venerdì, Marzo 29, 2024
Criminal & Compliance

I reati informatici: il ransomware

Nota di redazione: questo è il settimo di una serie di articoli sul tema dei reati informatici, divenuti ormai una realtà affrontata quotidianamente dagli operatori del diritto. L’obiettivo è fare chiarezza sulla disciplina giuridica, sostanziale e processuale, delle principali figure di reato che si manifestano online.

Il click del mouse o il tap dallo smartphone sono ormai diventati gesti quotidiani. Si naviga in rete, si aprono link, si scaricano contenuti, insomma, sono lo strumento attraverso cui si manifesta la nostra presenza nella rete. L’utilizzo quotidiano di questi gesti e di conseguenza della rete non deve però portare alla perdita di prudenza e di attenzione da parte degli utenti quando navigano online. Ad oggi basta un click, per l’appunto, per trovarsi vittime del c.d. ransomware.

Il ransomware (dall’inglese ransom-, riscatto, e -ware, sofware), è un maleware che limita l’accesso del dispositivo, bloccando il sistema o cifrando i dati, per poi obbligare la vittima a pagare una somma di denaro a titolo di riscatto.

Questo maleware agisce principalmente in seguito all’apertura di allegati in email sospette, per cui si raccomanda fin da ora molta prudenza nell’apertura di email inaspettate in cui è possibile riscontrare stranezze relative al contenuto del messaggio o all’indirizzo di posta elettronica del mittente.

Era il 1989 quando il biologo Joseph Popp scrisse il primo ransomware, un trojan dal nome “AIDS” anche noto come “PC Cyborg”, che mostrava alla vittima un messaggio in cui si leggeva della scadenza di una licenza di un qualche software installato e che criptava i file dell’hard disk obbligando l’utente a pagare 189 dollari per sbloccare il sistema. Popp fu dichiarato incapace di intendere e di volere e non fu processato, ma promise di devolvere i proventi del malware alla ricerca per la cura dell’AIDS.

Il ransomware oggi

Da quel lontano 1989 questa pratica si è diffusa su scala mondiale, oltre ad essere stata perfezionata, essendo stata resa praticamente infallibile e senza scampo.

Nel giugno 2013 McAfee, una delle società leader nel settore della sicurezza informatica, ha pubblicato, nel rapporto delle minacce rilevate nel primo trimestre del 2013, dei dati piuttosto preoccupanti in merito all’individuazione di più di 250.000 tipi di ransomware diversi (Fonte: McAfee). Sul finire dello stesso anno, ha fatto la sua comparsa Cryptolocker, che ha ottenuto circa 3 milioni di dollari prima di essere reso innocuo dalle autorità.

Questo malware, come già accennato sopra, criptava i file rendendone impossibile l’accesso e richiedeva alle un riscatto pari a circa 400 euro, o pari all’equivalente nella moneta virtuale bitcoin. Le vittime avevano solitamente circa 72 ore per pagare ed ottenere le chiavi per decrittografare i propri file. Stando ad un database trovato durante le indagini condotte dall’FBI, solo l’1.3% delle vittime cedeva al riscatto.

Nel giugno 2014, la Fox-IT e la FireEye, aziende che si occupano di sicurezza informatica, hanno creato un portale online attraverso cui è stato possibile, per le 500.000 vittime di Cryptolocker, ricevere gratuitamente la chiave per sbloccare il sistema (Fonte: BBC).

Il vero problema è che oggi il connubbio tra criminalità ed internet dà vita a tante mostruosità che, come l’Idra di Lerna, non sono facili da eliminare. Tagliata una testa ne ricrescono altre due. Eliminato Cryptolocker, comparvero CryptoWall e TorrentLocker.

Quest’ultimo è particolarmente conosciuto in Italia dal momento che, nell’estate del 2014, infettò i computer di decine di amministrazioni in italia, obbligandole al pagamento di 400 euro in bitcoin (Fonte: Corriere della Sera)

Implicazioni legali

In materia si individuano diversi profili legali, tutti riconducibili al codice penale, che negli ultimi anni si è arricchito di una serie di disposizioni atte a contrastare il fenomeno dei reati informatici.

Il riferimento è, in primo luogo, all’articolo 615 ter c.p. che prevede il c.d. reato di accesso abusivo a un sistema informatico o telematico: si tratta di una persona che, abusivamente, si introduce in un sistema informatico o telematico che sia protetto da misure di sicurezza e vi si mantiene contro la volontà espressa o tacita di chi ha il diritto di escluderlo.

In secondo luogo, vi sono anche altre fattispecie come la detenzione e diffusione abusiva dei codici di accesso ai sistemi informatici (ex art. 615 quater c.p.), o la diffusione di apparecchiature e dispositivi o programmi informatici atti a danneggiare, a interrompere un sistema informatico e telematico (ex art. 615 quinquies c.p.). Tali ipotesi sono piuttosto rilevanti dal momento che la norma punisce non soltanto l’agente, cioè colui che direttamente pone in essere una condotta criminosa come l’introdursi abusivamente all’interno di un sistema di un terzo senza il suo consenso, ma anche tutti coloro che agevolino questa condotta, fornendo all’agente criminale degli strumenti particolari che gli consentano di porre in essere il suo disegno criminoso.

Si impone, poi, un’ulteriore considerazione che fa capo all’art. 635 bis c.p., il quale prevede espressamente che chiunque distrugge, deteriora, cancella, altera o sopprime informazioni, dati o programmi informatici altrui è punito, a querela della persona offesa, con la reclusione da sei mesi a tre anni.
Sul punto si evidenzia la corrispondenza tra il ransomware a mezzo di Cryptolocker e affini e l’ipotesi della soppressione prevista dalla norma, in quanto la soppressione integra sia il caso dell’eliminazione definitiva dei dati, sia la temporanea impossibilità ad accedervi e disporne.

Posto quindi che la fattispecie in esame potrebbe essere ricondotta ad un ventaglio di previsioni legislative (tra le altre, si segnalano anche l’art. 640 ter c.p., in relazione alla frode informatica, e l’art. 629 c.p. che tratta del più grave delitto di estorsione, che esula però dall’ambito informatico), cosa fare quando si viene attaccati da un ransomware?

Il primo passo da compiere è sicuramente quello di sporgere una denuncia contro ignoti, e ciò sembrerebbe inutile, soprattutto vista l’impossibilità di rintracciare gli autori del reato, ma al contrario, è molto importante soprattutto a fini statistici. Se oggi siamo a conoscenza di questo tipo di problematiche è anche grazie alle molte segnalazioni avanzate alle autorità. Inoltre la denuncia, seppur contro ignoti, è necessaria, dal momento che tutte le fattispecie sopracitate sono perseguibili esclusivamente a querela di parte.

Quanto al pagamento del riscatto, è generalmente consigliato di non cedere, ma qualora ciò fosse inevitabile, non si configurerebbe alcun reato per la vittima dell’estorsione che, per l’appunto, resta una vittima.

Conclusioni

Non esistono formule magiche per evitare questa estorsione digitale. Esistono però linee guida da seguire per ridurre il rischio di trovarsi il pc bloccato o i propri file sotto chiave: tenere aggiornati i software e le applicazioni presenti sui dispositivi, con particolare attenzione agli antivirus. È inoltre consigliato di tenere salvato un backup di tutti i dati, o quanto meno di quelli più importanti.

Permangono ancora molti dubbi: perché l’autore dovrebbe restituire i dati criptati dopo aver ricevuto il pagamento? Quali garanzie ha la vittima in relazione al fatto che l’estorsione non si ripeta?

Nel panorama informatico attuale è inaccettabile che fattispecie così diffuse e nocive per la comunità non vengano ad essere oggetto di una disciplina specifica che tenga conto di tutti gli aspetti della materia e che non venga invece ricondotta, in via generale, a più fattispecie. Auspichiamo ad un pronto intervento da parte del legislatore anche, e soprattutto, sulla base delle moltissime segnalazioni di attacchi via ransomware pervenute alle autorità.

Simone Cedrola

Laureto in Giurisprudenza presso l'Università Federico II di Napoli nel luglio 2017 con una tesi in Procedura Civile. Collaboro con Ius in itinere fin dall'inizio (giugno 2016). Dapprima nell'area di Diritto Penale scrivendo principalmente di cybercrime e diritto penale dell'informatica. Poi, nel settembre 2017, sono diventato responsabile dell'area IP & IT e parte attiva del direttivo. Sono Vice direttore della Rivista, mantenendo sempre il mio ruolo di responsabile dell'area IP & IT. Gestisco inoltre i social media e tutta la parte tecnica del sito. Nel settembre 2018 ho ottenuto a pieni voti e con lode il titolo di LL.M. in Law of Internet Technology presso l'Università Bocconi. Da giugno 2018 a giugno 2019 ho lavorato da Google come Legal Trainee. Attualmente lavoro come Associate Lawyer nello studio legale Hogan Lovells e come Legal Secondee da Google (dal 2019). Per info o per collaborare: simone.cedrola@iusinitinere.it

Lascia un commento