Netcrook Logo
👤 AUDITWOLF
🗓️ 30 Jan 2026   🌍 North America

Dalle manette al risarcimento: le costose conseguenze dell’arresto per pentesting in Iowa

Due esperti di sicurezza arrestati per un’intrusione autorizzata nel tribunale ottengono un accordo da 600.000 dollari, alimentando il dibattito su difesa cyber e confini delle forze dell’ordine.

Doveva essere un test di routine: una missione notturna per mettere in luce le crepe nella sicurezza di un tribunale dell’Iowa. Invece si è conclusa con due “bravi ragazzi” professionisti in cella, un clamore nazionale nel mondo della cybersecurity e, anni dopo, un risarcimento da 600.000 dollari proprio dalla contea che li aveva arrestati. La vicenda di Gary DeMercurio e Justin Wynn si legge come un monito per chiunque si trovi all’incrocio tra cybersecurity e forze dell’ordine.

Nella notte dell’11 settembre 2019, DeMercurio e Wynn - dipendenti di Coalfire Labs - entrarono nel Dallas County Courthouse in Iowa nell’ambito di un’esercitazione “red team” pianificata. La loro missione: simulare un attacco reale per aiutare il ramo giudiziario dello Stato a individuare le debolezze prima che i criminali potessero sfruttarle. Avevano documenti che autorizzavano attacchi fisici, incluso lo scassinamento, purché non venissero danneggiate proprietà.

Dopo essere entrati da una porta non chiusa a chiave e aver fatto scattare l’allarme, i tester si sono ritrovati faccia a faccia con le forze dell’ordine. Invece di essere elogiati per il loro lavoro, sono stati ammanettati, incarcerati e incriminati per furto con scasso (felony). Le accuse sono state infine ridimensionate, ma il messaggio era chiaro: anche i pentester autorizzati potevano ritrovarsi penalmente responsabili per aver fatto il proprio lavoro.

L’incubo non è finito con la loro scarcerazione. Lo sceriffo della contea di Dallas ha insistito pubblicamente sul fatto che i tester avessero agito illegalmente, alimentando una narrazione che minacciava la loro reputazione professionale. Per i professionisti della cybersecurity, il caso è diventato un punto di raccolta - un avvertimento che persino contratti a prova di bomba e obiettivi chiari potrebbero non proteggerli da contraccolpi legali o dalla diffamazione pubblica.

“Questo incidente non ha reso nessuno più sicuro,” ha riflettuto in seguito Wynn. “Ha inviato un messaggio raggelante ai professionisti della sicurezza di tutto il Paese: aiutare il governo a identificare vulnerabilità reali può portare ad arresto, incriminazione e pubblica umiliazione. Questo mina la sicurezza pubblica, non la rafforza.”

L’accordo da 600.000 dollari chiude un capitolo, ma lascia una domanda persistente: come possono organizzazioni e forze dell’ordine colmare il divario tra difesa digitale e diritto penale? Il caso mette in evidenza l’urgenza di formazione, comunicazione e fiducia - affinché chi viene assunto per proteggerci non venga trattato come gli stessi criminali che è pagato per battere in astuzia.

WIKICROOK

  • Penetration Testing: Il penetration testing simula attacchi informatici ai sistemi per identificare e correggere debolezze di sicurezza prima che hacker reali possano sfruttarle.
  • Red Team: Un Red Team è un gruppo di esperti che simula attacchi informatici per scoprire e correggere vulnerabilità di sicurezza prima che hacker reali le sfruttino.
  • Lockpicking: Il lockpicking è l’atto di aprire una serratura senza la sua chiave, comunemente usato nei test di sicurezza fisica per individuare vulnerabilità.
  • Defamation: La diffamazione consiste nel fare affermazioni false o dannose su qualcuno, compromettendone la reputazione. La diffamazione online è una preoccupazione chiave nella cybersecurity.
  • Rules of Engagement: Le rules of engagement sono linee guida concordate che definiscono azioni consentite, ambito e confini durante i test di cybersecurity per garantire valutazioni sicure ed etiche.
Pentesting Cybersecurity Legal Risks
AUDITWOLF AUDITWOLF
Cyber Audit Commander
← Back to news