Ransomware: profili di diritto penale

Meglio prevenire che curare

di Rosa Calise

Secondo l’indagine (IOCTA – Internet Organized Threat Assessment 2017) formulata da Europol, agenzia dell’ Unione Europea finalizzata alla prevenzione e lotta del crimine, i ransomware rappresentano il reato informatico più grave del 2017, a seguito di campagne globali che hanno interessato indiscriminatamente vittime in molteplici settori, sia in quello pubblico, sia in quello privato.

In Italia, stando alle dichiarazioni della ESET, casa produttrice di software, che si occupa anche di sicurezza informatica, nel solo mese di febbraio 2017, il tasso di crescita dei ransomware è di oltre il 25%.

Che origini ha questo preoccupante fenomeno?

Il primo ransomware, noto come “PC Cyborg”, che mostrava all’utente un messaggio di scadenza della licenza di un qualche software installato e che criptava i file dell’hard disk obbligando al pagamento di 189 dollari per sbloccare il sistema, fu sviluppato nel 1989 dal biologo Joseph Popp.

A partire da quella primigenia versione questo tipo di attacchi si è diffuso a livello globale, intensificato, oggi la somma richiesta è salita a una media di 300 dollari, ed evoluto, tanto da essere oggi quasi solo prevenibile, difficilmente curabile.

Cosa si intende, dunque, oggi con il termine “ransomware”?

I ransomware (dall’inglese ransom-, riscatto, e -ware, sofware) sono un tipo di malware (MALicious softWARE), quei software dannosi che, genericamente, dai non specialisti, sono chiamati “virus informatici”. Essi si infiltrano in un singolo computer o in una rete, ma anche in smartphone e persino dispositivi elettronici come Smart TV, per rubare informazioni, aprire le porte a controlli remoti o, tramite efficaci tecniche di cifratura dei file, per rendere inutilizzabili documenti, archivi, immagini e qualunque altro contenuto memorizzato sul disco fisso.

L’infezione avviene con l’esecuzione di un file contenente, in modo diretto o indiretto, il codice virale: attraverso l’apertura di allegati mascherati da finte fatture, note di credito, bollette di operatori telefonici o elettrici, presenti nelle e-mail e addirittura nella PEC, oppure tramite il download automatico o manuale di file dalla rete e l’istallazione di programmi compromessi.

Tale manovra è l’overture della richiesta estorsiva di pagare una determinata somma, “ransom”, riscatto, appunto, in genere in bitcoin, affinchè il virus sia rimosso o sia resa la chiave di cifratura (una sorta di password) per sbloccare l’accesso ai file.

Consapevoli che il diritto segue il reale in ritardo, nella speranza che gli strumenti giuridici apprestati dal nostro ordinamento raggiungano presto un livello di elaborazione il più possibile vicino a quello del fenomeno che intendono prevenire e punire, ecco un inquadramento normativo, e in minima parte processuale, di questa nuova forma di crimine.

La diffusione di un ransomware integra diverse fattispecie di reato sanzionate dal nostro ordinamento. Si noti che si tratta di reati dolosi, pertanto, in assenza di rappresentazione e volontà, il fatto non costituisce reato ed eventualmente si potrà valutare se sussiste una responsabilità civile risarcitoria per i danni qualora l’autore sia rimproverabile a titolo di colpa.

Le diverse fattispecie sono tutte contenute nel codice penale, che, a partire dal 2008, grazie all’accresciuta sensibilità a riguardo del legislatore, ha visto ampliarsi il catalogo di disposizioni specifiche per il contrasto dei reati informatici, che altrimenti non avrebbero trovato sanzione nella disciplina penale tradizionale.

La legge 18 marzo 2008 n. 48 (G. U. n. 80 del 4 aprile 2008, supplemento ordinario n. 79) ha modificato il codice penale ed il codice di procedura penale, ratificando e dando esecuzione alle norme previste dalla Convenzione del Consiglio d’Europa sulla criminalità informatica, fatta a Budapest il 23 novembre 2001. La disciplina previgente in materia era stata introdotta nel codice penale dalla legge 547/1993 e puniva con l’ art. 635-bis il “Danneggiamento di sistemi informatici e telematici”. Tale articolo è stato sostituito integralmente dalla l. 48/2008, la quale ha, inoltre, introdotto o modificato, attraverso il comma 1 dell’art. 24-bis d.lgs. 231/2001, ulteriori fattispecie:

  • gli artt. 635-ter “Danneggiamento di informazioni, dati e programmi informatici utilizzati dallo Stato o da altro ente pubblico o comunque di pubblica utilità”, 635-quinquies “Danneggiamento di sistemi informatici o telematici di pubblica utilità”, con conseguente abrogazione dei simili commi 2 e 3 dell’art. 420;
  • l’art. 635-quater;
  • l’art. 615-ter p. “Accesso abusivo ad un sistema informatico o telematico”;
  • l’art. 615-quinquies “Diffusione di programmi diretti a danneggiare o interrompere un sistema informatico” che ora contempla anche i dispositivi.

L’elemento che accomuna le fattispecie elencate è il  “danneggiamento di un sistema informatico”, vale a dire la realizzazione di una modifica tale da impedire il funzionamento, anche solo parziale, dell’hardware o del software. La sanzione pecuniaria è compresa tra cento a cinquecento quote a cui si aggiungono le sanzioni interdittive previste dall’art. 9, comma 2, lett. a)b) ed e).

L’ampio ventaglio di fattispecie a cui si può fare riferimento nel caso specifico, non comprende soltanto quelle recentemente introdotte.

Si possono ravvisare connessioni con:

  • l’art. 615-ter c.p. sopra citato, che comporta la reclusione fino a 3 anni ed è procedibile per querela di parte;
  • l’art. 615-quater c.p. – che non ha subito modifiche da parte della legge 48 – in merito alla detenzione e diffusione abusiva di codici di accesso a sistemi informatici o telematici;
  • l’art. 615-quinques c.p. sopra citato, norma che, a differenza delle precedenti, punisce l’agente, cioè colui che direttamente pone in essere la condotta criminosa di introdursi abusivamente all’interno di un sistema di un terzo senza il suo consenso, e tutti coloro che agevolino questa condotta, fornendo all’agente criminale degli strumenti particolari che gli consentano di porre in essere il suo disegno criminoso. Si tratta di un reato di pericolo quindi per integrare il reato non è richiesto che si verifichi il danneggiamento o l’interruzione, essendo sufficiente la mera elaborazione di un sistema, apparecchiatura o programma idoneo a creare il rischio di un danneggiamento. Si è puniti con la reclusione fino a due anni e la multa fino a 10329 euro;
  • l’art. 635-bis c.p. sopra citato, il quale prevede espressamente che, salvo che il fatto costituisca più grave reato, chiunque distrugge, deteriora, cancella, altera o sopprime informazioni, dati o programmi informatici altrui è punito con la reclusione da sei mesi a tre anni (pena base), a querela della persona offesa. Si deve precisare che per giurisprudenza ormai costante (Cassazione n. 8555/2012) l’ipotesi dei ransomware e affini è ricondotta alla “soppressione” prevista dalla norma che ricomprende sia i fatti che provocano una eliminazione definitiva dei dati e che ne fanno venir meno la possibilità di recupero su computer, sia la temporanea impossibilità di accedervi e disporne;
  • Nell’ipotesi in cui il ransomware comprometta i sistemi informatici di una Pubblica Amministrazione, causando una parziale o totale interruzione del servizio pubblico, si integrerebbe addirittura la fattispecie aggravata del reatoex  615 ter c.p., procedibile d’ufficio. In tal caso, si potrebbe ritenere sussistere in capo all’incaricato del pubblico servizio un vero e proprio obbligo giuridico di denunciare il fatto alle autorità,  desumibile dall’art. 362 c.p. “Omessa denuncia da parte di un incaricato di pubblico servizio”;
  • l’art 640-terp. “Frode informatica”, che prevede che chiunque, alterando in qualsiasi modo il funzionamento di un sistema informatico o telematico, o intervenendo senza diritto con qualsiasi modalità su dati, informazioni o programmi contenuti in un sistema informatico o telematico, procura a sè o ad altri un ingiusto profitto con altrui danno, è punito con la reclusione da sei mesi a tre anni e con la multa da 51 a 1032 euro;
  • l’art 629 “Estorsione”, fattispecie di ambito generico e preesistente all’introduzione dei reati informatici, punita con la reclusione da cinque a dieci anni e con la multa da 1000 a 4000 euro.” Si tratta, inoltre, di un reato perseguibile d’ufficio ex art. 50 c.p.p.;
  • Infine, l’art 648 bis c.p. “Riciclaggio”, fuori dei casi di concorso nel reato, in caso di sostituzione o trasferimento dei proventi del delitto, in modo da ostacolare l’identificazione. La pena prevista è la reclusioneda quattro a dodici anni e la multa da 1032 euro a 15493 euro. Si precisa che la Banca d’Italia con Comunicazione del 30 gennaio 2015 ha escluso l’applicabilità della normativa antiriciclaggio agli Exchange, intermediari che mettono in contatto chi vuole vendere con chi vuole comprare bitcoin.

 E quale è la posizione dell’utente?

In presenza di una condotta estorsiva il soggetto passivo si configura quale vittima. Ne deriva che, anche in caso di pagamento del riscatto, l’utente non commette un illecito, né un reato.

Più delicata è, invece, la posizione di un ente pubblico che effettua il pagamento servendosi della sua disponibilità finanziaria: la Corte dei Conti procederà a un controllo amministrativo e contabile, esponendo eventualmente il funzionario a responsabilità personale per danno all’erario (SU n. 4511 del 2006), a meno che egli non riesca a dimostrare che la sua condotta è stata volta ad evitare all’Amministrazione danni maggiori.

Particolare è anche il caso del pagamento del riscatto con risorse aziendali: in base al D.Lgs 231/2001 si potrebbe configurare l’imputabilità della società stessa per responsabilità per illecito da reato presupposto, per reati societari (false comunicazioni sociali, impedito controllo, ostacolo all’esercizio delle funzioni delle autorità di vigilanza) nel caso di una costituzione di una provvista per il pagamento, per autoriciclaggio se il pagamento provenisse da un ulteriore illecito (reato di evasione fiscale), oltre che la violazione dei principi valoriali, ideali e comportamentali dichiarati dal Codice etico, che rappresenta una promessa al pubblico ex art. 1989 c.c., realizzando il finanziamento della criminalità organizzata. Si potrebbe configurare altresì il reato di favoreggiamento reale, punito dall’art. 379 c.p.

La denuncia contro ignoti, comunque, oltre a essere necessaria, dal momento che tutte le fattispecie sopracitate sono perseguibili esclusivamente a querela di parte, a norma dell’art.124 c.p., entro tre mesi dalla notizia del fatto di reato pena l’improcedibilità dell’azione penale, è utile ai fini statistici.

Sono ancora molto poche le indagini in materia di diffusione e creazione di ransomware che hanno avuto esito positivo, specialmente in Italia, soprattutto a causa del fatto che il pagamento avviene spesso tramite Bitcoin, criptovaluta quasi impossibile da tracciare, che non fa altro che aumentare la potenzialità nociva di questo tipo di estorsioni. La medicina migliore sembra per ora essere la prevenzione, il rispetto delle pratiche di sicurezza, previste dalla normativa europea e dal buon senso: un banale backup ex–ante può ottenere risultati migliori di qualsiasi strada legale o tecnica scelta successivamente.


Autore:


it_ITItaliano
en_USEnglish it_ITItaliano