In Germania questa settimana, il limbo legale che definisce il cyberspazio in tutto il mondo era in piena mostra.

L'Ufficio federale per la sicurezza informatica del paese (BSI per le sue iniziali tedesche) ha seguito un attacco informatico contro alcuni parlamentari del paese dall'inizio di dicembre. Alla fine ha portato al rilascio pubblico di numeri di telefono cellulare, dati della carta di credito e dati della carta d'identità di centinaia di membri del parlamento, e altri personaggi pubblici.

Solo alcuni parlamentari sono stati informati da BSI degli attacchi, mentre altri ne sono venuti a conoscenza solo dopo che i dettagli sono stati pubblicati dai media. I parlamentari erano indignati per il fatto che BSI non avesse notificato loro che i loro dati personali erano presi di mira, nonostante sapesse degli elementi dell'attacco per un massimo di quattro settimane.

Una preoccupazione più profonda, sollevato da alcuni parlamentari, era che nello stesso periodo, BSI (che non è un ente preposto alle forze dell'ordine) non ha informato la polizia tedesca che un crimine politico di tale gravità potrebbe essere stato commesso. Una volta fidanzato, la polizia ha trovato rapidamente un sospetto che avrebbe confessato.

hacking, indipendentemente dal fatto che i dati siano pubblicamente compromessi, è un crimine nella maggior parte dei paesi. Il reato è costituito dal semplice accesso illecito a dati oa macchine. Ma pochi paesi hanno leggi che richiedono alle loro agenzie informatiche che monitorano l'hacking di denunciare gli atti criminali, sia alle vittime di terze parti che alla polizia.

Questo vuoto giuridico deve essere affrontato con urgenza.

L'hacking è un "crimine grave"?

La sfida per le agenzie informatiche o le aziende del settore privato che rilevano un hack è che questi eventi sono molto comuni. Milioni si verificano ogni giorno, e complesse informazioni forensi devono essere raccolte per giudicare quali incidenti sono abbastanza gravi da richiedere la notifica. Questo costituisce un defacto, ma mal definito, distinzione tra "piccola criminalità" (la maggior parte degli hack) e "crimine grave".

Che cosa questo significhi in realtà può essere illustrato dalla pratica nello stato australiano del New South Wales. Nel Nuovo Galles del Sud, c'è un obbligo ai sensi della legge sui crimini di denunciare reati gravi. Questi sono definiti come quelli che comportano sanzioni legali di cinque anni o più di reclusione. Ma quando si tratta di cyber hacking, spesso non è immediatamente chiaro se l'entità di un hack attiverebbe una tale soglia di penalità.

Questa incertezza era in gioco nell'hack tedesco, con BSI che giustificava la sua mancata notifica con il reclamo che stava ancora cercando di analizzarlo, e non ne conosceva l'intera scala.

Anche dopo aver arrestato il sospettato e conoscendo la portata dell'attacco, il capo della sicurezza informatica presso l'Ufficio di polizia federale (BKA) ha affermato che non è ancora chiaro se l'hack sia stato un crimine grave ispirato da motivi politici. Il sospetto che possa essere stato motivato politicamente nasce dal fatto che l'unico partito politico i cui parlamentari non sono stati presi di mira era il partito di estrema destra, AfD.

Cosa significa "segnalazione obbligatoria" in Australia

Nel 2018, dopo un lungo dibattito pubblico, L'Australia ha introdotto lo schema Notificable Data Breaches (NDB) come emendamento alla legge sulla privacy. L'NDB richiede alle aziende di informare l'Office of the Information Commissioner (non la polizia), così come eventuali vittime, se i dati personali in loro possesso vengono compromessi in modo tale da costituire una grave violazione della privacy.

Questa disposizione del codice civile è molto debole a causa, in parte, al fatto che consente all'impresa o all'ente coinvolto di autovalutare la gravità della violazione nell'arco di 30 giorni prima dell'insorgere dell'obbligo di notifica.

È anche debole perché c'è un'esenzione generale per le attività delle forze dell'ordine, e per le esigenze di segretezza del governo. agenzie informatiche australiane, come l'Australian Signals Directorate e l'Australian Centre for Cyber ​​Security, sembrano non avere alcun obbligo di dire alla polizia o alle vittime che c'è stato un hack o una violazione dei dati.

Questo significa, se le agenzie informatiche australiane venissero a sapere che un governo straniero aveva hackerato un cittadino australiano, la vittima non può mai essere detto. O se le foto di famiglia di un bambino nudo sono state hackerate da un computer di famiglia da un pedofilo, la famiglia della vittima potrebbe non saperlo mai.

Un diritto di sapere?

In molti paesi, le agenzie informatiche notificano alle grandi aziende alcuni attacchi di hacking, indipendentemente dal tipo o dalla scala. Ci sono diverse motivazioni per questa pratica per lo più volontaria. Uno è quello di aiutare le aziende a rendersi conto della gravità dello spionaggio sponsorizzato dallo stato contro di loro. Un altro è aiutare la stessa agenzia informatica a coordinare un'indagine sull'hack, e capire cosa potrebbe essere andato perso.

Non è la stessa cosa della polizia che indaga sul crimine.

Nella maggior 'parte dei Paesi, solo le agenzie di polizia sono autorizzate a indagare sui crimini ai fini dell'azione giudiziaria. Poche giurisdizioni, se del caso, hanno formalmente chiarito i modi in cui la polizia e i tribunali possono fare affidamento sulle informazioni sui cyber hack raccolte dalle agenzie informatiche o dalle società di sicurezza.

L'Australia deve ancora avere un serio dibattito sulla segnalazione di crimini informatici, e le sue complessità forensi:chi è responsabile di cosa, e dove dovrebbero risiedere le priorità. È in ritardo di almeno un decennio.

Pur riconoscendo che sarà necessario fare una certa distinzione tra crimini informatici di piccola entità e gravi, tale dibattito dovrebbe riconoscere il diritto dei cittadini di essere informati dalle nostre agenzie informatiche quando sono stati aggrediti nel cyberspazio e, se possibile, da chi.

Questo articolo è stato ripubblicato da The Conversation con una licenza Creative Commons. Leggi l'articolo originale.