Allarme ransomware
Sicurezza cibernetica, fattispecie penali, culpa in eligendo e responsabilità dell’imprenditore.
Il fenomeno del ransomware nel 2020 ha registrato una forte accelerazione e oggi affligge, con effetti seriamente dannosi tutti i settori del nostro ordinamento, sia quello pubblico, nel quale, anche recentemente si sono sperimentate le ricadute cinetiche (danni a persone, danni patrimoniali) di attacchi cibernetici, sia quello privato, nel quale, ormai quotidianamente, occorre attivare, se presenti all’interno di un’organizzazione, piani di risposta agli incidenti e di disaster recovery in conseguenza del verificarsi di attacchi informatici diretti alla compromissione dei sistemi a scopo di estorsione. La sua rilevanza sociale può essere considerata da almeno due punti di vista. In primo luogo, gli obiettivi di tali condotte criminose sono, oltre agli utenti comuni, le aziende e le infrastrutture informatiche strategiche, come quelle di enti pubblici, ospedali, servizi pubblici in genere. In secondo luogo, questi programmi malevoli sono in grado di ricercare i collegamenti in rete, ovvero di aggredire non solo il sistema attaccato ma anche i dispositivi e sistemi con esso collegati, ivi compresi quelli di gestione dell’autenticazione, i sistemi e i dispositivi di backup, le cartelle condivise da altri utenti, con il concreto rischio di compromissione di tutti i dati elaborati, non solo dal singolo operatore, ma anche dall’intero ufficio o dall’ente e così via.
Attacchi sempre più sofisticati
Ciò chiarito, prima di svolgere alcune osservazioni in merito alla rilevanza penalistica delle attività riconducibili alla diffusione di questo fenomeno vale la pena condividere una definizione generale di ‘ransomware’, e cioè quel programma informatico dannoso in grado di compromettere le funzioni (infettare) di un dispositivo digitale (PC, tablet, smartphone, smart TV etc.), bloccando l’accesso a tutti o ad alcuni dei suoi contenuti (foto, video, file, etc.) o servizi.
La definizione sopra illustrata, in quanto tale, non tiene conto, tuttavia, del fatto che le più recenti modalità offensive perpetrate dai criminali si sono evolute al punto da conseguire, in alcune occasioni, quali ad esempio quelle riferibili all’operatività dell’attacco perpetrato da THT (Timisoara Hacker Team), il raggiungimento dello scopo criminale, e cioè l’indisponibilità temporanea dei dati da parte dell’aggredito (vittima), a livello server e client, ad opera di software leciti di crittografia, previamente installati ed eseguiti, a seguito di accesso abusivo al sistema informatico.
Tra le varianti dell’attacco, quella più diffusa è quella per effetto della quale, la compromissione del dispositivo target avviene attraverso l’esecuzione di un file contenente, in modo diretto o indiretto – codice virale, nella maggior parte dei casi – in conseguenza dell’esecuzione in locale di allegati mascherati da finte fatture, note di credito, bollette di operatori telefonici o elettrici, presenti nelle e-mail e PEC, oppure tramite il download automatico o manuale di file dalla rete e l’installazione di programmi compromessi. Una volta criptati i dati, si è avvisati dell’avvenuta cifratura, e della necessità di pagare una somma di denaro, di valore in alcuni casi elevato, anche in dipendenza delle capacità economiche del target, da corrispondere entro termini perentori, in genere in Bitcoin (BTC), per acquisire la disponibilità della chiave o le chiavi che consentono la decifrazione dei propri file. Corrisposta la somma richiesta, la vittima riceverà, con il benestare del TA (Threat Actor), una comunicazione, contenente il programma di decriptazione e le relative istruzioni.
I riferimenti normativi
Da un punto di vista strettamente legale, l’attaccante attraverso un’attività manipolatrice che si svolge attraverso una condotta bifasica perpetrata mediante attacco alle risorse informatiche, prodromico alla minaccia telematica con richiesta di pagamento, realizza una vera e propria estorsione ai danni della vittima. Più nello specifico, la diffusione di un ‘ransomware’ può integrare, in concorso tra di loro, diverse fattispecie di reato previste e punite dal nostro ordinamento, contenute nel codice penale, che, a partire dal 1993 e poi nel 2008, ha visto ampliarsi il catalogo di disposizioni specifiche per il contrasto dei reati informatici, con la ratifica ed esecuzione delle norme previste dalla Convenzione del Consiglio d’Europa sulla criminalità informatica, stipulata a Budapest il 23 novembre 2001.
Il primo riferimento normativo utilizzabile per l’inquadramento della fattispecie è individuabile nel paradigma dell’articolo 615-ter c.p. che prevede il reato di accesso abusivo a sistema informatico o telematico e punisce, a querela della persona offesa, con la reclusione sino a tre anni, nei casi meno gravi, la condotta di colui che, abusivamente, si introduce in un sistema informatico o telematico che sia protetto da misure di sicurezza e vi si mantenga contro la volontà espressa o tacita di chi ha il diritto di escluderlo.
Vi sono anche altre norme che potrebbero assumere rilevanza, quali quelle in materia di detenzione e diffusione abusiva dei codici di accesso ai sistemi informatici di cui all’art. 615-quater c.p., o la diffusione di apparecchiature e dispositivi o programmi informatici atti a danneggiare o ad interrompere un sistema informatico e telematico di cui all’art. 615-quinquies c.p. Tali ipotesi sono piuttosto rilevanti dal momento che le norme citate puniscono non soltanto l’agente, cioè colui che direttamente pone in essere una condotta criminosa, come l’introdursi abusivamente all’interno di un sistema di un terzo senza il suo consenso, ma anche tutti coloro che agevolino questa condotta, fornendo all’agente criminale degli strumenti, dei privilegi e/o delle vulnerabilità particolari che gli consentano di porre in essere il suo disegno criminoso.
Si applica altresì l’art. 635-bis c.p. in materia di danneggiamento di sistemi informatici o dati che prevede espressamente che chiunque distrugge, deteriora, cancella, altera o sopprime informazioni, dati o programmi informatici altrui è punito, a querela della persona offesa, con la reclusione da sei mesi a tre anni.
Denunciare conviene?
Occorre ora considerare la posizione della società che, in ipotesi, rivesta la qualità di parte offesa, e valutare, da una parte, dal punto di vista legale, gli obiettivi che potrebbero essere perseguiti attraverso la formulazione di una denuncia – querela, nonché gli eventuali rischi correlati con l’eventuale instaurazione o mancata instaurazione di un procedimento penale e, dall’altra, quali sono, in correlazione con l’indisponibilità temporanea delle informazioni, i costi, per esempio giornalieri, del fermo.
In effetti, all’atto della registrazione dell’incidente, in funzione della possibile denuncia, a chi di competenza, del reato subito, la società dovrà necessariamente considerare alcuni fattori, tra cui: 1) l’entità del danno effettivamente subito e la capacità di provarlo adeguatamente; 2) l’eventuale permanenza di situazioni di danno reversibili o irreversibili e il tempo massimo di indisponibilità tollerabile, in relazione all’ammontare della richiesta estorsiva; 3) le circostanze di fatto e le prove documentali idonee a dimostrare il reato e il danno subito e l’individuazione del presunto responsabile; 4) l’esistenza di coperture assicurative idonee a trasferire i rischi di indisponibilità temporanea o permanente dei dati; 5) l’eventuale danno reputazionale conseguente alla indesiderata pubblicizzazione dei contenuti del procedimento penale eventualmente instaurato; 6) gli obblighi legali di segnalazione delle violazioni e di protezione dei dati personali alle autorità competenti; 7) le eventuali sanzioni conseguenti alla violazione degli obblighi di segnalazione e protezione. Una delle possibili domande che ci si potrebbe porre in questo scenario è quella relativa al ‘se’ e ‘di quanto’ il danno patito sia superiore a quello che potrebbe derivare dal pagamento della somma richiesta ovvero da una ‘fuga di notizie’ relativa all’incidente occorso, implicando, quest’ultima circostanza, l’ammissione dell’esistenza di una o più vulnerabilità trascurate dei propri sistemi e l’eventuale responsabilità colposa nella gestione gli interessi economici, talvolta rilevanti, dei propri clienti o fornitori.
Il tema verrà ripreso nel prossimo articolo.