La maggior parte delle storie di imbrogli nei casinò comincia con dispositivi nascosti, carte segnate o qualcuno che fa qualcosa che chiaramente non avrebbe dovuto fare. Questa, invece, cominciò con un uomo che premeva pulsanti che la macchina stessa gli consentiva di premere.
Nel 2009, John Kane scoprì che alcune macchine di video poker avevano un difetto notevole. Se un giocatore otteneva una mano vincente e poi cambiava l’importo della puntata prima di riscuotere, la macchina poteva pagare la vincita come se la puntata più alta fosse stata in vigore fin dall’inizio.[1] In altre parole, un giocatore poteva puntare poco, vincere, alzare la posta dopo il fatto e incassare come se avesse rischiato molto più denaro di quanto avesse davvero messo in gioco. Non era una serie fortunata. Era un errore software travestito da gioco.
Kane e altri usarono quel bug per vincere centinaia di migliaia di dollari nei casinò del Nevada.[1] La reazione più ovvia era che dovesse per forza trattarsi di un reato. Le persone non dovrebbero battere i casinò con trucchi contabili. Eppure, quando il caso arrivò in un tribunale federale, la domanda scomoda non era se Kane avesse trovato una scappatoia. L’aveva chiaramente trovata. La questione era se sfruttare quella scappatoia costituisse un accesso illegale a un sistema informatico, oppure se avesse semplicemente usato la macchina in un modo che il suo stesso software permetteva.[1]
La macchina che dimenticò quando era stata fatta la puntata
Il video poker dovrebbe essere spietatamente ordinato. Si piazza una puntata, si riceve una mano, si decide cosa tenere, si pescano carte sostitutive e si viene pagati in base all’importo scommesso. Prima viene la puntata. Poi arriva il pagamento. Quella sequenza è l’intera architettura del gioco.
Le macchine usate da Kane rompevano questa logica.[1] Il loro software permetteva a un giocatore di bloccare una mano vincente a un determinato livello di puntata e poi aumentare la puntata prima di premere la sequenza di incasso, producendo così un pagamento legato all’importo più alto invece che a quello più basso originariamente rischiato.[1] È il genere di bug che sembra impossibile finché non ricordi che i casinò, nonostante tutto il loro glamour, sono comunque solo stanze piene di software.
E il software ha una debolezza particolare. Spesso è meno vulnerabile alla forza bruta che all’obbedienza. Se una macchina offre un pulsante e poi gestisce male le conseguenze del fatto che quel pulsante venga premuto in un certo ordine, l’utente potrebbe non aver bisogno di forzarne l’accesso. Gli bastano pazienza, ripetizione e la disponibilità a notare ciò che sfugge a tutti gli altri.
Un glitch, non un hack
Questa distinzione divenne il cuore dell’intero caso. I procuratori federali incriminarono Kane in base al Computer Fraud and Abuse Act, o CFAA, l’ampia e controversa legge statunitense contro l’hacking.[1] La loro tesi era che, sfruttando il bug del software, avesse ecceduto l’accesso autorizzato a un computer protetto.[1] Era il tentativo del governo di tradurre l’opportunismo da casinò in criminalità informatica.
Ma c’era un problema. Kane non aveva aggirato password. Non aveva alterato codice. Non aveva collegato dispositivi, aperto la macchina o avuto accesso a controlli amministrativi nascosti.[1] Aveva semplicemente usato i pulsanti sullo schermo, nell’ordine consentito dalla macchina, e accettato il denaro che la macchina gli offriva. Questo rese il caso giuridicamente imbarazzante in un modo molto moderno.
Perché se un computer ti permette di fare qualcosa, quando esattamente oltrepassi il confine tra usarlo e hackerarlo?
Quando la legge si scontra con la pressione di un pulsante
Al tribunale federale in United States v. Kane non veniva chiesto di stabilire se ciò che Kane aveva fatto fosse ingegnoso. Quello era evidente. Gli veniva chiesto se il governo avesse effettivamente sostenuto l’esistenza di un reato ai sensi del CFAA.[1] In particolare, i procuratori dovevano dimostrare che Kane aveva ecceduto l’accesso autorizzato a un computer protetto per commettere una frode.[1]
Il tribunale concluse che non ci erano riusciti in modo sufficiente.[1] Kane aveva accesso alla macchina in quanto giocatore. Usava l’interfaccia così come gli veniva presentata. Non era entrato in alcuna area vietata del sistema. Non aveva ottenuto informazioni che non gli era consentito ottenere. Non aveva costretto la macchina a fare qualcosa dall’esterno dei suoi normali controlli. Aveva semplicemente trovato una sequenza sfruttabile all’interno della normale esperienza dell’utente.[1]
Sembra una sottigliezza tecnica ristretta, finché non ti rendi conto di quanto della vita moderna dipenda proprio da questa distinzione. Molte battaglie legali sull’abuso informatico si riducono a questo: se “non autorizzato” significhi entrare in un sistema con la forza, oppure semplicemente usare un sistema disponibile in un modo disapprovato. Il caso Kane si collocò dalla parte più restrittiva. Un cattivo comportamento, anche se molto redditizio, non coincide automaticamente con un accesso non autorizzato.[1]
Il problema del casinò nascosto dentro il problema informatico
I casinò odiano l’asimmetria. Il loro modello di business dipende dal fatto che le regole siano fisse, pubbliche e matematicamente inclinate a loro favore. Kane trovò un’asimmetria che andava nella direzione opposta. La macchina aveva il vantaggio della casa, finché il suo stesso software non dimenticò la cronologia della puntata.
È questo che rende la storia così soddisfacente. Kane non sconfisse la probabilità. Sconfisse l’implementazione. Non scoprì una nuova strategia di gioco d’azzardo. Scoprì che la contabilità interna della macchina aveva un buco. Per il casinò, questo poteva sembrare barare. Per il tribunale, assomigliava di più a una macchina del casinò che stava prezzando male una transazione.
C’è un motivo per cui casi del genere rendono nervose le istituzioni. Rivelano che il vero potere in molti sistemi non risiede nelle regole scritte, ma nel codice che le rende operative. Se il codice applica male le regole, il sistema può iniziare a pagare assurdità con assoluta impassibilità.
Perché poté tenersi il denaro
La versione popolare della storia è che Kane “riuscì a tenersi i soldi”, ed è in gran parte per questo che il caso viene ricordato.[1] Ma la ragione più profonda non è che il tribunale abbia celebrato ciò che fece. È che la teoria giuridica scelta dal governo non si adattava abbastanza bene ai fatti. Le mozioni di archiviazione furono accolte perché l’accusa non riuscì a soddisfare il requisito del “superamento dell’accesso autorizzato” previsto dal CFAA.[1]
Questo conta anche al di fuori dei casinò. Il caso si inserisce in una disputa molto più ampia su quanto estensivamente debbano essere lette le leggi sui crimini informatici.[1] Se premere la sequenza sbagliata di pulsanti consentiti su una macchina difettosa può diventare hacking federale, allora una grande quantità di ordinario comportamento opportunistico comincia a scivolare verso la criminalizzazione per metafora. La sentenza Kane si oppose a questa tendenza.
Disse, in sostanza, che un difetto software non è la stessa cosa di una porta chiusa a chiave. E che sfruttare un processo difettoso non equivale automaticamente a sconfinare in uno spazio proibito.
La strana morale del lasciare decidere la macchina
C’è qualcosa di quasi filosofico in tutta questa vicenda. I casinò chiedono ai giocatori di fidarsi della macchina quando dice loro che hanno perso. Kane si fidò della macchina quando gli disse che aveva vinto. Il casinò voleva che quella fiducia funzionasse in una sola direzione.
È questa, in definitiva, la tensione al centro di United States v. Kane. Un sistema computerizzato offrì a un utente un esito che il sistema stesso aveva reso possibile. L’utente comprendeva il difetto meglio del proprietario. Il proprietario chiamò tutto ciò frode. La legge, almeno in questo caso, non era pronta a chiamarlo hacking.[1]
E così John Kane finì in una di quelle rare nicchie storiche riservate alle persone che trovano la crepa invisibile in un sistema digitale e ci passano attraverso senza aver tecnicamente scavalcato nulla. Non fu accusato di aver forzato l’apertura della macchina. Fu accusato di averla capita fin troppo bene.
