Allarme ransomware (parte 2)
Sicurezza cibernetica, fattispecie penali, culpa in eligendo e responsabilità dell’imprenditore.
Muovendo dalle osservazioni svolte nell’ultimo articolo, relative alle valutazioni che competono a un’organizzazione, che sia stata vittima di un attacco perpetrato attraverso un c.d. ransomware, sembra appropriato rilevare come una delle principali norme di riferimento in riferimento alla fattispecie considerata sia costituita dall’art. 33 del GDPR, che come è noto obbliga il Titolare del trattamento alla notifica di una violazione di dati personali, entro 72 ore dal momento in cui il soggetto ne ha avuto conoscenza. Inoltre, ai sensi del successivo art. 34 il Titolare dovrà dare pronta comunicazione anche ai singoli interessati i cui dati personali sono stati oggetto di ‘data breach’, descrivendo la natura della violazione; ciò ogni qual volta la violazione dei dati personali sia suscettibile di presentare un rischio elevato per i diritti e le libertà delle persone fisiche cui i dati si riferiscono.
In effetti, sembra ragionevole ritenere che l’esito delle attività crittografiche svolte abusivamente sul sistema della vittima possa integrare il contenuto della previsione dell’art. 4 (al punto nr. 12) del GDPR menzionato, che definisce la violazione di dati personali: come la violazione di sicurezza che comporta accidentalmente o in modo illecito, la distruzione, la perdita, la modifica, la divulgazione non autorizzata o l’accesso ai dati personali trasmessi, conservati o comunque trattati.
La notifica NIS al CSIRT dei soggetti obbligati
Prima di entrare nel dettaglio delle disposizioni normative appena richiamate, per completezza, e anche in considerazione della novità e dell’importanza del relativo intervento legislativo, si deve sottolineare che specifici obblighi di notificazione delle violazioni e/o degli incidenti sono ormai previsti nel nostro ordinamento sia per effetto del recepimento dei contenuti della c.d. Direttiva NIS, sia per effetto dell’attuazione delle norme in materia di sicurezza nazionale cibernetica, di recente integrate dal DPCM 30 luglio 2020, n. 131, recante Regolamento in materia di perimetro di sicurezza nazionale cibernetica, ai sensi dell'articolo 1, comma 2, del decreto-legge 21 settembre 2019, n. 105, convertito, con modificazioni, dalla legge 18 novembre 2019, n. 133.
In questo contesto, infatti, da una parte, l’art. 12 del D. Lgs. 18 maggio 2018 nr. 65, recante Attuazione della direttiva (UE) 2016/1148 del Parlamento Europeo e del Consiglio, del 6 luglio 2016, recante misure per un livello comune elevato di sicurezza delle reti e dei sistemi informativi nell'Unione. prevede che: “Gli operatori di servizi essenziali (OSE) notificano al CSIRT italiano e, per conoscenza, all'autorità' competente NIS, senza ingiustificato ritardo, gli incidenti aventi un impatto rilevante sulla continuità dei servizi essenziali forniti”, e dall’altra, l’art. 1 comma 3 del Decreto Legge Testo del decreto-legge 21 settembre 2019, n. 105 (in Gazzetta Ufficiale – Serie generale – n. 222 del 21 settembre 2019), coordinato con la legge di conversione 18 novembre 2019, n. 133 recante disposizioni urgenti in materia di perimetro di sicurezza nazionale cibernetica, prevede che: debbano essere definite “le procedure secondo cui i soggetti (obbligati) notificano gli incidenti aventi impatto su reti, sistemi informativi e servizi informatici, al Gruppo di intervento per la sicurezza informatica in caso di incidente (CSIRT) italiano, che inoltra tali notifiche, tempestivamente, al Dipartimento delle informazioni per la sicurezza anche per le attività demandate al Nucleo per la sicurezza cibernetica”.
La mancanza di notifica è sanzionata
Alla luce delle disposizioni ricordate, che prevedono obblighi di notifica degli incidenti informatici, ovvero di notifica delle violazioni di dati personali, la cui inosservanza è punita con sanzioni amministrative pecuniarie, in alcuni casi particolarmente significative, appare quindi evidente come, in determinate circostanze, l'organizzazione che abbia subito un attacco ransomware, a prescindere dalla sua intenzione di far valere le sue ragioni in un eventuale procedimento giudiziario, contro gli autori del crimine, non possa esimersi dal portarne a conoscenza le Autorità preposte, come per esempio il garante per la protezione dei dati personali nel caso, la violazione abbia afflitto dati personali. Chiarito ciò che precede, esaminando a titolo esemplificativo, il caso più comune di un’organizzazione non appartenente al perimetro di sicurezza nazionale cibernetica, che abbia subito la cifratura di alcuni dati, occorrerà valutare anche se, in concreto, la cifratura abusiva dei dati, sia stata applicata su dati personali o meno. Nel primo caso, vale a dire se la cifratura è stata applicata sui dati personali, dovranno applicarsi le disposizioni del GDPR richiamate che obbligano il Titolare a notificare la violazione al Garante per la Privacy, a meno che, dice la legge, sia improbabile che la violazione dei dati personali presenti un rischio per i diritti e le libertà delle persone fisiche; nel secondo caso, vale a dire se la cifratura non ha avuto ad oggetto dati personali, non dovrà procedersi a notifica della violazione.
Inoltre, nel caso di violazione di dati personali, una delle questioni che potrebbero porsi, fermo restando che il legislatore consente di ritardare la notificazione oltre il termine indicato, corredandola dalle ragioni del ritardo stesso, è quella relativa al ‘dies a quo’ del termine di decorrenza delle 72 ore previsto dalla legge.
Ma quando entra in gioco un ‘intermediario’?
Da un punto di vista teorico, infatti, ci sembra importante considerare il fatto che, la natura della modificazione operata sui dati, con la mera applicazione di tecniche crittografiche, da parte dell’attaccante, è – in astratto – tale, da non dover essere necessariamente irreversibile, e anzi, con il pagamento del riscatto la vittima tende a conseguire proprio l’ottenimento della disponibilità dei dati sino a quel momento temporaneamente perduta.
Si vuol dire, in altre parole, che da un punto di vista astrattamente giuridico, si potrebbe ipotizzare, per assurdo, che, in considerazione della solo potenziale temporaneità dell’indisponibilità dei dati, che può risolversi, in ipotesi, con la decifrazione ottenuta per effetto del pagamento, qualora esso vada a buon fine, e si ricevano effettivamente le credenziali utili, non sorga l’obbligo di notificare la violazioni, almeno sino a quando non siano decorse 72 ore da quanto la vittima abbia effettuato il pagamento e da questo non sia derivata la decifrazione dei dati.
Circostanze utili a sostenere questo argomento potrebbero rinvenirsi, da una parte, nel fatto che l’incidenza statistica di questo tipo di attacchi è sempre più rilevante e, dall’altra, nel fatto che, di conseguenza, sono operanti nel mercato, società che, nell’ambito di attività tipizzate, di risposta agli incidenti, contemplano il settlement, la trattativa, con l’attaccante e il successivo pagamento in criptovaluta, considerando, a tutti gli effetti, il pagamento come parte di procedure di risposta agli incidenti in grado di eliminare le conseguenze pregiudizievoli della condotta illecita verificatasi.
Una posizione che ci pare più aderente con la ratio delle norme presenti, in modo trasversale nei vari ordinamenti, volte a contrastare l’impiego illecito, per finalità di riciclaggio o di finanziamento del terrorismo internazionale, attuato dalle organizzazioni criminali, attraverso la diffusione di cryptovirus, emerge tuttavia da un recente provvedimento dell’Office of Foreign Assets Control (OFAC) del Ministero del Tesoro degli Stati Uniti d’America che, pur non avendo forza di legge, ha individuato alcuni profili di illiceità correlati al pagamento del riscatto, specificando che “Companies that facilitate ransomware payments to cyber actors on behalf of victims, including financial institutions, cyber insurance firms, and companies involved in digital forensics and incident response, not only encourage future ransomware payment demands but also may risk violating OFAC regulations”. Ossia dichiara che anche in questi casi, il pagamento del riscatto è a rischio di violazione delle norme.