Qualche testata l’ha definita come “sentenza storica in Italia“. Probabilmente qualcuno si ricorderà dei ragazzi di Beentouch che dovevano cambiare il mondo, ma piuttosto di correggere le vulnerabilità che ho segnalato, hanno pensato bene di impiegare il loro tempo e denaro querelandomi.
Ma ripercorriamo un po’ gli eventi.
Beentouch mi querela tramite Danilo Mirabile
Giorno 30 Marzo 2017, l’uomo dai mille Job Title, Danilo Mirabile, mi querela. A suo modo di vedere avrei effettuato un accesso abusivo verso Beentouch. Tutto questo perché avrei inviato una segnalazione di sicurezza, e dopo che non hanno riconosciuto la vulnerabilità, il disclosure della stessa.
Il problema qual è, il Mirabile non ha portato nessuno straccio di prova e la linea della querela è stata tutta fatta da supposizioni. Siccome mi ha segnalato una vulnerabilità, probabilmente ha effettuato un accesso abusivo. Ora, non mi aspetto che chi fonda un’azienda esclusivamente sullo storytelling sia così sveglio da capire che chi fa analisi non necessariamente deve effettuare una intrusione per capire che c’è un problema. Avesse però messo le stesse energie che ha messo nella formulazione dei job title per cercare di capire la segnalazione, probabilmente non avrebbe fatto questa enorme figura di bip.
Quando amici e conoscenti mi hanno chiesto di spiegare la vicenda in maniera semplice, ho provato a raccontarla così.
Supponi che un dottore guarda un passante, lo ferma, e gli rivela che ha un problema di salute e che deve farsi curare immediatamente perché pericoloso per gli altri. Gli dà 60 giorni di tempo per rimediare, altrimenti sarà costretto ad avvisare l’ASP. Ora è come se il passante non capisca che il dottore data l’esperienza ha capito il problema senza nemmeno visitarlo, e lo denuncia perché ha effettuati un intervento “abusivo”.
La richiesta di archiviazione del P.M.
Ma torniamo alla querela, il P.M. capisce che non sta in piedi nulla, e propone l’archiviazione. Mirabile non ci sta e depone un atto di opposizione alla richiesta di archiviazione . Meravigliosa. Inizia a parlare di API Rest , HTTPS, come uno studentello al primo anno che con tanta confusione in testa che tenta di ripetere la lezioncina che ha imparato. Inizia a scrivere pure di Eavesdropping! Continua a sostenere che ho effettuato un accesso abusivo, ma anche qui mai una prova, tutte supposizioni.
La fine è meravigliosa, cito:
“Le continue email ricevute da Iuculano (con minacce di pubblicazione delle falle di sicurezza) hanno alterato lo stile di vita del gruppo, il quale, a causa delle pressanti sollecitazioni di Iuculano (a qualunque ora del giorno e della notte, ed anche in giorni festivi, evidentemente in contrapposizione a quelle regole etiche poc’anzi richiamate) ha vissuto un forte periodo di stress.”
Eh sì, li ho sollecitati troppo, sono tutti stressati, come faranno adesso a raccontare in giro che stanno cambiando il mondo? Come farà l’uomo dai mille Job Title ad andare ancora in giro a raccontare come si fa startup, o “introdurre con semplicità e passione nel mondo del lavoro e dell’imprenditorialità”. Ah, dimenticavo. Il contorno di tutto questo è che Beentouch non se la fila più nessuno.
L’archiviazione del GIP
E cosa avrà detto il giudice dopo questo trattato del nulla? Torniamo un attimo seri perché il giudice ha archiviato con una sentenza che qualche testata ha definito come “sentenza storica in Italia” (Ne ha parlato anche repubblica).
che nel caso de quo l’indagato ha inviato una serie di missive allo staff della “Beentouch” e solo a seguito dell’inerzia della medesima di voler correggere la vulnerabilità del sistema, si è deciso a render noto, a tutela dei consumatori, Ia presenza di un simile errore a distanza di un mese dalla sua segnalazione;
che la condotta dello luculano non integra pertanto, sulla scorta di quanto chiarito, il delitto di cui all’art, 615ter c.p, inquadrandosi la stessa nella metodologia comune della “divulgazione responsabile“, avendo peraltro l’indagato medesimo contattato prima l’azienda coinvolta proprio per consentirle di emendare l’errore entro un lasso di tempo, che può variare da trenta giorni a un anno, a seconda della gravità e della complessità della vulnerabilità;
Sono rimasto piacevolmente colpito dalla competenza e preparazione del giudice, in poche righe ha perfettamente descritto la vicenda e ha chiarito che si tratta di “Divulgazione Responsabile”.
