Negli Stati Uniti sembra diventare sempre più conveniente, per le pubbliche amministrazioni locali, pagare il riscatto a seguito di attacchi ramsonware invece che cercare vie alternative. Secondo una recente inchiesta di Doris Burke, giornalista di ricerca di ProPublica, e Arstechnica, il nodo è legato alle assicurazioni. A giugno il sindaco e il consiglio di Lake City (Florida – USA) hanno deciso di pagare un riscatto di 42 bitcoin per un valore di 460mila dollari a un hacker che aveva bloccato i file dei computer della città. Si è profilata la scelta più conveniente poiché l'assicurazione sottoscritta con Lloyd's di Londra a fronte della completa copertura dell'esborso prevedeva una franchigia di soli 10mila dollari. Insomma, un notevole risparmio se si considera che l'azione alternativa di ripristino informatico avrebbe allungato i tempi e avrebbe superato in costi la copertura da 1 milione di dollari prevista dall'assicurazione.
"La nostra compagnia assicurativa ha preso la decisione per noi", ha detto il portavoce della città Michael Lee, sergente del dipartimento di polizia di Lake City. "Alla fine dei conti, si riduce davvero a una decisione economica sul lato assicurativo: guardano quanto costa per risolverlo da soli e quanto costa pagare il riscatto".
In tutta l'America ormai è boom di ransomware: solo ad agosto ben 22 comuni del Texas si sono ritrovati con PC bloccati e file cifrati. Secondo Fred Eslami, direttore associato di AM Best, un'agenzia di rating del credito che si concentra nel settore assicurativo, a guadagnarne sono soprattutto le assicurazioni – oltre che i pirati informatici: negli Stati Uniti il business delle "cyber insurance" è passato da 7 miliardi a 8 miliardi di dollari l'anno.
ProPublica ha contattato gli assicuratori e l'unico riscontro è stato che è prassi diffusa prediligere il pagamento dei riscatti. Il tutto in contrasto con quanto sostengono FBI e ricercatori della cybersecurity: soddisfare le richieste alimenta il fenomeno.
"Non spetta alla compagnia assicurativa fermare il criminale, non è questa la sua missione. Il suo obiettivo è aiutarti a tornare al mondo degli affari. Ma fa sorgere la domanda, quando paghi a questi criminali, cosa succede nel futuro?", ha dichiarato Loretta Worters, portavoce del Insurance Information Institute, un gruppo industriale senza scopo di lucro con sede a New York.
Lloyd's, che gestisce circa un terzo del mercato globale delle cyber-assicurazioni, ha confermato che ogni copertura è stata pensata sia per mitigare le perdite che per proteggere dagli attacchi futuri, ma sono le vittime a decidere come precedere. "È probabile che la copertura includa, in caso di attacco, il coinvolgimento di esperti che aiutano a riparare i danni causati da eventuali attacchi informatici e garantiscono l'eliminazione di eventuali punti deboli nella protezione informatica di un'azienda", ha dichiarato un portavoce dell'assicurazione.
E se pagato il riscatto non si ottiene lo sblocco? Ci si rivolge a specialisti del settore che risolvono il problema, ovviamente sotto compenso.
La prospettiva è che i pirati informatici chiedano sempre di più, come sta già avvenendo. Si parla di cifre a sei o anche a sette cifre a seconda dei casi. E il successo delle coperture assicurative è un catalizzatore ulteriore. Però tutti ricordano ancora il caso di Baltimora e Atlanta: non hanno accettato rispettivamente di pagare i riscatti per 76mila e 51mila dollari e sono state costrette a investire più di 5 e 8 milioni di dollari per il recupero informatico e ogni ripristino.
La legittima opposizione morale al pagamento dei riscatti si scontra con il pragmatismo a breve termine.