Opinioni

11 Maggio 2023

Ransomware ed il pagamento del riscatto: il confine tra il disvalore morale e il disvalore penale

VALENTINA CORINO

Immagine dell'articolo: <span>Ransomware ed il pagamento del riscatto: il confine tra il disvalore morale e il disvalore penale</span>

Abstract

Ransomware: come target il patrimonio immateriale di aziende, piccole e grandi. Quando da quel know how dipende la sopravvivenza stessa dell’azienda, la soluzione può essere quella di pagare il riscatto? Quali conseguenze può avere questa scelta? 

Articolo redatto a quattro mani con Maurizio Bortolotto, Partner Gebbia Bortolotto Penalisti Associati

***

Di ransomware si parla, ormai, da molto tempo, anche se certamente la guerra russo-ucraina ha amplificato, quantomeno a livello mediatico, la frequenza e la quantità di questo tipo di attacchi

Si consideri, ad esempio, che un’indagine svolta dall’ENISA (Threat Landscape for Ransomware Attacks, luglio 2022) su un campione di 623 attacchi (individuati utilizzando esclusivamente fonti ufficiali quali notizie di cronaca, rapporti governativi, etc) avvenuti, nel periodo compreso maggio 2021 e giugno 2022, nei territori dell’Unione Europea, Regno Unito e Stati Uniti, coprendo così solo il 17,11% del totale stimato di attacchi avvenuti nel periodo, individua tra i Paesi più colpiti gli Stati Uniti, seguiti da Germania, Francia  ed Italia. 

Nell’analisi qualitativa degli incidenti, inoltre, tramite le prove raccolte, si è evidenziato che nel 47,83% dei casi i dati rubati sono trapelati, il che indica un rischio elevato di loro pubblicazione.

In tale contesto, nel nostro Paese, sono più volte saliti agli onori delle cronache alcuni casi di particolare tenacia e resilienza nel restituire al mittente la richiesta di riscatto, con la motivazione che, secondo le politiche aziendali interne, acconsentire a simili richieste equivarrebbe a finanziare attività criminali e permetterebbe agli autori delle minacce di perpetuare i loro attacchi.

Una posizione ferma e condivisibile, che non deve però portare a confondere il piano fattuale/soggettivo/morale da quello giuridico e, più in particolare, del penalmente rilevante.

Ebbene, sotto quest’ultimo profilo è bene chiarire che chi subisce un attacco ransomware subisce un reato, o meglio, è la persona offesa e danneggiata dal reato. Sono, infatti, diverse le fattispecie penali che possono essere chiamate in causa, tra cui le più significative sono:

  • l’estorsione, di cui all’art. 629 comma c.p.;

  • l’accesso abusivo ad un sistema informatico o telematico, previsto dall’art. 615 ter c.p.;

  • la diffusione di apparecchiature, dispositivi o programmi informatici diretti a danneggiare o interrompere un sistema informatico o telematico, di cui all’art. 615 quinquies c.p.;

  • il danneggiamento di informazioni, dati e programmi informatici utilizzati dallo Stato o da altro ente pubblico o comunque di pubblica utilità disciplinato dall’art. 635 ter c.p..

Come detto, rispetto a questi reati, colui che subisce l’attacco ransomware riveste il ruolo di vittima, trovandosi, peraltro, praticamente “costretto” a pagare una somma di denaro per cercare di scongiurare il danno che potrebbe derivare dalla definitiva perdita, nonché diffusione, dei dati sottratti. 

Il fatto che la costrizione non sia assoluta, poiché il destinatario dell’attacco informatico ha la facoltà di scegliere di astenersi dal procedere al pagamento - e che, quindi, la libertà di autodeterminazione non sia del tutto annullata - non rileva sulla sussistenza del reato posto che, utilizzando come esempio il delitto di estorsione, la Corte di Cassazione ha avuto modo di chiarire come, ai fini della sussistenza di tale delitto, sia “sufficiente che la richiesta, con il pregiudizio patrimoniale che ne consegue, sia accolta anche soltanto per mera convenienza, per evitare un male che agli occhi della vittima appaia più grave” (Cass. pen., Sez. II, n. 32033 del 21/03/2019).

Come si evince dalle parole della giurisprudenza, non v’è dubbio, quindi, sul fatto che il pagamento di un riscatto non costituisca, di per sé solo, reato. Nello stesso tempo, ed a riprova di tale affermazione, giova considerare che eventuali deroghe a tale principio sono sempre state previste e disciplinate chiaramente dal legislatore: si pensi, infatti, alle limitazioni previste dalla Legge 82/1991 in relazione al sequestro di persona a scopo di estorsione.

Peraltro, per completezza, si segnalano due recenti interventi interpretativi registrati sul tema. Difatti, l’Autorità Garante per la protezione dei dati personali ha diffuso una scheda informativa, attualmente consultabile sul relativo sito internet, in cui si legge: “Pagare il riscatto è solo apparentemente la soluzione più facile” e, nello stesso senso, l’Agenzia delle Entrate, nella Risposta ad interpello n. 149 del 24.01.2023, affrontando il profilo della deducibilità o meno del riscatto eventualmente pagato dalle aziende a seguito di cyberattacchi, ha affermato incidentalmente come il pagamento del ransomware non possa integrare, di per sé, un illecito penalmente rilevante: “il pagamento del riscatto non può considerarsi direttamente funzionale alla commissione di un reato(...)”.

Ebbene, se attraverso l’uso superficiale delle ricerche su internet si trovano, sul tema, le risposte più fantasiose, a stretto rigore giuridico la risposta è secca: pagare un riscatto a seguito di un attacco ramsoware non costituisce reato

Ciò detto, ed allo stesso tempo, non possono escludersi – come, peraltro, si evince dal ragionamento proposto dall’Agenzia delle Entrate – altre conseguenze, anche di natura penale, dovute, ad esempio, alle modalità in cui si contabilizza il pagamento del riscatto, da cui potrebbero discendere contestazioni di “falso in bilancio” o nell’ambito della materia fiscale e tributaria.

In ogni caso, l’esclusione della penale rilevanza del pagamento del riscatto non comporta il fatto che il pagamento stesso sia l’effettiva e corretta soluzione della vicenda

Anzi, vi sono diversi elementi, quantomeno fattuali, che suggeriscono di percorrere la strada diametralmente opposta, ovvero quella della denuncia all’Autorità Giudiziaria.

Difatti, è indubbio che:

  • empiricamente, il denaro ricevuto a seguito del pagamento del riscatto è destinato ad alimentare questo genere di attività, aumentando il budget e le risorse a disposizione degli aggressori;

  • sia alto il rischio che l’azienda venga riconosciuta come “buona pagatrice” e così gli attacchi si ripetano;

  • non vi sia alcuna certezza che i cybercriminali, una volta ricevuto il pagamento, consegnino effettivamente le chiavi che consentono di decrittare e recuperare i file;

  • qualora durante l’attività malevola vi sia stata un’esfiltrazione dei dati, il pagamento non impedisca che i dati vengano diffusi;

  • possano esserci implicazioni di tipo reputazionale e di compliance interna;

  • la Società aggredita, una volta appreso di aver subito una violazione di sicurezza da cui discende - accidentalmente o in modo illecito - la distruzione, la perdita, la modifica, la divulgazione non autorizzata o l’accesso ai dati personali conservati o comunque trattati, è comunque tenuta a procedere con la notifica della violazione (data breach) all’Autorità Garante entro 72 ore dalla conoscenza del fatto.

Ebbene, a ben vedere, la denuncia all’Autorità sembra essere la giusta strada da percorre, rafforzando la posizione dell’Azienda e contribuendo a prevenire ulteriori illeciti.

Autore dell'articolo:
 VALENTINA CORINO |
Partner Gebbia Bortolotto Penalisti Associati

Avvocato cassazionista esperta di diritto penale d’impresa, con particolare riguardo ai temi relativi alla sicurezza sul lavoro, alla tutela ambientale e agli aspetti applicativi del decreto D.lgs. 231/01 in tema di responsabilità amministrativa degli enti.

CONTATTA AUTORE

Altri Talks