Magari li avete sempre presi alla leggera, ma tutti i virus e in particolare i più recenti Ransomware, che rubano i vostri dati e vi chiedono un riscatto, violano la legge. Vediamo insieme come comportarsi, per capire anche se e quando bisogna sporgere denuncia.
Come tecnici, esperti, manager IT o consulenti magari avete spesso dato consigli a colleghi, amici, clienti, affrontando le questioni legali legate al mondo informatico con un approccio pratico o comunque di buon senso. Purtroppo non è detto che questa sia la strada migliore da percorrere, perlomeno per evitare rischi, danni o ripercussioni sulla vostra attività.
Tutti i malware – ovvero i software dannosi che si infiltrano nei computer o nei sistemi informatici per rubare informazioni, aprire le porte a controlli remoti o altri pericoli, piuttosto che cifrare dati ai fini di estorsione – violano chiaramente l’ordinamento giuridico italiano e chi li diffonde commette un reato, sanzionato dal nostro codice penale. In particolare, si verifica non solo un accesso abusivo ad un sistema informatico o telematico (ex art.615 ter c.p.), ma la diffusione di dispositivi o programmi, con il dolo specifico (insomma consapevolmente, )di danneggiare, interrompere o alterare un sistema informatico o telematico, si può essere di fronte all’ipotesi criminosa dell’art.615 quinquies c.p. Se si verifica anche il “danneggiamento di informazioni, dati e programmi informatici”, il reato è punito (dall’art.635bis c.p.) con la pena base della reclusione da 6 mesi a 3 anni, a querela da presentare, a norma dell’art.124 c.p., entro tre mesi dalla notizia del fatto di reato (pena l’improcedibilità dell’azione penale).
Le cose peggiorano quando si parla delle recenti minacce portate dai Ransomware, i virus che cifrano i file e chiedono un “riscatto” (ransom) per avere la chiave dei file criptati. In questi casi ci si potrebbe trovare di fronte al delitto, non specifico del mondo informatico, di estorsione, punito dall’art.629 c.p., anche in aderenza con l’indicazione data in merito dal Ministero della Giustizia. Il reato di estorsione viene commesso da “Chiunque, mediante violenza o minaccia, costringendo taluno a fare o ad omettere qualche cosa, procura a sé o ad altri un ingiusto profitto con altrui danno”. Da questo, discenderebbe l’applicazione, a carico dei responsabili, di pene ben più severe (pena base della reclusione da 5 a 10 anni e multa da euro 1.000 a 4.000), oltreché la perseguibilità d’ufficio del reato. E ancora, dal trasferimento del denaro proveniente dal pagamento del “riscatto”, il reato di riciclaggio ex art.648 bis c.p. a carico di chi ha ricevuto e “riciclato” il denaro.
Come comportarsi allora quando si rimane vittime di un malware o ransomware?
Per combattere il fenomeno dei malware, occorre sicuramente reagire presentando querela (presumibilmente contro ignoti) alla Polizia Postale, entro tre mesi dalla notizia del fatto (nel dubbio che la fattispecie non venga inquadrata tra quelle punibili d’ufficio: comunque, si potrà presentare denuncia, utile per consentire che l’Autorità ne venga a conoscenza e proceda). Si presti attenzione che sono reati dolosi: non vi è l’ipotesi criminosa se la diffusione del malware non è avvenuta per colpa (in tale caso, si potrà valutarese vi è stato un comportamento colposo in capo al responsabile - individuato - e, dunque, una responsabilità civile risarcitoria per i danni).
Restano, poi, diversi problemi, innanzitutto l’individuazione e punizione dei responsabili: ad esempio nel caso di Ransomware, anche se c’è una transazione finanziaria di mezzo, non risulta al momento possibile tracciarne la provenienza, a causa dei meccanismi di funzionamento di Bitcoin, la moneta con cui usualmente viene chiesto il pagamento del riscatto. Fortunatamente non è sempre vero che questi reati restano impuniti: risale ad alcuni mesi fa la notizia dell’individuazione di alcuni responsabili della diffusione di “Cryptolocker”, all’esito di un’operazione della Polizia di Stato di Trieste denominata “Cryptowash”, partita grazie alla denuncia di una società attaccata dal virus.
Nel valutare se sporgere querela o fare denuncia è però importante effettuare anche un esame preventivo della propria situazione. Si deve avere ad esempio rispettato tutta la normativa vigente in materia, ad esempio in tema di backup, disaster recovery, adozione di misure di sicurezza, previste dalla normativa di settore, in particolare dal d.lgs.196/2003 (c.d. Codice della Privacy). In caso contrario, il rischio è di divenire destinatari di provvedimenti sanzionatori, amministrativi o anche penali.
Quanto al pagamento del “riscatto”, nel caso di Ransomware, oltre alla ovvia considerazione che non è assicurato che i malviventi vi mandino le chiavi dopo il pagamento, resta il problema della condotta da tenere per non incorrere in prima persona nella violazione della legge. L’indicazione doverosa, in via generale, è quella di non pagare il riscatto, sfruttando i backup per recuperare i dati (verrebbe da dire, semplificando, che prevenire è meglio che curare…). D’altra parte, se è vero che nel nostro ordinamento non esiste, salvo casi particolari, un obbligo per il privato di denunciare i reati di cui è vittima, è tuttavia vero che può ritenersi tenere una condotta illegittima chi favorisce la commissione di un reato, in qualche modo finanziando i criminali che lo commettono. In fondo, si ricordi che chi “aiuta taluno ad assicurare il prodotto o il profitto o il prezzo di un reato” può commettere il reato di favoreggiamento. Peraltro, nel caso di aziende, dovrebbero essere oggetto di approfondimento le implicazioni del problema in relazione al d.lgs.231/2001, anche rispetto alla valutazione del pagamento del riscatto con risorse aziendali, ed alla possibile imputabilità della società stessa per responsabilità per illecito da reato ai sensi di tale normativa (quale “finanziamento della criminalità”).
Il fenomeno è, purtroppo, in costante evoluzione e necessita, al di là di questo primo quadro generale di varie problematiche, di un continuo approfondimento.