È legale pagare il riscatto di un ransomware?
di Mattia Caiazza
Un ransomware è un particolare tipo di malware che blocca l’accesso al pc di un utente, minacciando la cancellazione dei dati presenti su di esso, e chiedendo un riscatto (da cui il nome: ransom in inglese significa “riscatto”) in cambio della password per accedere nuovamente al proprio pc.
Se si guarda ai ransomware da un punto di vista giuridico, è facile e immediato ricondurre questa tipologia di malware sotto la categoria dell’estorsione trattata dall’articolo 629 c.p.: “Chiunque, mediante violenza o minaccia, costringendo taluno a fare o ad omettere qualche cosa, procura a sé o ad altri un ingiusto profitto con altrui danno, è punito con la reclusione da cinque a dieci anni e con la multa da euro 1.000 a euro 4.000.”
Il comportamento di colui che chiede un riscatto in denaro tramite ransomware, infatti, integra l’ipotesi della minaccia e, in caso di pagamento, procura a sé stesso un profitto ingiusto; in entrambe le ipotesi causa sicuramente anche un danno a chi si vede impedito l’utilizzo del proprio pc e, nel peggiore dei casi, la cancellazione dei dati personali.
La questione viene trattata più da vicino da un’altra norma del codice penale, ovvero l’art. 615-ter.: “Chiunque abusivamente si introduce in un sistema informatico o telematico protetto da misure di sicurezza ovvero vi si mantiene contro la volontà espressa o tacita di chi ha il diritto di escluderlo, è punito con la reclusione fino a tre anni.”
Più specificatamente, il comma 3 indica che: “La pena è della reclusione da uno a cinque anni…se dal fatto deriva la distruzione o il danneggiamento del sistema o l’interruzione totale o parziale del suo funzionamento, ovvero la distruzione o il danneggiamento dei dati, delle informazioni o dei programmi in esso contenuti”. Questo concetto è inoltre ribadito anche dall’art. 635-bis c.p. “danneggiamento di sistemi informatici e telematici”.
Risulta chiaro quindi che sicuramente è sanzionabile il comportamento di colui che mette in atto il ricatto.
C’è da chiedersi, però, se coloro che subiscono il fatto e decidano di pagare il riscatto possano incorrere nel reato di favoreggiamento descritto dall’art. 379 c.p.
Se è vero che il testo della legge mira a punire “Chiunque…aiuta taluno ad assicurare il prodotto o il profitto o il prezzo di un reato” non esistono precedenti giurisprudenziali che condannino la vittima di un reato di estorsione o la vittima di un ransomware. Vanno però distinti i casi in cui la vittima è un privato da quelli in cui è un’azienda o un ente pubblico.
Nel caso in cui colui che subisce il ricatto è un privato cittadino, la vittima è da ritenersi in ogni caso parte offesa, anche quando decide di pagare il riscatto, per cui non commette reato di favoreggiamento chi paga l’autore di un ransomware per ottenere lo sblocco del proprio computer; inoltre, questo è un reato a querela di parte, quindi se la vittima non denuncia il fatto, la giustizia non può intervenire, nemmeno se ne viene a conoscenza.
Nel caso l’attacco informatico a scopo di estorsione sia invece subito da un ente pubblico, la posizione è meno semplice rispetto a quella del privato cittadino sotto diversi profili. Innanzitutto l’ente ha l’obbligo di denunciare l’accaduto ex art. 615-ter derivandone una responsabilità dell’ente in caso contrario. Se poi l’ente effettua il pagamento servendosi della sua disponibilità, il funzionario a cui il pagamento può essere ricondotto rischia di incorrere in una responsabilità personale per danno all’erario. Quest’ultima ipotesi si realizza nel caso in cui questi non riesca a dimostrare che il danno procurato all’Amministrazione con la sua condotta sia stato comunque minore rispetto a quello che l’ente avrebbe subito dalla perdita dei dati (come stabilito nell’ordinanza della Cassazione a Sezioni Unite n° 4511 del 2006).
Diverso il discorso nel caso in cui a subire l’attacco sia invece un’azienda. Se il pagamento di un riscatto viene effettuato a vantaggio e nell’interesse dell’ente, in base al D.lgs 231/2001 potrebbe costituire i reati presupposto previsti dall’art. 25-ter del decreto stesso: nel caso in cui venga costituita una provvista per il pagamento si potrebbero configurare I reati di false comunicazioni sociali, ostacolo all’esercizio delle funzioni dell’autorità di vigilanza e impedito controllo.
Potrebbe altresì costituirsi l’ipotesi prevista all’art. 25-octes (autoriciclaggio) nel caso in cui il pagamento provenisse da un ulteriore illecito.
Oltre ai reati espressamente previsti dal decreto “Responsabilità amministrativa delle società e degli enti”, bisogna anche sottolineare che il pagamento di un riscatto comporta in ogni caso una condotta che viola i valori, i principi e gli ideali di comportamento dichiarati dal Codice etico, il quale rappresenta una promessa al pubblico come indicato nell’articolo 1989 c.c., condotta che potrebbe essere considerata anche presupposto del reato di finanziamento della criminalità organizzata.
Riassumendo, il pagamento del riscatto di un ransomware non crea alcun problema legale nel caso in cui la vittima colpita dal virus sia un privato cittadino che vuole salvare i propri dati personali; problemi legali potrebbero invece avere enti pubblici e aziende in quanto il pagamento all’autore del virus è una condotta capace di integrare diversi reati.
Autore:
