Pronunciandosi sul comportamento dell’indagato che, dopo aver scoperto una vulnerabilità contenuta in una applicazione, la aveva prima segnalata allo stesso produttore (che, nello stesso giorno, aveva subito un attacco informatico) e poi divulgata a tutela dei consumatori, il Giudice ha osservato come, considerata la crescente rilevanza che ha assunto nella gestione dell’attività d’impresa la sicurezza dei relativi sistemi informatici, costituisca ormai «prassi consolidata l’invito rivolto dai titolari delle aziende a comunicare loro la presenza di bug (errori di sistema) all’interno del loro apparato da parte di chi ne abbia conoscenza».

Nel caso de quo – si legge nel provvedimento di archiviazione – «l’indagato ha inviato una serie di missive allo staff della società e, solo a seguito dell’inerzia della medesima di voler correggere la vulnerabilità del sistema, si è deciso a render noto, a tutela dei consumatori, la presenza di un simile errore a distanza di un mese dalla sua segnalazione»; ciò comporta che la condotta dell’indagato «non integra il delitto di cui all’art. 615-ter c.p., inquadrandosi la stessa nella metodologia comune della “divulgazione responsabile”, avendo il medesimo contattato prima l’azienda coinvolta proprio per consentirle di emendare l’errore entro un lasso di tempo, che può variare da trenta giorni a un anno, a seconda della gravità e della complessità della vulnerabilità»

DECRETO