Un parere legale sulla responsabilità penale dell'hacking etico
Su incarico dell'Istituto nazionale di test per la cibersicurezza NTC, lo studio legale Walder Wyss ha redatto un parere legale dettagliato dal titolo "La responsabilità penale dell'hacking etico". Uno dei risultati della perizia è che l'hacking etico è esente da pena se sono soddisfatte alcune condizioni generali. Con la pubblicazione del parere legale, l'NTC fornisce un contributo all'attuale strategia cyber nazionale della Confederazione, che mira ad istituzionalizzare l'hacking etico.
L'Istituto nazionale di test per la cibersicurezza NTC testa ciò che altrimenti non sarebbe testato. Esamina prodotti e infrastrutture digitali non testati o non sufficientemente testati, anche di propria iniziativa. L'individuazione di falle di sicurezza senza un mandato esplicito e senza consenso è punibile secondo la legge svizzera nel momento in cui viene superata la sicurezza di accesso di un sistema altrui o viene fatto un tentativo in tal senso. Inoltre, il Codice penale svizzero punisce la manipolazione e l'alterazione dei dati.
Stato di necessità esimente
Se nel corso dell'analisi delle falle di sicurezza vengono violate norme penali, in determinate circostanze è possibile invocare la necessità esimente ai sensi dell'art. 17 CPS. L'intrusione in un sistema è giustificata solo se vi sono indicazioni concrete che un sistema è affetto da potenziali falle di sicurezza. Inoltre, la scoperta, la documentazione e le informazioni su queste falle di sicurezza devono servire a scongiurare un accesso dannoso.
Pubblicazione dei risultati dell'analisi delle falle di sicuezza
Prima di una divulgazione dettagliata, le falle di sicurezza identificate e documentate dovrebbero essere completamente eliminate. In caso contrario, il livello di dettaglio di una divulgazione deve essere ridotto alle informazioni necessarie. In questo modo gli utenti del sistema saranno avvertiti adeguatamente e avranno la possibilità di proteggersi.n.