Secondo gli standard odierni, le imprese criminali di Jeanson James Ancheta non sarebbero probabilmente un dirottamento informatico di alto profilo. Ma per le forze dell’ordine dell’epoca il suo arresto fu una pietra miliare: nel 2006 Ancheta divenne il primo uomo a essere condannato per aver controllato un gran numero di botnet, aver diffuso software dannoso e averne tratto vantaggio economico. Ancheta era dietro a eserciti di computer dirottati usati per lanciare attacchi via Internet. Li ha anche venduti a società di spyware e spammer, guadagnando oltre 3.000 dollari, oltre ad altri 60.000 dollari ottenuti da una truffa di adware. L’hacker ventunenne ha utilizzato dei worm su Internet per superare i PC con sistema operativo Windows, utilizzandoli come base per il software di pubblicità online. L’FBI lo ha catturato nel corso di una complessa operazione, in cui lo ha invitato nel proprio ufficio con il pretesto di raccogliere materiale informatico. Alla fine Ancheta è stato accusato di aver utilizzato la botnet per installare adware su vari dispositivi e di aver infettato i computer della divisione armi del Naval Air Warfare Center statunitense di China Lake e della Defense Information Systems Agency (DISA). “Anche se la fortuna non è l’equazione completa, c’è un noto detto: ‘I criminali devono essere sempre fortunati, mentre le forze dell’ordine devono essere fortunate solo una volta’”, ha dichiarato David Pickett, Senior Cybersecurity Analyst di OpenText Security Solutions. Ha aggiunto che il modo esatto in cui i criminali informatici vengono catturati dipende dal vettore di attacco: “I metodi più comuni che osserviamo, dal punto di vista della difesa della posta elettronica, includono account e server compromessi, anonimizzazione di reti e server privati virtuali, uso della rete Tor, instradamento del traffico attraverso più Paesi, traffico proveniente da Paesi con relazioni governative non amichevoli e Paesi con leggi sulla privacy rigide o mancanza di accordi di estradizione a seconda della geolocalizzazione applicabile”. Ancheta è stato condannato a 57 mesi di carcere – che, a quanto pare, è diventata la pena più lunga per la diffusione di virus informatici. Gli è stato anche ordinato di separarsi da una BMW acquistata con denaro ottenuto illegalmente e di consegnare 60.000 dollari. Inoltre, Ancheta ha accettato di restituire circa 20.000 dollari per aver violato i computer di China Lake e della DISA.
La pena è stata… troppo severa?
Negli Stati Uniti, le sentenze per reati informatici possono arrivare a 20 anni o anche di più, a seconda della gravità del caso. Ma a molti i reati digitali possono sembrare incomparabili con i crimini fisici che conosciamo bene, soprattutto quando le pene raggiungono quelle dell’omicidio colposo e di secondo grado. Tuttavia, la nostra vita online e quella reale non sono così separate come potrebbe sembrare. In Spagna, due persone sono state arrestate per aver disattivato oltre un terzo dei sensori che compongono la rete di allarme sulla radioattività del Paese, che informa il pubblico in caso di incidente nucleare. A sua volta, l’hacking dei dispositivi intelligenti ospedalieri potrebbe causare innumerevoli morti, come è tragicamente accaduto a una donna in Germania, deceduta in seguito all’attacco dei sistemi informatici dell’ospedale da parte di attori minacciosi. Analogamente, un attacco ransomware ha portato al collasso della rete informatica di un ospedale dove una donna dell’Alabama, Teiranni Kidd, stava partorendo. Sua figlia è nata con gravi danni cerebrali ed è poi morta. Tutto questo dimostra quanto possano essere devastanti i cyberattacchi, e non dovremmo ignorarli come qualcosa che accade dietro lo schermo e che quindi non è in grado di farci del male. “C’è ancora questa mentalità secondo cui, poiché un crimine non ha avuto luogo nel mondo ‘reale’, non dovrebbe essere punito duramente, ma questo non tiene conto del fatto che le perdite che le persone e le aziende di tutto il mondo devono affrontare sono decisamente più reali che mai”, ha dichiarato Alex Alexakis, fondatore e CEO di PixelChefs. E, naturalmente, in caso di violazioni di dati, truffe, campagne di phishing e fughe di notizie, anche se le conseguenze non sono immediate, sono comunque distruttive. “Le prove dei crimini informatici sono meno evidenti dei crimini fisici, ma complessivamente più devastanti. Potrebbe essere il momento di prendere in considerazione un cambiamento nelle tattiche investigative e un drastico aumento delle pene per coloro che vengono catturati”, ha dichiarato Pedrick. Bartolomie si spinge oltre, sostenendo che gli attacchi informatici dovrebbero essere trattati più seriamente dei crimini fisici. “La portata e le dimensioni potenziali dei crimini fisici sono generalmente limitate: per esempio, posso rapinare solo una banca alla volta. Mentre con il cyber, si può eseguire lo stesso attacco su più obiettivi contemporaneamente”. D’altra parte, c’è chi ritiene che i “giovani” informatici – gli adolescenti che si ritrovano nei vicoli oscuri del web prima che il loro cervello sia completamente sviluppato – dovrebbero essere rieducati piuttosto che puniti. Questi ragazzi sono spesso più brillanti che malintenzionati e il loro profilo tende a differire in modo significativo da quello di un tipico criminale. Spetta al sistema giudiziario decidere se la società trarrà più beneficio dal fatto che siano dietro le sbarre o davanti ai computer.
E, naturalmente, in caso di violazioni di dati, truffe, campagne di phishing e fughe di notizie, anche se le conseguenze non sono immediate, sono comunque distruttive. “Le prove dei crimini informatici sono meno evidenti dei crimini fisici, ma complessivamente più devastanti. Potrebbe essere il momento di prendere in considerazione un cambiamento nelle tattiche investigative e un drastico aumento delle pene per coloro che vengono catturati”, ha dichiarato Pedrick. Bartolomie si spinge oltre, sostenendo che gli attacchi informatici dovrebbero essere trattati più seriamente dei crimini fisici. “La portata e le dimensioni potenziali dei crimini fisici sono generalmente limitate: per esempio, posso rapinare solo una banca alla volta. Mentre con il cyber, si può eseguire lo stesso attacco su più obiettivi contemporaneamente”. D’altra parte, c’è chi ritiene che i “giovani” informatici – gli adolescenti che si ritrovano nei vicoli oscuri del web prima che il loro cervello sia completamente sviluppato – dovrebbero essere rieducati piuttosto che puniti. Questi ragazzi sono spesso più brillanti che malintenzionati e il loro profilo tende a differire in modo significativo da quello di un tipico criminale. Spetta al sistema giudiziario decidere se la società trarrà più beneficio dal fatto che siano dietro le sbarre o davanti ai computer.
