Ransomware: pagare o non pagare il riscatto?

I ransomware, i malware che bloccano i computer cifrandone i dati chiedendo poi una somma in denaro per sbloccarli, stanno diventando una minaccia assai grave e diffusa. I nostri consulenti legali ci illustrano oggi quali sono i profili giuridici per casi di questo tipo.

Avatar di Redazione Diritto dell’Informatica

a cura di Redazione Diritto dell’Informatica

Il caso: Compagnia petrolifera messicana colpita da un attacco ransomware.

Era la mattina dell'11 novembre 2019 quando la compagnia petrolifera di stato messicana Pemex è stata vittima di un grave attacco ransomware che ha posto fuori uso i server della società e, di conseguenza, bloccato per molte ore il personale amministrativo. L'hacker chiedeva al colosso petrolifero il pagamento, entro 48 ore, di un riscatto di 565 bitcoin per un valore di circa 5 milioni di dollari.

Nonostante l'azienda abbia dichiarato che soltanto il 5% dei computer sarebbe stato compromesso e immediatamente si sia attivata per riportare le operazioni alla normalità, i costi trasversali subiti dalla stessa sono stati assai ingenti. Allo stato, infatti, benché né la società né il governo messicano abbiano pagato il riscatto, la stessa Compagnia ha ammesso che per ripulire i suoi sistemi sono stati sborsati oltre 70 milioni di dollari.

La Pemex è solo l'ultimo caso eclatante – in ordine di tempo – di uno di questi attacchi informatici.

Ad esempio, nel 2018, la città di Atlanta subì un attacco di questo genere e per giorni la maggior parte dei servizi digitali della metropoli smisero di funzionare. Anche in quell'occasione il riscatto di circa 22.000 dollari non venne corrisposto, tuttavia, da allora la città ha dovuto spendere circa 17 milioni di dollari per ripristinare la situazione.

Si tratta di due dei numerosi casi, in realtà, verificartisi. L'attacco ransomware è, infatti, un flagello in forte crescita. Si stima che gli attacchi di questo genere, solo nell'ultimo anno, siano aumentati del 365%.

Ma vediamo ora più nel dettaglio di cosa si tratta.

Cos'è e come funziona un ransomware?

Il primo ransomware conosciuto risale al 1989 ed è noto come trojan AIDS. In questo caso, il virus criptava i file dell'hard disk e mostrava all'utente un messaggio in cui gli veniva segnalata la scadenza della licenza di un qualche programma installato sul suo computer, obbligandolo a corrispondere 189 dollari per sbloccare il sistema.

In sostanza, un ransomware altro non è se non un malware (programma informatico utilizzato per recare disturbo alle operazioni informatiche) che impedisce l'accesso ai dati personali o, più in generale, ai sistemi informatici e chiede il pagamento di un riscatto per renderli nuovamente accessibili.

Da un punto di vista più tecnico, i ransomware utilizzano e sfruttano per fini criminosi algoritmi di crittografia creati per tutelare la sicurezza delle comunicazioni legittime. A differenza dei software legittimi, dunque, il ransomware mantiene la chiave pubblica sul sistema dell'utente, mentre la chiave privata viene conservata su server remoti inaccessibili all'utente.

Purtroppo, i canali di diffusione di questi malware sono numerosi e, talvolta, insospettabili.

Come vettori d'infezione vengono spesso utilizzati:

  • banner pubblicitari;
  • e-mail di phishing;
  • software da scaricare e che al loro interno hanno già un malware;
  • siti compromessi su cui navigano le vittime.

Evitare i ransomware, così come altri malware, non è facile. Tuttavia, per scongiurare o quanto meno limitare attacchi di questo genere e tutelare i propri dati è utile ed opportuno essere prudenti e adottare alcuni accorgimenti.

Per quanto banale, il primo consiglio è quello di adottare un antivirus affidabile, preferendo, tra i vari in commercio, quelli che dispongono di aggiornamenti costanti, che assicurano maggior protezione anche contro le nuove minacce, in continua evoluzione.

Per cercare di evitare il c.d. virus del riscatto è poi opportuno, da un lato, eseguire backup con regolarità e, dall'altro lato, tenere sempre aggiornati i nostri software, sì da rendere più dura la vita dei criminali informatici.

Come già anticipato, canale preferenziale di diffusione dei ransomware è la posta elettronica: occorre dunque prestare attenzione agli allegati delle e-mail e, in particolare, ai file ZIP e ai documenti Office. In questi casi è opportuno disabilitare le Macro.

Sempre più spesso poi, sia i privati che le società, al fine di difendersi da attacchi informatici scelgono di stipulare quelle che vengono definite cyber assicurazioni. Ma queste assicurazioni potrebbero veramente aiutare a limitare flagello del cyber crime? Vediamolo di seguito.

Quale futuro per le Cyber Assicurazioni?

Come già anticipato, per gestire i rischi informatici è possibile adottare vari accorgimenti e soluzioni tra le quali la stipula di una cyber assicurazione.

Per lungo tempo le compagnie assicurative si sono dimostrate riluttanti ad assicurare questo genere di rischio e ciò, soprattutto, a causa della esiguità di dati ed informazioni affidabili sulla base dei quali stabilire una politica dei prezzi delle polizze. Oggigiorno, invece, queste assicurazioni sono diventate estremamente diffuse e vengono scelte da privati e da società sia grandi che piccole.

Tuttavia, vi è chi sostiene che il sistema delle cyber assicurazioni potrebbe addirittura arrivare ad aggravare il problema del cyber crime e, in particolare, gli attacchi ransomware.

Si teme, infatti, il rischio di creare una sorta di circolo vizioso tale per cui l'attività criminale potrebbe risultare alimentata ogni volta in cui, a seguito di un attacco ransomware, venisse corrisposto un pagamento proprio tramite una assicurazione informatica. Questo meccanismo potrebbe così rischiare di alimentare gli attacchi degli hacker: i malintenzionati potrebbe in un certo modo sentirsi incoraggiati a prendere di mira strutture sia pubbliche che private, mettendo i loro sistemi informatici fuori uso, con l'aspettativa di vedersi più facilmente riconosciuto il pagamento del riscatto.

Il problema potrebbe sorgere laddove si ritenesse più economico e più veloce per le compagnie assicurative sborsare una somma di denaro – spesso anche ingente – agli hacker, piuttosto che coprire tutti i costi collaterali dati dall'interruzione delle attività dei propri clienti e dal successivo ripristino delle stesse. Detta in altri termini, il timore è che si finisca per ritenere economicamente più sostenibile il pagamento del riscatto, rispetto al tempo ed alle risorse necessarie perché la società si riprenda autonomamente dall'attacco e torni a funzionare a pieno ritmo.

La paura evidenziata da alcuni è, quindi, che potrebbe venirsi a creare una logica perversa tale da incentivare gli attacchi ai soggetti che hanno stipulato polizze assicurative per la tutela contro il cyber crime.

Profili di diritto penale.

Pur con la consapevolezza che, purtroppo, spesso il diritto segue e si conforma alla realtà con un certo margine di ritardo, tuttavia, nell'ultimo decennio, sotto il profilo giuridico, siano stati fatti significativi passi in avanti nella lotta ai reati informatici.

La normativa previgente, risalente ai primi anni '90, puniva ai sensi dell'art. 635-bis c.p. il "Danneggiamento di sistemi informatici e telematici". Tale norma è stata sostituita dalla l. 48/2008 con la quale sono stati altresì introdotte e modificate ulteriori fattispecie.

In materia vale dunque la pena far richiamo – a titolo esemplificativo e non esaustivo – delle seguenti fattispecie di reato:

-art. 615 – ter c.p.: "Accesso abusive ad un sistema informatico o telematico";

-art. 615 – quater c.p.: "Detenzione e diffusione abusiva di codici di accesso a sistemi informatici o telematici";

-art. 615 – quinques c.p.: "Diffusione di apparecchiature, dispositivi o programmi informatici diretti a danneggiare o interrompere un sistema informatico o telematico;

-art. 635 – ter c.p.: "Danneggiamento di informazioni, dati e programmi informatici utilizzati dallo Stato o da altro ente pubblico o comunque di pubblica utilità";

-art. 635 – quinques c.p.: "Danneggiamento di sistemi informatici o telematici di pubblica utilità";

Il fil rouge che accomuna queste fattispecie è fondamentalmente il "danneggiamento di un sistema informatico", ossia la realizzazione di un'alterazione tale da impedire o comunque ostacolare il buon funzionamento dell'apparecchio informatico.

Invece, l'aspetto particolare di un attacco ransomware, è che ci troviamo di fronte a una vera e propria condotta estorsiva. Per cui il soggetto che la subisce si configura come vittima e, in caso di pagamento del riscatto, deve escludersi la commissione di un reato da parte dello stesso.

La situazione sarebbe peraltro più delicata nel caso in cui fosse un ente pubblico a subire una "cyber estorsione" e pagasse il riscatto servendosi delle proprie disponibilità economiche. In questi casi, infatti, l'esborso economico segue un controllo amministrativo e contabile da parte della Corte dei Conti, all'esito del quale il funzionario che vi ha provveduto potrebbe addirittura essere chiamato a rispondere per danni all'erario, se non dimostra che la condotta tenuta è valsa ad evitare alla amministrazione pubblica danni ancora più ingenti.

Alla luce di quanto sopra è dunque evidente come la risposta del legislatore in materia di cyber crime sia stata attenta e significativa. Tuttavia, il diritto penale, spesso, interviene soltanto per punire una condotta criminosa già posta in essere, mentre servirebbe una struttura giuridica in grado di offrire una valida tutela anche in via preventiva.

Vero è che gli attacchi informatici rappresentano la piaga del nuovo millennio e forse non saranno completamente debellabili. Tuttavia, l'ausilio delle nuove tecnologie, la risposta del diritto e quei piccoli accorgimenti che ciascuno di noi può adottare nella vita di tutti i giorni possono sicuramente contribuire a limitare l'attività criminosa degli hacker.