Dilagano i worm allegati alla posta elettronica.
Negli ultimi giorni è più che raddoppiata la quantità media di messaggi in arrivo nelle caselle di InterLex. Circa la metà contiene allegati infetti, quasi tutti dal micidiale W32.Badtrans.B@mm (ma ci sono anche retroguardie di Nimda e Sircam), buona parte degli altri sono inviati da lettori esasperati per l'invasione.
E' il caso di ricordare che questi virus non sono pericolosi tanto per i sistemi informatici, quanto per la riservatezza dei dati che vi sono contenuti.

Infatti, come tutti dovrebbero sapere, gli infernali codici si propagano automaticamente dal computer infetto agli indirizzi che trovano nella rubrica di Windows. Alcuni, come  Sircam, si attaccano a un file, che quindi diffondono con il suo contenuto a un elevato numero di destinatari, tutti in qualche modo in relazione con l'ignaro mittente; altri, come il recente Badtrans, installano addirittura un "cavallo di Troia" che registra i tasti premuti dall'utente, e quindi anche le password.
I rischi per la riservatezza sono quindi enormi, con conseguenze che potrebbero assumere, in qualche raro caso, rilevanza penale (vedi Misure minime e operatori del diritto: tre pezzi facili di Daniele Minotti).

Ma, anche quando è al sicuro da effetti catastrofici, un utente che riceve un messaggio infetto subisce comunque un danno non indifferente: tempo necessario per scaricare l'ingombrante e-mail, il tempo per rispondere ai messaggi del programma antivirus e neutralizzare il rischio, tempo per  gli ulteriori controlli suggeriti dalla prudenza e la definitiva eliminazione dei file trattati (anche se teoricamente ormai inoffensivi)... Si deve considerare che, anche quando l'antivirus ha sventato la minaccia (cosa non sempre possibile al 100%), resta sempre il file prelevato dal computer del mittente, che può contenere informazioni delicate.
A InterLex sono recentemente arrivati, fra gli altri, un elenco di password (con elementi sufficienti a identificare l'ignaro mittente...), la memoria di un avvocato per una causa di divorzio e un elenco di clienti morosi di una società.

Tra le curiosità che meritano di essere segnalate, c'è anche un Badtrans spedito da un ex magistrato, che negli anni passati si era distinto per il rigore che reclamava nei confronti dei criminali informatici e degli operatori di sistema che, a suo dire, non compivano dettagliati controlli...

E' ovvio che le "misure minime di sicurezza" contenute nel DPR 318/99 (non rinnovato dal Governo nel termine di due anni previsto dall'art. 5, comma 3, della l. 675/96) sono assolutamente inadeguate. Il termine di sei mesi previsto per l'aggiornamento degli antivirus è ridicolo, le misure previste per gli "elaboratori accessibili mediante una rete di telecomunicazioni disponibili al pubblico" sono del tutto inadeguate (qualsiasi cosa significhi l'espressione, tecnicamente scorretta).
Sarebbe compito del Garante per la protezione dei dati personali segnalare al Governo la necessità e l'urgenza di emanare disposizioni adatte, ma non sembra che negli uffici di piazza Monte Citorio si siano ancora resi conto della gravità della situazione.

Ma di chi è la responsabilità dei danni che si possono verificare in seguito alla diffusione dei virus? Per capirlo vediamo quali sono le condizioni che rendono possibile il contagio:
1. L'utente che riceve il virus deve aprire l'allegato, oppure
2. Deve usare il client di posta elettronica Windows Outlook o Windows Outlook Express, senza aver installato le "pezze" che la stessa Microsoft mette a disposizione sul suo sito e senza aver disattivato alcune funzionalità automatiche.
3. Deve usare la rubrica di Windows/Outlook.

Dunque è tutta colpa dell'utente che ha il computer infettato? Un momento.
Chi si trova nelle condizioni appena descritte è un utente inesperto, un "mero utilizzatore" che non ha alcuna conoscenza di informatica. Quello che compera o riceve il PC con tutto il software installato (magari anche un antivirus, che però non sa come aggiornare o addirittura ignora che vada aggiornato) e magari lo usa di malavoglia, perché è obbligato a farlo.
Invece l'utente appena un po' smaliziato sa che non deve aprire attachment  "strani" - anzi, che deve controllare tutti gli allegati, uno per uno - che non deve usare Outlook e la relativa rubrica, e se proprio decide di farlo, deve adottare tutte le necessarie precauzioni.

Ma è chiaro che la maggioranza degli utilizzatori di personal computer non è in condizione di comportarsi da "esperto", di scegliere un diverso programma per l'e-mail (ce ne sono tanti da prelevare dalla rete, anche completamente gratis), di installare e configurare un programma antivirus, o addirittura di tenersi aggiornato sugli avvisi relativi alla sicurezza e sulle patch da scaricare e installare.
La quasi totalità dei PC in vendita è pensata e configurata per l'utente inesperto, e proprio questa caratteristica è sfruttata per conquistare un numero sempre più alto di clienti da fabbricanti e venditori . E tra questi è in primissimo piano proprio Microsoft.
E' come mettere in libera vendita armi pericolose.

E' uno scandalo che deve cessare e per questo pare indispensabile un intervento legislativo sul piano penale. La legge 23 dicembre 1993 n. 547 ha inserito nel codice una previsione di reato:
Art. 615-quinquies. - (Diffusione di programmi diretti a danneggiare o interrompere un sistema informatico). - Chiunque diffonde, comunica o consegna un programma informatico da lui stesso o da altri redatto, avente per scopo o per effetto il danneggiamento di un sistema informatico o telematico, dei dati o dei programmi un esso contenuti o a esso pertinenti, ovvero l'interruzione, totale o parziale, o l'alterazione del suo funzionamento, è punito con la reclusione sino a due anni e con la multa sino a lire 20 milioni.
Ma si tratta di un'ipotesi dolosa, la diffusione per semplice negligenza non è punita.

L'evidenza della pericolosità della diffusione di programmi che danneggiano i sistemi e/o i dati è tale da giustificare una previsione di reato colposo. La norma deve essere calibrata con attenzione: agli utilizzatori si deve richiedere una proporzionata diligenza, ma è necessario prevedere per l'industria l'obbligo di informare gli acquirenti e di mettere a loro disposizione gli strumenti necessari per proteggersi e per non danneggiare gli altri.
Questi sono i punti essenziali, quanto basta per riprendere una discussione che, su queste pagine, non è nuova: si occupava della questione il magistrato Gianfranco D'Aietti in un intervento al Forum multimediale "La società dell'informazione". Era la prima sessione del Forum (l'embrione di questa rivista), e si intitolava Comportamenti e norme nella società vulnerabile.

Lo scritto di D'Aietti è La responsabilità per i danni da software (colposamente) difettoso e porta la data del 16 giugno 1995.

(M. C.)