteri giudiziali officiosi in tema di prova (Sez. 6, Sentenza n.15086 del 08/03/2011Ud. (dep. 13/04/2011) Rv. 249910.).

5. Il ricorso è, pertanto, manifestamente infondato.

6. Alla inammissibilità del ricorso consegue la condanna del ricorrente al pagamento delle spese del procedimento ed alla somma di Euro. 2.000, in favore della Cassa delle ammende, oltre alla refusione delle spese di costituzione ed assistenza della Parte Civile, che si stima equo liquidare in Euro. 1.800.

P.Q.M.

Dichiara inammissibile il ricorso e condanna il ricorrente al pagamento delle spese del procedimento e della somma di Euro. 2000 in favore della Cassa delle ammende, oltre che alla refusione delle spese in favore della Parte Civile, che liquida in complessivi Euro 1.800,00.


Per avere il pdf inserisci qui la tua email. Se non sei già iscritto, riceverai la nostra newsletter:
Informativa sulla privacy

ARTICOLI CORRELATI

Lascia un commento

Usa il form per discutere sul tema. Per richiedere una consulenza vai all’apposito modulo.

 


NEWSLETTER

Iscriviti per rimanere sempre informato e aggiornato.

CERCA CODICI ANNOTATI