Sito hackerato, il cliente mi può far causa?

dagofee

Sito hackerato, il cliente mi può far causa?

Buon giorno,

Il sito di un mio cliente è stato "bucato" e sono stati inseriti dei link a siti porno di cui io non mi ero minimamente accorto.
"Fortunatamente" questi link non erano visibili a nessuno perchè sono stati nascosti dall'hacker.
Il mio cliente però ha fatto casualmente controllare la pagina a un collega che si è accorto dei link.
Il mio cliente ora sta cercando di mettermi alle strette con argomenti quali "danno di immagine", nonostante questi link non fossero visibili (motivo per cui mi era impossibile rilevare il problema).
In realtà lui ha pagato solo la prima metà del sito web, l'altra metà sta cercando di non pagarla tramite questo disservizio ma vorrei capire fino a che punto sono responsabile.

grazie per qualsiasi dritta
Andrea

Un Ex Utente

La cosa è complessa.

• chi ha registrato il dominio?
• chi gestisce il dominio?
• chi ha pubblicato il sito?
• la malefatta è stata fatta sul sito già pubblicato o prima?
• vendi anche la manutenzione e la gestione?
• chi si occupa della sicurezza informatica del cliente? in parole povere chi è il suo sysadmin o facente le veci?

irdg

Ben lungi dall'essere un consiglio legale ma un paio di domande in attesa che arrivi uno più preparato.
Le parti in causa sono molteplici e dipende soprattutto dal contratto in essere, ad esempio:

1. Te gli hai dato un sito statico, lui ha approvato la consegna allo stato allo stato in cui era e poi lo ha pubblicato di sua iniziativa, e l'unica cosa rimasta in sospeso era la rata.. in questo caso sono problemi suoi.

2. Se gli hai fornito anche la piattaforma CMS (opensource o autoprodotta), l'hosting o altro è lecito pensare ad una mancanza da parte tua dandogli una "struttura" (per usare un termine che indica tutto come niente) poco "Affidabile"... ma di li a dire che legalmente sei responsabile di alcunché non ho le compentenze per giudicare.

3. Se sussisteva un contratto di manutenzione del sito, servizi di SEO o altro, penso che il semplice fatto di non essertene accorto sia alla base di un mancato servizio...

Inoltre sono da valutare le implicazioni secondarie quali: immagine nei contronti del cliente e di altri clienti (o potenziali) cui può riferire...

Immagino che un consulto legale decente abbia bisogno di dati più precisi.

giurista

Qual'era l'oggetto del contratto ossia che prestazioni dovevi al cliente? Senza queste informazioni è impossibile rispondere.

dagofee

Allora, lui aveva un sito in flash che non andava più bene.
Ci siamo messi d'accordo sulla cifra di 1000? per rifare da zero il sito con Wordpress.
A metà lavoro avrebbe dovuto versarmi 500? cosa che è avvenuta con un mese di ritardo, vabbè.

Successivamente all'avermi versato la prima rata, mi ha chiesto di implementargli un e-commerce insomma un negozio online.
Questo è un lavoro extra per il quale ho chiesto 500? in più (quindi in totale 1500?).
Mi ha detto che ci avrebbe pensato e non si è fatto più sentire.
Nel frattempo io completo il sito (senza e-commerce), ora mancano solo FOTO e TESTI.

Un mese dopo mi scrive "nel mio sito ci sono 200 link porno io faccio catering non porno. Provvedere subito".
Mi scuso correggendo il problema e rassicurandolo perchè i link non erano visibili a nessuno eccetto a chi avesse visualizzato il codice del sito (ovvero un programmatore).
Gli chiedo se ha preso qualche decisione sull'ecommerce e viene fuori che:

• non vuole più il sito. Anzi lo vuole senza pagare i rimanenti 500?, poi su mio rifiuto mi chiede di ripristinare quello vecchio. Ripristinare vuol dire altro lavoro che lui non è disposto a pagare.
  • secondo lui gli starei vendendo un sito a 1000? quando secondo lui il valore sarebbe 200?....................
• secondo lui sto cercando di estorcergli altri soldi (ovvero 500? per l'ecommerce)
• che i link gli avrebbero creato un danno di immagine
• che il fatto di non essere online per lui è un danno (ma se non paghi chi ti manda online??)

Ora secondo il mio punto di vista:
Mi hanno bucato il sito inserendo dei link INVISIBILI da cui lui dice di aver ricevuto un danno di immagine.
Ma se i link non erano visibili a nessuno dov'è che ha perso soldi o credibilità?

Sembra che abbia trovato un "amico" che "un sito così" glielo fa per 200?. Perchè allora mi ha dato l'ok quando ci siamo messi d'accordo sulla cifra?
Perchè mi da del ladro e mi accusa di estorsione?

Non si aspettava che gli chiedessi 500? in più per l'e-commerce.
Bhe nemmeno io mi aspettavo che mi chiedesse un e-commerce altrimenti gli avrei preventivato 1500? fin dall'inizio.

Rispondendo alle vostre domande:

• chi ha registrato il dominio? LUI
• chi gestisce il dominio? LUI
• chi ha pubblicato il sito? IO (anche se non era finito)
• la malefatta è stata fatta sul sito già pubblicato o prima? PENSO, sul sito già pubblicato ma non sono sicuro, perchè?
• vendi anche la manutenzione e la gestione? SI
• chi si occupa della sicurezza informatica del cliente? in parole povere chi è il suo sysadmin o facente le veci? IO

Io sono un maledettissimo onesto lavoratore per il quale 500 euro fanno la differenza a fine mese.
Ci passo sopra ma che LUI mi minacci di ricorrere agli avvocati mi sembra un'aberrazione.
Scusate lo sfogo.

Ringrazio tutti per l'attenzione e per qualsiasi consiglio

Un Ex Utente

• la malefatta è stata fatta sul sito già pubblicato o prima? PENSO, sul sito già pubblicato ma non sono sicuro, perchè?

Perchè .....

se lo hai pubblicato senza tali link e sono stati inseriti dopo la colpa è sua,

• chi gestisce il dominio? LUI

se erano presenti nel tuo materiale la colpa è tua.

• chi ha pubblicato il sito? IO

Non è difficile accertarsene, controlla la bozza locale sicuramente in tuo possesso.
A questo proposito un consiglio per il futuro (consegnare il sito su CD o DVD) e FIRMARLO con un pennarello.

giurista

Qui trattasi di un problema di culpa in vigilando data la natura dell'oggetto del contratto.
Quello che capisco poco è il motivo per cui hai pubblicato un sito non ancora completato.
La tua prestazione consiste nell'allestire un sito; nelle more di completamento tu hai pubblicato il sito che è stato attaccato.
L'hai pubblicato con il suo consenso?
In ogni caso l'utente qualsiasi che si collegava, dici, non poteva vedere questi link. Come se n'è accorto lui?
I link immagino siano di reindirizzamento quindi, chiunque si collega al sito si ritrovava una ulteriore e diversa pagina aperta di siti porno. (una seconda pagina che si apre da sola) I contenuti porno quindi non sarebbero sulla pubblicità del tuo cliente.(Se è cos' il danno all'immagine non sussiste).
Ma se è così come puoi non essertene accorto?
Scusa se ti chiedo ulteriori lumi ma non essendo una programmatrice ho necessità di queste informazioni per darti una risposta seria. In sintesi vorrei capire come fa ad essersene accorto lui e tu no...oltre a sapere ciò che vedevano i clienti.

Un Ex Utente

Rispondo io,
questi link probabilmente si notano solo esaminando il sorgente (si fa per dire) del lavoro (ovvero il codice), non da quello che appare collegandosi al sito.
Temo molto che l'autore del post abbia riutilizzato del materiale preesistente e non scritto ex-novo il codice.
Se è così son grane serie e se accettano di risolverle non pagando il lavoro quello sarebbe il danno minore.

Per Giurista:
"Quello che capisco poco è il motivo per cui hai pubblicato un sito non ancora completato."
Questa è prassi normale, arrivati ad un certo sviluppo i siti si pubblicano eccome, in genere pressati dal cliente che vuol vedere qualche cosa in rete per giustificare la spesa, di solito però non si litiga

Questa mia domanda richiederebbe una risposta perchè molto importante dal punto di vista giuridico/informatico (privacy, DPS, etc ...)

• chi si occupa della sicurezza informatica del cliente? in parole povere chi è il suo sysadmin o facente le veci?

giurista

Ma se è così, criceto, il danno all'immagine è completamente escluso. Non credo proprio che un utente qualunque digiuno di queste cognizioni (tipo la scrivente) possa esaminare il "sorgente".

Per il resto della risposta sulle responsabilità aspetterei che dagofee risponda alla tua domanda perchè tale risposta è risolutiva.

Un Ex Utente

Aspettiamo con fiducia ulteriori informazioni e poi vediamo il da farsi.

vnotarfrancesco

@giurista said:

Ma se è così, criceto, il danno all'immagine è completamente escluso. Non credo proprio che un utente qualunque digiuno di queste cognizioni (tipo la scrivente) possa esaminare il "sorgente".

Per quanto riguarda "i danni" escludo anche io quello all'immagine del cliente visto che quella tecnica è sviluppata proprio per nascondere alla vista quel tipo di link.
Tuttavia ci possono essere dei danni a livello di posizionamento sui motori di ricerca a causa dei link non consoni o, nella peggiore delle cause, l'inserimento del sito nella lista dei siti pericoli in servizi come Google Safe Browsing.

Il risultato, nella peggiore delle ipotesi intendo, sarebbe che chi tenta di visitare un sito inserito in queste liste si ritrova una pagina rossa e un bell'avviso di sicurezza.

Ovviamente è da dimostrare che ci sia stato questo danno o un calo nel posizionamento e che i link in questione erano presenti anche in origine.

@criceto said:

Questa mia domanda richiederebbe una risposta perchè molto importante dal punto di vista giuridico/informatico (privacy, DPS, etc ...)

• chi si occupa della sicurezza informatica del cliente? in parole povere chi è il suo sysadmin o facente le veci?

Non è questa la risposta che ti attendevi criceto?

@dagofee said:

• vendi anche la manutenzione e la gestione? SI
• chi si occupa della sicurezza informatica del cliente? in parole povere chi è il suo sysadmin o facente le veci? IO

Valerio Notarfrancesco

Un Ex Utente

Vero, l'autore aveva dato una risposta (in parte), il punto è però non chi se ne occupa manualmente ma chi è UFFICIALMENTE investito della carica.
E' normale che un tecnico informatico si occupi della cosa ma nelle scartoffie riguardanti le misure minime di sicurezza di solito figura il titolare del sistema come responsabile e quindi il tecnico opera sotto il controllo del titolare stesso. Il fatto poi che il titolare non conosca una cippa della materia e si disinteressi della cosa è un altro discorso.
Quì si sta cercando di stabilire a chi affibbiare la responsabilità giuridica della malefatta.
Ammettendo che la cosa provenga dall'esterno con violazione di password etc... è l'incaricato della sicurezza ed il responsabile del trattamento dei dati (per estensione anche del sito) che ha commesso la leggerezza di non occuparsene.
Idem nell'ipotesi che il tutto fosse già presente prima della pubblicazione
in quanto spettava a tale incaricato verificare e testare il software (ed un sito è pur sempre software) prima della pubblicazione.
Leggendo con cura la normativa sulle misure di sicurezza si noterà che pur essendo nate per tutelare la gestione dei dati personali è tuttavia estesa anche alle generiche attività informatiche e prevede l'adozione di sistemi antiintrusione ed antivirus da tenere aggiornati etc ... e tutto questo a carico del responsabile dell'azienda.

E' per questo che ritengo importante conoscere la situazione delle scartoffie nel caso in questione, solo allo scopo di attribuire con esattezza le relative responsabilità.

Se nel vario carteggio che sarà intercorso tra le parti vi fosse qualche cosa di assimilabile ad una nomina ad amministratore del sistema informatico dell'azienda (sia pure come ente esterno) allora l'autore del post potenzialmente rischierebbe qualche cosa di più della semplice perdita di quanto ancora spettante.

(Opinione strettamente personale come sempre si intende)

Vedere eventualmente questa vecchia discussione parzialmente utile nella prima parte: http://www.giorgiotave.it/forum/leggi-per-le-professioni-web/163203-dps-c.html
Attenzione che nel frattempo la normativa è cambiata ma non in modo sostanziale.

PS: dubito fortemente che entrambe le parti abbiano mai sentito parlare di tali normative .....

Un Ex Utente

Si potrebbe poi seguire una via difensiva di questo genere:

Indipendentemente dal fatto di esser stati retribuiti per il lavoro, il sito in questione è di fatto concesso in licenza all'utilizzatore che acquisisce il diritto all'uso e non altro rimanendo i diritti intellettuali beneficio dell'autore.
Ora, se questi link non erano attivi, non provocavano effetti e sono visibili solo esaminando il sorgente, si deduce che con l'esame in questione si è di fatto perpetrato un delitto informatico non avendo l'autorizzazione a farlo.

Insomma, bisogna bene analizzare il fatto e si potrebbe anche far passare la controparte dalla ragione al torto .....

irdg

@criceto said:

Indipendentemente dal fatto di esser stati retribuiti per il lavoro, il sito in questione è di fatto concesso in licenza all'utilizzatore che acquisisce il diritto all'uso e non altro rimanendo i diritti intellettuali beneficio dell'autore.
Ora, se questi link non erano attivi, non provocavano effetti e sono visibili solo esaminando il sorgente, si deduce che con l'esame in questione si è di fatto perpetrato un delitto informatico non avendo l'autorizzazione a farlo.

Insomma, bisogna bene analizzare il fatto e si potrebbe anche far passare la controparte dalla ragione al torto .....

Scusa Criceto, magari sono io... ma non c'ho mica capito nulla...

Mi sembra che stiamo divagando:
Da dove arrivano questi link?
Come ci sono finiti li sopra?

1. Se hai usato un template/codice/Plug-in o qualsiasi altra cosa "Sporca", inserendo quindi, di fatto, del codice "malevolo" nel sito sei te che hai commesso l'errore... (in pratica: montando su un wampp l'originale da te consegnatogli il problema c'è o no?) se si il cliente ha ragione.
2. Se tale codice deriva da una modifica al template/Codice/Installazione o modifica di plug-in, ma comuqne operazione eseguibile solo con diritti amministrativi sul CMS o sul server è tutto da dimostrare chi ha fatto il danno, ma ci limitiamo a chi ha diritti amministrativi (quindi in teoria te o lui).
3. Se tale codice deriva da un post/Commento o altro inserita da un utente o da uno spider sfruttando vulnerabilità di wordpress tutto dipende dal tuo ruolo... se hai consegnato un buon lavoro e, sollevato te da ogni altra operazione il cliente lo distrugge... beh ha pieno diritto di farlo, ma senza venirti a cercare.

Avendo sviscerato il problema contratto (almeno credo), diventa importante capire come è avvenuto il danno... con più dettagli possibile...

bsaett

Mah, per il danno all'immagine la vedo difficile.

Comunque la questione è complessa. Premettiamo che situazioni del genere dovrebbero essere regolate all'interno del contratto di fornitura, ma suppongo in tal caso non vi sia contratto o non sia adeguato. Quindi, ulteriore premessa è che un software non si vende ma si da in licenza, per cui il contenuto della garanzia dipende dalla licenza imposta (come sopra). Non essendoci licenza la questione dovrebbe essere risolta da un giudice secondo gli usi. In linea di massima si potrebbe ritenere applicabile la normativa dei prodotti in materia di vizi, per cui, fermo restando che la sicurezza assoluta non è fornibile in alcun modo, se l'hackeraggio può essere ricondotto a difetto di programmazione del sito allora chi lo ha prodotto potrebbe essere ritenuto responsabile, salvo ovviamente la necessità da parte dell'acquirente di dimostrare quale danno effettivo ha subito (se lo ha subito).

Per quanto riguarda i bug di prodotti di terze parti in genere si risolve inserendo apposite clausole di esclusione di responsabilità. In questo caso il produttore non dovrebbe essere ritenuto responsabile, a meno che non siano stati usati prodotti palesemente insicuri. In questo caso ritengo che quanto meno il produttore debba avvertire il cliente della insicurezza dei prodotti prima di rilasciare il sito.

glm2006italy

Come la vedo io..

• non vuole più il sito. Anzi lo vuole senza pagare i rimanenti 500?, poi su mio rifiuto mi chiede di ripristinare quello vecchio. Ripristinare vuol dire altro lavoro che lui non è disposto a pagare.
  Questa già mi puzza di "furberia"

• secondo lui gli starei vendendo un sito a 1000? quando secondo lui il valore sarebbe 200?....................
  Ancora più furberia... quelli che ti fanno iniziare un lavoro dove poi spunta l'amico.....

• secondo lui sto cercando di estorcergli altri soldi (ovvero 500? per l'ecommerce)
  Se ti avesse messo per iscritto questo lo vedo addirittura querelabile per diffamazione...

• che i link gli avrebbero creato un danno di immagine
  Il sito lo gestiva lui, giusto?
  Sicuro che il tizio non avesse IL SUO computer non adeguatamente protetto ed entrando nel pannello di controllo di WP non l'abbia fatto "bucare" ?

• che il fatto di non essere online per lui è un danno (ma se non paghi chi ti manda online??)
  Problemacci suoi!
  Già è un favore che tu gli abbia consegnato il sito prima del pagamento integrale.

Se voleva il vecchio sito doveva essere sua premura tenersene una copia di backup da ripristinare.

Detto questo lo metterei in mora chiedendo la cifra pattuita (spero contrattualmente "nero su bianco" e non verbalmente) e sopratutto rigetterei ogni accusa di "dolo" per non aver riconosciuto l'infezione,ecc.

Cosa ne sai che il tizio, magari, sia entrato sul sito collegandosi con una connessione non sicura o protetta, giusto per fare un esempio.