Pirateria informatica: perché gli Stati Uniti vogliono estradare gli hacker europei?

Internet è senza confini, con gli hacker in grado di attraversare i confini internazionali e lanciare attacchi a governi e istituzioni distanti migliaia di chilometri con il semplice clic di un pulsante.

Con le leggi sulla criminalità informatica che variano da paese a paese e la cooperazione internazionale a volte frammentaria, gli stati nazionali fanno spesso affidamento sull'estradizione come mezzo per perseguire gli hacker che hanno attaccato le istituzioni nel loro territorio.

Negli ultimi anni, gli Stati Uniti hanno cercato di estradare gli hacker dal Regno Unito e dall'Unione europea, ma hanno subito il "No" dei governi statali, delle organizzazioni per i diritti umani e degli avvocati, che proteggono i clienti, spesso considerati come vulnerabili.

• Ecco tre segnali per capire che i tuoi figli potrebbero essere hacker: cosa fare al riguardo?
• "Ero un hacker bambino": due adolescenti hacker condividono le loro storie
• Ecco gli Script Kiddies: hacker in erba che tengono il mondo in pugno

Mentre i casi di pirateria informatica di alto profilo continuano a passare da un tribunale internazionale all'altro, diamo uno sguardo ad alcuni dei casi di estradizione più famosi del passato e scopriamo se l'estradizione e la reclusione siano davvero la risposta giusta contro gli hacker.

"Penso che dobbiamo dare un po' di tregua a queste persone", spiega Alexander Urbelis, Senior Counsel presso Crowell and Moring LLP e membro del "Privacy and Cybersecurity Group".

“Sono persone straordinariamente talentuose che stanno cercando di capire come funzionano i sistemi. Possono trasgredire molti limiti quando acquisiscono quella conoscenza e possono provocare molto caos, ma penso che sarebbe sbagliato infliggere conseguenze dure, come fossero criminali, a persone che potrebbero non necessariamente comprendere le conseguenze delle loro azioni", aggiunge Urbelis.

Il caso contro Omnipotent, l'hacker di RaidForum

Nel 2015, il 14enne portoghese Diogo Santos Coelho ha creato RaidForums, un forum di hacking reso disponibile sul web "open".Facilmente accessibile da chiunque lo cercasse, il forum condivideva violazioni dei dati, forniva strumenti di hacking e distribuiva materiale pornografico.

Coelho, noto con l'alias "Onnipotente", ha viaggiato gli Stati Uniti nel 2018 e, sebbene sia stato tenuto in custodia e i suoi dispositivi siano stati sequestrati, non è stato immediatamente arrestato.

Da parte sua, il Dipartimento di Giustizia deglii Stati Uniti, nell'ambito di un'indagine internazionale multinazionale denominata "Operazione Tourniquet", hanno continuato a raccogliere dati da RaidForums, fino a quando Coelho è stato infine arrestato nel Regno Unito nel 2022.

Gli Stati Uniti stanno ora chiedendo la sua estradizione, anche se il suo avvocato, Ben Cooper, sostiene che l'estradizione di Coelho, che è autistico, rappresenterebbe un grave rischio per la sua salute.

"C'è un sottofinanziamento di lunga data del sistema penitenziario federale negli Stati Uniti", spiega Cooper. "Quindi, in particolare con l'autismo, le carceri non si occupano delle vulnerabilità che sorgono con quella condizione".

Il caso di Coelho non è il primo ad essere difeso su queste basi "sanitarie", e con molti giovani hacker che convivono con la neurodivergenza, processarli per crimini commessi quando erano minorenni si sta rivelando sia discutibile che impegnativo, come spiega l'avvocato Cooper.

“Non è raro che gli imputati siano esposti di fatto all'ergastolo negli Stati Uniti. I pubblici ministeri statunitensi inizieranno essenzialmente dall'età adulta, ignorando il fatto che alcune delle condotte potrebbero essersi verificate proprio quando l'imputato era minorenne".

I precedenti casi di Lauri Love e Gary McKinnon

Nel 2018, Ben Cooper rappresentava anche Lauri Love, un attivista con doppia cittadinanza finlandese e britannica, che ha violato i siti web del governo degli Stati Uniti, che arrivò a chiedere la sua estradizione. Citando una diagnosi di autismo risalente al 2012 e il rischio di suicidio, a causa di altre condizioni di salute mentale, la sua estradizione è stata, infine, bloccata in appello

I suoi difensori hanno sostenuto che il sistema carcerario statunitense non disponeva delle garanzie per supportare i complessi bisogni di Lauri Love, e come tale sarebbe stato pericoloso estradarlo.

Questa argomentazione era stata avanzata in precedenza nel caso di Gary McKinnon, che ha combattuto una battaglia legale di 10 anni contro l'estradizione per aver hackerato l'esercito americano, in quello che è stato considerato il più grande hackeraggio militare di tutti i tempi.

Nel 2012, l'allora ministro dell'Interno britannico Theresa May ha bloccato la sua estradizione per motivi di diritti umani, sostenendo che avrebbe potuto togliersi la vita se estradato. McKinnon ha la Sindrome di Asperger ed è stato considerato a rischio di suicidio a causa di questo e di altri fattori di salute.

Hacker che sono stati estradati negli Stati Uniti

Sebbene questi casi storici non siano andati come previsto dal governo degli Stati Uniti, le estradizioni sono andate a buon fine per altri hacker con "sede" in Europa. Joshua Polloso Epifaniou, un hacker di 22 anni di Cipro, è diventato il primo cittadino cipriota ad essere estradato negli Stati Uniti, dopo aver organizzato una truffa per estorcere denaro agli operatori di siti web, minacciando di far trapelare i loro dati.

Allo stesso modo, l'hacker britannico Joseph James O'Connor, 23 anni, che operava sotto lo pseudonimo di PlugwalkJoe, è stato estradato dalla Spagna dopo aver lanciato un attacco su Twitter nel luglio 2020. L'attacco ha visto compromessi gli account di personaggi famosi come Joe Biden, Barack Obama e Kim Kardashian. O'Connor dovrebbe essere condannato entro la fine dell'anno, ma rischia oltre 70 anni di carcere.

C'è un altro modo per andare avanti?

Sebbene gli Stati Uniti siano desiderosi di dare l'esempio a chiunque li attacchi, se la prigione sia davvero il posto giusto per i giovani criminali informatici è un dibattito in forte discussione, come spiega Cooper.

"La mia esperienza di queste situazioni è che una volta arrestato, l'imputato si renderà immediatamente conto della gravità di ciò che ha fatto e spesso aiuta a combattere il crimine informatico", afferma Cooper. “E avendo compreso le conseguenze delle loro azioni, vorranno fare del bene”.

Molti Paesi europei stanno ora organizzando corsi di "riqualificazione" per giovani delinquenti "di primo grado", guidandoli verso l'hacking etico, invece che verso un'ulteriore criminalità.

Kaspersky: "Noi non ci fidiamo"

Ma per Christian Funk, Lead Security Researcher di Kaspersky, leader nella sicurezza informatica, tutto si riduce alla fiducia. “Se non ti fidi che qualcuno abbia la giusta morale o etica, come puoi mai essere sicuro che non sarà attirato di nuovo al crimine informatico, per soldi o altre motivazioni? Kaspersky ha sempre adottato la politica di non assumere hacker proprio per questo motivo".

Una seconda possibilità?

Tuttavia, crede ancora che i giovani hacker meritino una seconda possibilità, soprattutto perché i giovani sono così facilmente influenzabili dai loro coetanei.

"Credo che i ragazzi meritino una seconda possibilità e una guida su come usare le loro capacità e conoscenze per il bene piuttosto che per il male", spiega Funk.

"Anche l'istruzione è fondamentale: dobbiamo insegnare ai bambini, fin dalla tenera età, il potere di Internet e la responsabilità che ne deriva, in modo che abbiano la capacità di fare buone scelte e che possano lavorare insieme a noi per un futuro online più sicuro".

• Come fanno i bambini a diventare sofisticati criminali informatici?

Educando i bambini fin dalla tenera età e intervenendo precocemente nel caso stessero per prendere la strada sbagliata, si potrebbe insegnare a molti giovani di talento a usare le loro capacità in modo costruttivo, piuttosto che finire vittime del sistema carcerario per i loro comportamenti sbagliati, che, forse, non ritenevano neppure che fossero tali.