Dove il Computer Fraud and Abuse Act incontra una giuria, l'onere della prova non si sposta.
Difesa, in primo grado e in appello, nei procedimenti penali federali statunitensi in materia informatica — CFAA, wire fraud, riciclaggio, estradizione. Difensore in United States v. Gasperini, il primo processo per "click fraud" mai celebrato davanti a una giuria federale, conclusosi con l'assoluzione da ogni capo di reato.
Difesa cibernetica federale, dall'inizio alla fine.
Dalla prima visita dell'FBI alla Corte d'Appello — una strategia che anticipa l'imputazione, contesta le prove e preserva ogni questione per il giudizio di revisione.
CFAA & Intrusione Informatica
18 U.S.C. § 1030 in tutte le sue articolazioni — "senza autorizzazione," "eccedendo l'autorizzazione," "protected computer," e i limiti costituzionali oltre i quali la norma non può estendersi.
Wire Fraud, Click Fraud & Antiriciclaggio
Procedimenti per click fraud e ad-tech, ipotesi di cospirazione fondate su accordi presunti e capi di riciclaggio costruiti su trasferimenti ordinari. Lo "schema" va provato — non presunto.
Estradizione & Difesa Transfrontaliera
Clienti italiani ed europei dinanzi ad arresti negli Stati Uniti, richieste MLAT e mandati ex Stored Communications Act che colpiscono server e abitazioni in Europa. Iscritto agli Ordini di New York, New Jersey, Texas e Missouri; laurea in Giurisprudenza conseguita in Italia.
United States v. Gasperini
Fabio Gasperini, ingegnere italiano, fu estradato da Amsterdam a Brooklyn, accusato di cinque capi federali e di aver orchestrato una botnet globale di oltre 150.000 macchine. L'accusa chiamò il Direttore del SANS Internet Storm Center e altri venti testimoni in un processo di sette giorni. La giuria respinse ogni felony.
Shellshock, QNAP e un bot IRC Lightaidra.
La ricostruzione dell'accusa risaliva all'ondata di sfruttamenti del 2014 successiva alla divulgazione pubblica di CVE-2014-6271 — "Shellshock" — una falla di esecuzione remota nella shell Bash. Si contestava all'imputato di:
- Scansionato la porta 80 di Internet alla ricerca di apparecchi QNAP NAS vulnerabili.
- Inviato un payload tramite vettore Bash CGI che apriva un account amministrativo nascosto, una webshell non autenticata e un demone SSH sulla porta 26.
- Applicato la patch Shellshock sulle macchine compromesse per escludere altri attaccanti.
- Installato un fork di Lightaidra, un bot basato su IRC, per coordinare la rete e generare impressioni pubblicitarie fraudolente.
Cinque capi. Fino a settant'anni.
- Intrusione Informatica Aggravata — 18 U.S.C. § 1030(a)(4) & (a)(5)
- Cospirazione di Wire Fraud — 18 U.S.C. § 1349
- Wire Fraud — 18 U.S.C. § 1343
- Cospirazione di Riciclaggio — 18 U.S.C. § 1956(h)
- Intrusione Informatica (contravvenzione) — 18 U.S.C. § 1030(a)(2)(C) (reato minore incluso)
Dopo due giorni di camera di consiglio, la giuria pronunciò il non guilty su ogni capo di felony e condannò unicamente per la contravvenzione — il reato minore incluso nell'imputazione di intrusione informatica. La Corte applicò la pena edittale massima: 12 mesi di reclusione, multa di 100.000 dollari e 12 mesi di libertà vigilata.
Dal grand jury di Brooklyn alla Second Circuit.
Tre questioni che oggi vincolano la Second Circuit.
La condanna per contravvenzione fu impugnata dinanzi alla Corte d'Appello per il Secondo Circuito. La sentenza che ne è seguita — United States v. Gasperini, 894 F.3d 482 (2d Cir. 2018) — è oggi il principale precedente del Secondo Circuito in materia di ammissibilità degli screenshot dell'Internet Archive e di limiti alle censure di vagueness sul CFAA.
Vagueness costituzionale del § 1030(a)(2)(C)
La difesa argomentò che i termini cardine del CFAA — access, authorization, information, protected computer — erano privi di definizione e violavano dunque il requisito costituzionale di sufficiente determinatezza ex Quinto Emendamento.
La Corte d'Appello rifiutò di dichiarare incostituzionale la norma, ritenendo che la condotta contestata rientrasse nel "nucleo" di qualsiasi interpretazione ragionevole del testo. La sentenza fissa oggi il perimetro entro cui le doglianze di vagueness sul § 1030 possono essere proposte nel Secondo Circuito.
Stored Communications Act e perquisizioni all'estero
La difesa chiese la suppression delle prove ottenute con mandati ex Stored Communications Act e con perquisizioni eseguite dalla polizia italiana presso l'abitazione dell'imputato. La questione investiva l'efficacia extraterritoriale dei mandati ex § 2703 e la valutazione delle perquisizioni straniere ai sensi del Quarto Emendamento sotto la "joint-venture doctrine".
La Corte d'Appello confermò il rigetto, ma la questione resta un modello per l'impugnazione delle prove digitali transfrontaliere nei procedimenti CFAA.
Autenticazione dell'Internet Archive (Wayback Machine)
L'accusa produsse screenshot della Wayback Machine dell'Internet Archive per provare lo stato storico dei siti coinvolti nel presunto schema. La difesa contestò il fondamento probatorio ex Federal Rule of Evidence 901.
Il Secondo Circuito ammise le prove tratte dalla Wayback Machine quando accompagnate dalla testimonianza dell'office manager dell'Internet Archive — rendendo Gasperini il precedente federale più citato in materia di autenticazione di pagine web archiviate, oggi richiamato di routine in tutta la giurisprudenza federale.
"La condotta ricadeva nel nucleo proibito dalla norma" — eppure la giuria, sulla medesima base istruttoria, respinse ogni felony che l'accusa vi aveva costruito attorno.
Come è stato raccontato il caso.
Una selezione della copertura del Department of Justice, della stampa giuridica, del giornalismo di sicurezza e della radio.
"Cybercriminal Who Created Global Botnet Infected With Malicious Software Extradited To Face Click Fraud Charges"
L'Ufficio del Procuratore Federale annuncia l'estradizione e la pubblicazione di un'imputazione in cinque capi per una botnet globale di oltre 150.000 macchine.
21 Aprile 2017 U.S. Department of Justice · E.D.N.Y."Cybercriminal Convicted of Computer Hacking and Sentenced to Statutory Maximum"
Il comunicato post-dibattimento — che omette discretamente l'assoluzione da ogni felony, incluse wire fraud e riciclaggio.
9 Agosto 2017 Law360"Italian Convicted On 1 Count In 'Click-Fraud' Trial"
Il primo processo americano per click fraud arrivato a una giuria — e il primo a uscire d'aula senza una felony.
4 Agosto 2017 Gothamist"Alleged Cybercriminal Extradited To Brooklyn For Click Fraud"
Cronaca locale della comparizione iniziale al tribunale federale di Cadman Plaza.
22 Aprile 2017 BleepingComputer"HackinItaly: The Story Behind the Takedown of a 2,500-Strong QNAP NAS Botnet"
La ricostruzione tecnica di Shellshock su QNAP, del canale C2 Lightaidra e della catena di disclosure sfociata nell'esposto all'FBI.
Maggio 2017 Patterson Belknap · Second Circuit Blog"Court Rejects Evidentiary and CFAA Vagueness Challenges to Conviction for Botnet Hacking Scheme"
L'analisi del principale blog dei praticanti sulla pronuncia della Second Circuit e sulle sue implicazioni per la difesa CFAA.
Luglio 2018 The Register"Archive.org's Wayback Machine is legit legal evidence, US appeals court judges rule"
La copertura tecnica della pronuncia d'appello che ha trasformato Gasperini nel precedente federale sulle prove web archiviate.
Settembre 2018 New York Law Journal"Archiving the Internet: The 'Wayback Machine' in the Courts"
Come Gasperini ha ridisegnato il modo in cui i praticanti federali producono — e contestano — siti web storici.
16 Luglio 2018 Law and Disorder Radio"Defending the First U.S. Click-Fraud Trial" — intervista a Simone Bertollini
Un'intervista approfondita alla radio dei diritti civili sulle perizie dell'accusa e sulla botnet mai prodotta.
5 Febbraio 2018Super Lawyers Magazine — Rising Stars, New Jersey 2018.
L'edizione New Jersey 2018 della rivista di settore peer-reviewed dedicò un profilo all'avvocato che portò a processo — e vinse — il caso federale di click fraud che ha fatto scuola.
"Come Simone Bertollini ha vinto il caso che ha fatto scuola, in modi che potrebbero sorprendervi."
Il ritratto firmato Trevor Kupfer su Super Lawyers Magazine ripercorre la strada da un J.D. appena conseguito e un visto investitore alla difesa del primo processo americano per click fraud mai giunto davanti a una giuria — un'accusa fondata su venticinque testi del governo, quattro ore di controesame dei periti informatici e un'imputazione da settant'anni di pena.
- "L'accusa non offrì mai un patteggiamento" — e il processo durò mesi.
- "Chiamarono venticinque testimoni. Alla fine, però, avevano pochissime prove."
- "Era chiaro che fossero arrivati alle loro conclusioni tirando a indovinare."
Iscritto in quattro giurisdizioni statunitensi.
Simone Bertollini è abilitato all'esercizio della professione forense negli Stati di New York, New Jersey, Texas e Missouri, ed è in possesso di una Laurea in Giurisprudenza italiana. L'Avv. Bertollini non è iscritto ad alcun Ordine forense italiano.