Vupen Security, una società francese specializzata in sicurezza informatica, ha venduto alla National Security Agency (l’organismo governativo degli Stati Uniti che, insieme alla CIA e all’FBI, si occupa della sicurezza nazionale) alcune delle vulnerabilità sfruttate nel programma PRISM e altri similari. In Francia ed Europa Vupen rischia un processo poiché leggi specifiche non consentono la commercializzazione di tale materiale. La NSA aveva a libro paga Vupen e aveva stipulato contratti per accedere ai database su bug ed exploit individuati dai ricercatori.
In Francia il codice penale prevede severe pene per chi “senza giustificato motivo, possiede, offre, vende o fornisce attrezzature, strumenti o programmi per computer o dati per commettere infrazioni”. Nella direttiva 2013/40 dell’UE (12 agosto 2013) relativa agli attacchi contro i sistemi d’informazione sono indicati principi simili; nell’articolo 7, tra gli strumenti utilizzati per commettere i reati, s’indicano punibili la diffusione di “una password di computer, un codice di accesso, o dati simili che permettono di accedere in tutto o in parte a un sistema di informazione”.
