Nel 2019 Capital One aveva subìto un attacco cyber criminale su vasta scala, con la compromissione delle informazioni di oltre 100milioni di utenti.
Un giudice federale statunitense ha ripristinato la condanna nei confronti di Paige Thompson, l’ex ingegnere di Amazon Web Services colpevole per il furto di dati ai danni di Capital One nel 2019. In quell’occasione, in seguito al data breach, vennero compromesse le informazioni di oltre 100milioni di utenti, pubblicandole poi su GitHub.
Il giudice per il Distretto Occidentale di Washington Robert Lasnik ha stabilito per Thompson una pena corrispondente al tempo già scontato. A questa, si sono aggiunti cinque anni di libertà vigilata, di cui tre in detenzione domiciliare e 250 ore di lavori socialmente utili. È stato inoltre confermato l’ordine di risarcimento da 40,7 milioni di dollari a favore delle vittime del cyberattacco.
La nuova sentenza, emessa la scorsa settimana, è arrivata dopo la decisione della Corte d’Appello del Nono Circuito, che aveva annullato la pena del 2022 in seguito al ricorso della Procura. L’ha infatti giudicata “troppo indulgente“.
L’intrusione in Capital One
Nel suo nuovo pronunciamento, il giudice Lasnik ha ammesso di aver fatto “un pessimo lavoro nel motivare adeguatamente” la sentenza originaria. Tuttavia, ha ribadito la convinzione che una pena detentiva rappresenterebbe una punizione eccessiva e non necessaria, alla luce di tutti i fattori legali da considerare.
Thompson, oggi 39enne, ha ricevuto una condanna per frode telematica e intrusione informatica dopo aver sfruttato le vulnerabilità dei sistemi di cloud computing di Capital One. L’intrusione è avvenuta attraverso un firewall dell’applicazione web “configurato in modo errato“, consentendo così l’accesso ai dati. La violazione ha colpito circa 106milioni di americani, con danni stimati in oltre 40milioni di dollari.
L’ordine della condanna
Nel valutare i fattori che giustificavano una significativa riduzione rispetto alle linee guida federali in materia di condanne da 135 a 168 mesi, Lasnik ha citato i problemi di salute mentale di Thompson. Inoltre, ha fatto riferimento alle difficoltà legate alla transizione di genere. E insieme, all’accettazione delle proprie responsabilità e al comportamento scorretto, ma alla fine rispettoso, durante la libertà vigilata.
Il giudice ha anche scritto: “La Corte non ritiene che una pena detentiva soddisferebbe la necessità di una sentenza che fornisca all’imputato le cure mediche necessarie. Oppure, altri trattamenti correzionali nel modo più efficace”.
Per altro, come ha spiegato CyberScoop, “i pubblici ministeri avevano nuovamente raccomandato una pena detentiva di 84 mesi“. In quel caso, sostenendo che gli arresti domiciliari “non costituivano un deterrente adeguato per reati simili“.
Per approfondire
- Consulta la sentenza della Corte Usa per il Distretto Occidentale di Washington in PDF.
