Cosa vuol dire che sarà punito anche chi «detiene» malware?

Le leggi, si sa, sono scritte in una lingua molto particolare. Il burocratese, per esempio, è uno dei tratti distintivi di questo tipo di linguaggio e rappresenta una delle barriere più imponenti poste davanti alla possibilità di riuscire a comprendere e non sovrainterpretare (o fraintendere) il reale contenuto di una norma. E così, di fronte alla bozza – ora diventata testo definitivo da portare in Parlamento per la fase di discussione e approvazione – del cosiddetto “ddl Cybersicurezza“, si è creato un alone di mistero sulla modifica dell’articolo 635 (e successivi) del Codice Penale. Il riferimento al concetto di “detenzione” di malware è stata la pietra dello scandalo. Ma è vero che saranno puniti tutti coloro i quali saranno trovati in possesso di codici malevoli? No, le cose sono molto diverse.

LEGGI ANCHE > Cosa prevede il ddl Cybersicurezza approvato in consiglio dei ministri

Qual è il vulnus della problematica sollevata in rete? Per rispondere a questa domanda e preoccupazione (anche se non dovrebbe essere così), occorre spiegare il contesto: a detenere i malware non sono solamente i criminali informatici, ma anche le aziende che operano nel comparto della cyber security e gli analisti che studiano la cybersicurezza. È una cosa ovvia, un procedimento che possiamo traslare anche in un ecosistema più vicino a noi: un’azienda che studia e sviluppa vaccini, “detiene” anche il virus che deve contrastare con i suoi prodotti. Un qualcosa di tecnicamente lapalissiano. Ed è per questi che si è generato, non appena pubblicata la bozza del ddl Cybersicurezza, un caos di sovrainterpretazione del contenuto del testo: a una lettura superficiale, infatti, poteva sembrare che a essere puniti – ai sensi dell’articolo 635-quater del Codice Penale – sarebbero state anche le società e i liberi professionisti analisti.

Ddl Cybersicurezza, punito anche chi “detiene” malware?

In realtà, il testo approvato dal Consiglio dei Ministri (rimodulato, rispetto alla bozza circolata nei giorni scorsi, solamente nella questione delle funzioni di ACN in materia di cyber security legata all’intelligenza artificiale), spiega un qualcosa di diverso. Proprio l’articolo uno del disegno di legge che sarà presentato in Parlamento, indica le modifiche da apportare al Codice Penale, attualizzando alcuni articoli e riparametrando alcune tipologie di reato anche alla cybersicurezza. Nello specifico, la modifica all’attuale articolo 635-quater (che si occupa di “Danneggiamento di sistemi informatici o telematici”) recita:

«Chiunque, allo scopo di danneggiare illecitamente un sistema informatico o telematico, le informazioni, i dati o i programmi in esso contenuti o ad esso pertinenti ovvero di favorire l’interruzione, totale o parziale, o l’alterazione del suo funzionamento, abusivamente si procura, detiene, produce, riproduce, importa, diffonde, comunica, consegna o, comunque, mette in altro modo a disposizione di altri o installa apparecchiature, dispositivi o programmi informatici, è punito con la reclusione fino a due anni e con la multa sino a euro 10.329». 

Sì, all’interno di questo testo si fa riferimento al verbo “detenere”, ma le aziende e gli analisti che detengono malware per studiarli al fine di trovare e sviluppare soluzioni di protezione informatica, possono stare tranquilli: quello che dovrebbe essere (al netto di possibili, ma prive di senso in questo caso, modifiche parlamentari) il testo sottolinea come sarà punito solo chi detiene malware al fine di danneggiare un sistema informatico. Dunque, non per studi, analisi e sviluppo di sistemi di protezione.