Cyber risk: profili di responsabilità derivanti dal pagamento di riscatti a seguito di ransomware
di Anna Capoluongo
Uno degli innumerevoli strascichi negativi che il Covid-19 sta portando con sé si può sicuramente rinvenire nell’aumento esponenziale di casi di truffe informatiche che, pur essendo da tempo un fenomeno in crescita, hanno trovato terreno estremamente fertile negli ultimi mesi anche grazie alla situazione in cui versa il Mondo intero da inizio 2020.
Si stanno moltiplicando le cd. frodi BEC o business email compromise [1] (o “del CEO o Amministratore Delegato”), ma soprattutto i casi di richieste di riscatto a seguito di attacchi ransomware [2].
Basti pensare a uno degli ultimi eclatanti casi in materia, ossia al data breach subito da Enel solo qualche giorno fa.
Nello specifico, dopo aver subito un primo attacco a giugno del 2020 [3], a fine ottobre il colosso è stato preso nuovamente di mira, questa volta dal cd. ransomware NetWalker [4] che – basandosi su una tecnica detta della doppia estorsione [5] – ha sottratto 5 TB di dati ed ha permesso ai cybercriminali di richiedere un cospicuo riscatto (di ben 16 milioni di dollari), pena la pubblicazione dei dati rubati.
Non è andata esente da tale scenario neppure la più grande azienda di occhiali al mondo, Luxottica, che, anzi, quest’anno si è trovata al centro di numerosi attacchi cyber, di cui l’ultimo risalente al mese di settembre.
Nel caso di specie, però, pur avendo determinato il blocco totale della produzione, i criminal hacker non sono riusciti ad entrare in possesso di dati personali – sembrerebbe -, ma “solo” di file e materiali interni, poi posizionati sul dark web.
Un’altra vittima illustre, precedente alle due citate, è stata Geox, nel mese di giugno (insieme ad Enel e Honda), oggetto del ransomware “Snake/Ekans”, che, nel colpire il server di posta, ha impedito le comunicazioni interne e, di riflesso, ha bloccato produzione, logistica ed e-commerce.
Relativamente a tale problematica è giusto il caso di ricordare il progetto finanziato dall’UE chiamato TITANIUM (Tools for the Investigation of Transactions in Underground Markets) che “si propone di fornire alle forze dell’ordine la ricerca di cui hanno bisogno per sviluppare nuove tecniche di identificazione dei criminali, anche quando questi agiscono nello pseudo-anonimato offerto dalle valute virtuali. Il progetto TITANIUM ha già sviluppato una serie di strumenti open source e a basso costo per la scienza forense nel campo delle criptovalute. Tra questi, figurano strumenti per la raccolta automatica dei dati con salvaguardia della riservatezza, insieme a strumenti forensi per l’analisi dei dati associati agli scambi sul dark web e alle transazioni in valuta virtuale. Inoltre, analizzando le tendenze emergenti nella criminalità e nel terrorismo basati su internet, i ricercatori hanno creato requisiti associati per condurre tali indagini”[6].
Quanto appena descritto ci permette di analizzare un profilo che sembrerebbe – in un primo momento – “minore” o comunque di scarsa rilevanza, e che invece pesa tanto quanto la compliance alle normative e gli adempimenti volti alla security awareness.
Proprio sul punto, infatti, il dipartimento del Tesoro degli Stati Uniti ha chiarito da ultimo, mediante due note del Financial Crimes Enforcement Network (FINCEN) e dell’Office of Foreign Assets Control, che anche pagare il riscatto richiesto dai criminali di turno potrebbe comportare profili di rischio e responsabilità.
Difatti, tali tipologie di pagamenti potrebbero configurare un’attività di trasmissione di denaro o, addirittura, una violazione delle norme sul riciclaggio di denaro e, pertanto, potrebbero far scattare in capo alle aziende anche responsabilità penali o comunque sanzioni.
Nello specifico, le note sono indirizzate alla realtà americana e, quindi, a quelle società – comprensive delle compagnie assicurative – che forniscono servizi di supporto in caso di cyber-attacchi, incluse le polizze di sicurezza informatica.
Ecco che, quindi, negli USA vige la registrazione all’albo del FINCEN di tutte quelle società attive nelle operazioni di trasmissione di denaro, che da adesso saranno obbligate a segnalare casi noti o sospetti di coinvolgimento di risorse derivanti da attività illegali, qualora la transazione sia superiore ai 5.000,00 dollari, e i casi di pagamento di riscatti derivanti da cyberattacchi.
Nel caso la questione implichi o possa implicare anche violazioni della normativa sull’antiriciclaggio, le aziende dovranno temere, oltre al danno, anche la “beffa”, ossia le ripercussioni a livello sanzionatorio.
Saranno, infatti, puniti coloro che assistano materialmente, sponsorizzino o supportino a livello finanziario, tecnico o tecnologico gli autori di attacchi ransomware e che siano coinvolti in transazioni con i soggetti rientranti nella cd. Specially Designated Nationals and Blocked Persons List (SDN) [7], potendo ricadere su di essi profili di responsabilità anche in caso di non consapevolezza/conoscenza dell’esistenza di tali transazioni.
Un altro aspetto da considerare in tema di ransomware è quello della compromissione del cd. RID (ossia la riservatezza, integrità e disponibilità dei dati o dei sistemi informatici), capace di configurare condotte di rilevanza penalistica e che già nel 2001 la Convenzione di Budapest sulla criminalità[8] indicava come meritevoli di applicazione di pene severe.
È giusto il caso di ricordare che la citata Convenzione è il primo trattato internazionale sulle infrazioni penali commesse via internet e su altre reti informatiche, e si concentra in particolare su violazioni dei diritti d’autore, frode informatica, pornografia infantile e violazioni della sicurezza della rete, avendo come obiettivo principale quello di puntare ad ottenere una politica penale comune per la protezione della società contro la cybercriminalità.
Che la violazione dei sistemi e la richiesta di riscatto potesse essere fonte di ripercussioni sul piano giuridico non è, però, cosa nuova, quanto meno sul nostro territorio nazionale.
Dato per “scontato”, infatti, che la commissione di tali azioni rientri, ovviamente, in condotte penalmente rilevanti ai sensi di differenti articoli del codice penale italiano [9] e del D.lgs. 231/2001 sulla responsabilità penale degli enti, un po’ meno semplice è il capire se il fatto stesso di pagare riscatti possa costituire una condotta punibile per il nostro ordinamento.
Una prima ipotesi applicabile potrebbe essere quella prevista dall’articolo 379 del codice penale, ossia quella relativa al reato di favoreggiamento, il cui dispositivo recita: “Chiunque, fuori dei casi di concorso nel reato e dei casi previsti dagli articoli 648, 648 bis e 648 ter aiuta taluno ad assicurare il prodotto o il profitto o il prezzo di un reato, è punito con la reclusione fino a cinque anni se si tratta di delitto, e con la multa da euro 51 a euro 1.032 se si tratta di contravvenzione”.
È d’obbligo rilevare come la fattispecie in esame sembrerebbe essere caratterizzata dal fatto che il contenuto dell’aiuto abbia per oggetto la garanzia del profitto criminoso, dal momento che assicurare andrebbe intenso nel senso di rendere stabile, certo e definitivo, l’ottenimento nella propria sfera patrimoniale dei beni o delle utilità derivanti dall’illecito.
Sul punto, si noti, è bene distinguere che in caso di persona fisica/privato il reato in questione sembra non potersi applicare, dal momento che subendo la condotta verrebbe a configurarsi come mera vittima, soggetto passivo e non attivo della commissione del reato.
A ciò si aggiunga in questi casi potrebbero venire in aiuto anche alcune cd. esimenti o cause di esclusione della punibilità, quali ad esempio lo stato di necessità che avrebbe inciso sulla decisione del soggetto di cedere alla minaccia e all’estorsione.
Quando, invece, il soggetto che paga il riscatto è una persona giuridica, le regole sembrano cambiare.
In questo caso andrà ulteriormente scisso il caso degli enti pubblici, da quello delle società “private”.
Nella prima ipotesi, l’ente pagando il riscatto in risposta all’estorsione rischierà di essere chiamato a rispondere per danni all’erario se non dimostra che la condotta tenuta è valsa ad evitare alla amministrazione pubblica danni ancora più ingenti, dal momento che – si ricordi – tutto l’iter è sottoposto al controllo amministrativo e contabile della Corte dei Conti.
Laddove, invece, si ricada in ambito societario, bisognerà guardare prettamente alle casistiche previste dal D.lgs. 231/2001, e così nello specifico ai reati di false comunicazioni sociali, ostacolo all’esercizio delle funzioni dell’autorità di vigilanza, impedito controllo [10], autoriciclaggio e finanziamento della criminalità organizzata.
A ciò si aggiunga che il pagamento del riscatto costituisce, oltre che una modalità di alimentazione della criminalità, anche una violazione di principi, valori, ideali doverosamente contenuti nel Codice Etico stilato ai sensi della 231, e quel documento rientra a pieno titolo nelle cd. “promesse al pubblico” ai sensi dell’articolo 1989 del codice civile. E così, “Colui che, rivolgendosi al pubblico, promette una prestazione a favore di chi si trovi in una determinata situazione o compia una determinata azione, è vincolato dalla promessa non appena questa è resa pubblica”.
A latere, guardando alla normativa antiriciclaggio, è interessante pensare al caso degli Exchange, cioè a quei soggetti che fanno da intermediari tra chi vuole vendere e chi vuole comprare bitcoin.
Va anzitutto chiarito che le monete virtuali costituiscono una rappresentazione digitale di valore e vengono utilizzate come mezzo di scambio o detenuta a scopo di investimento. Queste possono essere trasferite, conservate o negoziate elettronicamente [11] e possono essere distinte [12] in centralizzate o decentralizzate, “chiuse e non convertibili”, “unidirezionali” o “bidirezionali”.
I rischi nell’utilizzo di queste valute per transazioni finanziarie è facilmente intuibile, soprattutto con riferimento ai profili di uso improprio, mancata tracciabilità, favoreggiamento o commissione di attività illecite.
Quella degli intermediari, poi, è evidentemente una situazione border-line e non facilmente applicabile a quanto esposto sino ad ora, ma riveste profili d’interesse, quanto meno come spunto di riflessione.
A seguito della V Direttiva [13] le norme antiriciclaggio si applicano anche a tali soggetti, ma vi è di più. Nel caso in cui l’exchange fosse al corrente che il pagamento costituisca un riscatto, si potrebbe forse sostenere la configurabilità – in via meramente esemplificativa – del reato di riciclaggio o del concorso in truffa.
In ultimo, ma non per questo meno importante, è doveroso citare il DPCM del 30 luglio 2020 in tema di sicurezza nazionale cibernetica, che sembra sposare in toto le preoccupazioni del Dipartimento del Tesoro americano, di cui sopra.
Il documento prevede, infatti, che entro 6 ore [14] dal verificarsi di un attacco cyber, il soggetto dovrà obbligatoriamente rivolgersi al CSIRT nazionale (Computer Security Incident Response Team), dovendo altrimenti, ove non provveda alla segnalazione, scontrarsi con sanzioni che potranno arrivare fino a 1 milione e mezzo di euro.
[1] Ricadono in questa definizione gli attacchi ad addetti ai pagamenti interni alle aziende, finalizzati ad indurli a eseguire o autorizzare pagamenti fraudolenti verso conti bancari controllati da cyber criminali. Ne esistono diverse varianti, ma in quella del CEO viene compromesso l’account email di un manager, per richiedere o autorizzare un pagamento fraudolento, oppure per approvare il cambio delle modalità di pagamento.
[2] Per ransomware si intende, in generale, la sottrazione di dati resi, poi, indisponibili per la vittima dell’attacco mediante il ricorso a tecniche di cifratura con chiavi sconosciute al fine di poter chiedere il pagamento di un riscatto. A pagamento avvenuto, in teoria, si dovrebbe ricevere la chiave di decriptazione per poter ripristinare i dati. In Italia il CERT ha rilasciato un documento contenente le linee guida sul punto. SI veda anche https://www.agid.gov.it/it/agenzia/stampa-e-comunicazione/notizie/2017/05/14/wannacry-online-linee-guida-destinate-pa-mitigare-effetti-del-ransomware.
[3] In questo primo caso si era trattato del ransomware “Snake/Ekans” con cui nel tentativo di crittografare i dati si erano causati non pochi disservizi, seppur per un periodo limitato nel tempo.
[4] Trattasi di un malware scoperto nell’agosto del 2019 e precedentemente conosciuto con il nome di Mailto, che sembrerebbe essere un ransomware as a service, modificabile e migliorabile anche da altri cyber criminali che abbiano superato un severo processo di valutazione.
[5] Ossia, alla potenza connaturata al ransomware si aggiunge la minaccia della violazione e divulgazione dei dati. Prima di crittografare i database delle vittime, infatti, gli hacker estraggono informazioni sensibili e minacciano di pubblicarle a meno che non vengano pagate le richieste di riscatto.
[6] Si veda: https://cordis.europa.eu/article/id/410944-new-tools-for-investigating-and-stopping-cybercrimes/it.
[7] Nell’ambito delle sue attività di applicazione, l’OFAC pubblica un elenco di individui e società posseduti o controllati da o che agiscono per conto dei paesi interessati. Elenca inoltre individui, gruppi ed entità, come terroristi e narcotrafficanti designati nell’ambito di programmi non specifici di un paese. Collettivamente, tali individui e società sono chiamati “Specially Designated Nationals” o “SDNs”. I loro beni sono bloccati e alle persone statunitensi è generalmente vietato trattare con loro.
[8] https://www.coe.int/it/web/conventions/full-list/-/conventions/treaty/185.
[9] Quali ad esempio: l’articolo 629 in materia di estorsione; l’art. 629 sul reato di violenza; l’art. 635-bis sul danneggiamento di dati, informazioni e programmi; l’art. 635-ter sul reato di cancellazione o soppressione; l’art. 461 sulla fabbricazione o detenzione di filigrana o di strumenti destinati alla falsificazione di monete, di valori di bollo o di carta filigranata; l’art. 615-quater sulla detenzione e diffusione abusiva di codici di accesso a sistemi informatici o telematici; l’art. 615-quinquies sulla diffusione di apparecchiature, dispositivi o programmi informatici diretti a danneggiare o interrompere un sistema informatico o telematico; l’art. 617-quinquies sull’installazione di apparecchiature atte ad intercettare, impedire od interrompere comunicazioni informatiche o telematiche.
[10] Si veda ad esempio l’art. 25-ter del citato decreto legislativo.
[11] https://www.borsaitaliana.it/borsa/glossario/criptovaluta.html.
[12] Sul punto si veda M. d’Agostino Panebianco, “Vivere nella dimensione digitale”, capitolo III, ed. Themis, 2019.
[13] Direttiva dell’Unione Europea 2018/843.
[14] Così superando in velocità anche quanto stabilito dalla direttiva Nis europea, che impone come tempo di intervento le 24 ore successive al malfunzionamento del servizio e non all’attacco effettivo.
Autore:
