: 150%; margin-right:15;align: justify'>
La CFAA e', negli USA, la Computer Fraud and Abuse Act, 18 U.S.C. § 1030.
Il tema è questo: il dipendente che, usando le credenziali di accesso, viola le policy d'uso che gli sono imposte, non commette frode informatica.
In questo caso il dipendente si licenzia e fonda una azienda concorrente, senza dimenticare di far assumere tre dipendenti dalla precedente azienda per scaricare dati e comunicarglieli.
"Soon after leaving Korn/Ferry, Nosal allegedly induced three of its employees to download proprietary information about executive candidates from Korn/Ferry's password-protected database and to provide that information to Nosal"
I tre dipendenti avevano accesso ai database per lavoro, ma comunicando i dati a terzi violarono le policy aziendali.
L'ex dipendente concorrente non viene ritenuto colpevole di frode informatica. I tre dipendenti fatti assumere avevano le credenziali, ma se ne fece uso eccessivo "exceeds authorized access".
In poche parole è frode normale, non frode informatica: le password erano detenute legittimamente, non furono usati meccanismi per "scassinare" i computer. Nulla di informatico.
La decisione del nine circuit è spesso stata in contrasto con le altre. Sul punto la nozione di accesso autorizzato, secono il nine circuit, non può dipendere dalle condizioni d'uso decise.
Sarebbe noto infatti che ognuno fa del proprio computer quello che crede, in barba alle condizioni legali, e questi comportamenti non rilevano autonomamente come frodi informatiche.
E' una tesi isolata.
Tuttavia poggia su una solida nozione: gli illeciti ci sono comunque, e solo quelli informatici sono in violazione di metodi di autenticazione (rubando le password).
Viene vista come una decisione importante. Se ricordare che "una truffa comune può essere realizzata anche con un computer" diventa importante, allora c'è bisogno di ritrovare equilibrio.
Tema da approfondire sicuramente.
Grazie per l'ottima segnalazione dell'avv. Stefano Sutti tramite Facebook.
Qui il testo della decisione. Alle fonte il commento in inglese.
The majority’s opinion is driven out of a well meaning but
ultimately misguided concern that if employment agreements
or internet terms of service violations could subject someone
to criminal liability, all internet users will suddenly become
criminals overnight. I fail to see how anyone can seriously
conclude that reading ESPN.com in contravention of office
policy could come within the ambit of 18 U.S.C. § 1030(a)(4),
a statute explicitly requiring an intent to defraud, the obtain-
ing of something of value by means of that fraud, while doing
so “knowingly.” And even if an imaginative judge can con-
jure up far-fetched hypotheticals producing federal prison
terms for accessing word puzzles, jokes, and sports scores
while at work, well, . . . that is what an as-applied challenge
is for. Meantime, back to this case, 18 U.S.C. § 1030(a)(4)
clearly is aimed at, and limited to, knowing and intentional
fraud. Because the indictment adequately states the elements
of a valid crime, the district court erred in dismissing the
charges.
I respectfully dissent.