Il Computer Fraud and Abuse Act (CFAA) esiste da oltre tre decenni, sebbene sia stato modificato nel corso degli anni. Rimane la legge statunitense più importante in atto per prevenire il crimine informatico ed è stata utilizzata in molti e vari casi in tutto il paese.
La legge è progettata principalmente per colpire gli hacker che accedono ai computer per rubare informazioni. Tuttavia, è stato utilizzato in altre situazioni. È una legge estremamente controversa che è stata esaminata per essere aperta all’interpretazione e comportare sanzioni ingiuste.
In questo post, spieghiamo il CFAA, a cosa serve e i problemi con la sua implementazione. Forniremo anche esempi di casi reali in cui la legge è stata utilizzata per perseguire i criminali informatici.
Le origini del Computer Fraud and Abuse Act
L’essenza del CFAA è che proibisce l’accesso a un computer senza autorizzazione, o in eccesso di autorizzazione. Oltre a ovvie situazioni come l’hacking nell’account di qualcuno, criminalizza anche alcuni atti relativi al computer, come attacchi denial of service e distribuzione di malware.
La prima vera legge messa in atto per combattere il crimine informatico è stata la Sezione 1030 del Comprehensive Crime Control Act del 1984. Secondo quanto riferito, questa legge è stata introdotta in reazione al film WarGames e ad altri clamore e preoccupazioni sui crimini informatici dell’epoca. Nel film, un giovane inizia accidentalmente la terza guerra mondiale accedendo a un supercomputer militare americano. Nel suo rapporto, il Comitato della Camera lo ha ritenuto “una rappresentazione realistica delle funzionalità di composizione automatica e accesso del personal computer”.
Come il primo del suo genere, la legge originale aveva una portata ristretta, e ha affrontato solo l’uso limitato dei computer al momento, quindi la necessità di modifiche successive. Il US Computer Fraud and Abuse Act (CFAA) è stato implementato nel 1986 come un emendamento alla Sezione 1030 originale. Dalla sua attuazione, il CFAA è stato modificato più volte, ma ha ancora molti problemi e subisce molte critiche.
Problemi con il CFAA
Il CFAA è stato sottoposto a molti controlli nel corso degli anni, in parte perché è così vago, e anche a causa delle penalità quasi illimitate che gli autori devono affrontare.
Linguaggio vago
Il problema principale risiede nel linguaggio usato nella legge, che è Ssoggetto ad ampia interpretazione. Vieta l’accesso a un computer “senza autorizzazione” o “superando l’accesso autorizzato”, ma non definisce quale sia “autorizzazione”.
Inoltre, la legge disciplina i “computer protetti”, che sono descritti come “computer utilizzati nel commercio interstatale o estero e computer utilizzati dal governo federale e dalle istituzioni finanziarie”. Fondamentalmente tutti i computer potrebbero rientrare in una di queste categorie, con il diritto interpretazione.
Inoltre, parla di “ottenere informazioni”, che potrebbe coprire qualsiasi cosa, dal caricamento di una pagina Web all’accesso a documenti top-secret.
Secondo Tor Ekeland, un avvocato difensore, “È uno statuto mal scritto che non definisce in modo efficace la cosa principale che cerca di vietare. Ci sono ambiguità che circondano quella definizione che consentono ai pubblici ministeri un’ampia latitudine di denunciare le teorie che colpiscono i computer della comunità infosec. ”Continua a confrontare la paranoia degli hacker con l’isteria della stregoneria.
Criminalizzazione delle attività quotidiane
Perché è così aperto all’interpretazione, ognuno di noi potrebbe potenzialmente infrangere la legge su base giornaliera. Ad esempio, è stato discusso se l’utilizzo o meno di Facebook sul lavoro (quando è contro la politica aziendale) costituisce una violazione del CFAA. Anche mentire sulla tua età su un sito Web che ha una limitazione di età potrebbe essere considerato un reato punibile. In effetti, fare qualsiasi cosa sia contraria ai termini di servizio online potrebbe essere considerato una violazione. Ciò significa che, secondo la legge, si potrebbero teoricamente affrontare multe e tempo di prigione per questi presunti crimini.
A parte criminalizzare alcune azioni quotidiane del grande pubblico, la legge rende difficile per molte persone svolgere il proprio lavoro. Ad esempio, i ricercatori della sicurezza potrebbero rischiare di essere accusati ai sensi del CFAA per testare la sicurezza delle password e ricercare difetti di sicurezza.
Penalità enormi
Una violazione del CFAA può essere considerata un reato, con multe e una pena detentiva fino a dieci anni. Ad esempio, supponi di violare i termini di servizio di un sito Web e di accedervi numerose volte. Ciò potrebbe essere considerato come una violazione multipla della legge, ciascuna con un termine massimo separato. Sebbene sembri improbabile, ci sono stati casi in cui i pubblici ministeri hanno usato questo per richiedere enormi sanzioni contro le persone che non rispettano la legge.
La legge di Aaronne
Uno dei casi più importanti riguardanti il CFAA è stato quello di Aaron Swartz, un importante programmatore di computer, imprenditore e hacktivista. È stato accusato nel 2011 ai sensi del CFAA e di altre leggi. Il suo crimine? Download di articoli in serie da JSTOR (un database accademico), utilizzando un computer nascosto in un armadio del MIT. Ha dovuto affrontare una potenziale pena detentiva di 35 anni e pesanti multe. Sfortunatamente, è morto di suicidio nel 2013 mentre cercava di raggiungere un patteggiamento.
Aaron Schwartz (Fonte: Wikimedia)
Questo caso ha attirato molta attenzione a causa del potenziale sanzione apparentemente selvaggiamente ingiusta. Inoltre, non è chiaro esattamente cosa stesse pianificando di fare con i quasi 5 milioni di articoli che ha scaricato. Qualunque sia l’intento, i critici del caso sostengono che il crimine non rientrava nella pena di sorta.
A seguito del suo caso, la legge di Aaron è stata proposta per modificare il CFAA, in particolare la sezione relativa alle violazioni dei termini di servizio. Tuttavia, sebbene l’emendamento abbia molti sostenitori, è stato bloccato più volte e in realtà non è stato approvato.
Altri esempi di casi che coinvolgono il CFAA
Come accennato, questa legge è stata utilizzata in molti casi per perseguire i criminali informatici. Ecco alcuni esempi:
- The Morris Worm: Il primo worm noto a provocare il caos sui computer connessi a Internet fu il Morris Worm, sviluppato da uno studente “curioso” laureato, Robert Morris. È stato uno dei primi a essere condannato dal CFAA. Fu accusato di un crimine, ma riuscì a evitare una pena detentiva.
- Hacker TJX: Albert Gonzalez non fu così fortunato e finì con una pena detentiva di 20 anni emessa nel 2010. Il suo intento si rivelò molto più malizioso, mentre guidava una banda di cyber-ladri che rubò più di 90 milioni di numeri di debito e carta di credito da vari rivenditori, tra cui TJX.
- Giornalista Reuters: Matthew Keys è stato condannato a due anni di carcere nel 2016 dopo essere stato condannato dal CFAA. È stato accusato di condividere le credenziali che hanno portato a un’altra parte a deturpare un titolo sul sito web del Los Angeles Times. Ciò ha comportato perdite finanziarie per la società madre, Tribune Media. Sebbene la sua condanna finì per essere di due anni, il massimo che dovette affrontare fu di 25 anni. Questo lungo termine massimo evidenzia uno dei principali problemi con la legge.
- Account Myspace falso: Lori Drew è stata condannata ai sensi del CFAA dopo aver cyberbulliato uno dei nemici di sua figlia adolescente. La ragazza vittima di bullismo si suicidò dopo che Drew usò un falso account Myspace per contattarla. Ciò ha violato i termini di servizio della società, che ha consentito ai pubblici ministeri di imputarla ai sensi del CFAA. Mentre la condanna è stata infine lasciata libera, mostra quanto sia aperta all’interpretazione.
Come puoi vedere, questa non è una legge di cui essere blasé, e con i pubblici ministeri che la interpretano come vogliono, potrebbe significare un grosso problema per chiunque dalla parte sbagliata.
Guarda anche:
Statistiche sulla criminalità informatica
Credito immagine: “blogging“Concesso in licenza in base a CC BY 2.0
ica aziendale) costituisca una violazione del CFAA. Inoltre, la legge è stata utilizzata per perseguire individui che hanno violato i termini di servizio di un sito web, come il download di contenuti protetti da copyright. Questo ha portato a sanzioni ingiuste e disproporzionate per attività che non sono necessariamente criminali. Penalità enormi Le sanzioni previste dal CFAA sono estremamente severe e possono includere multe fino a 10 milioni di dollari e fino a 20 anni di carcere. Queste penalità sono state applicate anche in casi in cui non cè stata alcuna intenzione malvagia o danno effettivo causato. La legge di Aaronne Uno dei casi più noti che coinvolgono il CFAA è quello di Aaron Swartz, un attivista per la libertà di Internet che ha scaricato milioni di articoli accademici da JSTOR. Swartz è stato accusato di violazione del CFAA e affrontava una pena massima di 35 anni di carcere e una multa di un milione di dollari. Swartz si è suicidato prima del processo, portando a una discussione nazionale sulla giustizia penale e la libertà di Internet. Altri esempi di casi che coinvolgono il CFAA includono la persecuzione di hacker come Kevin Mitnick e Andrew Auernheimer, nonché la persecuzione di individui che hanno violato i termini di servizio di siti web come Craigslist e LinkedIn. In conclusione, il CFAA è una legge controversa che ha subito molte critiche per la sua vaghezza e le sanzioni ingiuste. Mentre è stato utilizzato con successo per perseguire hacker e criminali informatici, è anche stato utilizzato per criminalizzare attività quotidiane e perseguire individui per violazioni minori. La legge ha bisogno di una revisione per garantire che sia equa e giusta per tutti.