L’estorsione tramite ransomware

Redazione 30/03/20
Di seguito un breve disamina sull’inquadramento giuridico delle richieste di riscatto effettuate tramite ransomware e sulle norme penali applicabili.

Il presente contributo in tema di estorsione tramite ransomware è tratto da “La responsabilità nei nuovi reati informatici” (A.A. V.V.) a cura di Flaviano Peluso.

Cos’è un ransomware e come si inquadra nell’ambito dell’estorsione.

Come accennato poc’anzi il ransomware è il virus attraverso il quale viene realizzato il reato di estorsione di tipo telematico.

Il delitto di estorsione, dall’art. 629 c.p., consiste nella costrizione di qualcuno mediante “violenza o minaccia”. La minaccia, ovvero la prospettazione di una ingiustizia futura dipendente dalla volontà dell’agente, può essere realizzata in via telematica, ad esempio, attraverso e-mail, social network, chat-line oppure icone ed avvisi che compaiano sullo schermo del sistema.

L’estorsione a mezzo ransomware è una estorsione informatica in cui la tecnologia rappresenta un mezzo dell’azione del reo.

Il termine ransomware deriva dalla crasi delle parole inglesi malware (programma malevolo) e ransom (riscatto) ed indica un virus che, a seconda della tipologia, può cifrare, occultare o negare l’accesso a dati o informazioni, oppure limitare o impedire l’accesso al sistema informatico, al fine di costringere la persona offesa a versare un importo per il riscatto del proprio device.

Dopo aver infettato un sistema informatico, il ransomware cripta i file memorizzati sul disco (documenti, file personali, archivi, immagini), impedendone l’accesso e rendendoli, pertanto, irrecuperabili.

Una volta criptati i dati, sulla schermata del sistema compare un avviso di avvenuta infezione, con la richiesta di riscatto di una somma di denaro che dovrà essere corrisposta entro termini perentori per ottenere la chiave che consente il recupero dei propri file.

Pertanto, l’effetto del malware può essere anche quello di compromettere il funzionamento del sistema, ad esempio disabilitando il desktop dell’utente, oppure impedendo il riavvio del computer.

Quindi, la condotta consumata attraverso il ransomware è bifasica: ad un attacco alle risorse informatiche, preparatorio, segue la minaccia telematica con richiesta di pagamento.

L’importo reclamato si aggira, in genere, intorno a poche centinaia di euro o dollari: la somma non eccessiva tende ad indirizzare la scelta della vittima e quindi a cedere alle richieste del cracker, piuttosto che rischiare la perdita definitiva dei propri dati.

Il pagamento avviene, solitamente, in bitcoin, la criptovaluta anonima, o comunque con qualsiasi strumento di pagamento non tracciabile.

Versato il riscatto, la vittima riceverà, con il benestare del cracker, una mail contenente il programma di decriptazione. non può escludersi l’ipotesi in cui i dati siano stati in realtà cancellati dal malware in via definitiva ed il riscatto, quindi, pagato inutilmente.

L’importanza, dal punto di vista giuridico e sociale, della fattispecie illecita in esame può essere messa in evidenza attraverso due aspetti. In primis, gli obiettivi di questo cybercrime sono, oltre agli utenti comuni, le aziende e le infrastrutture informatiche strategiche, come quelle di enti pubblici, ospedali, servizi pubblici in genere.

Sul punto si segnala il rapporto Clusit 2017 che annovera, tra gli attacchi a mezzo ransomware più rappresentativi del 2016 a livello globale, quello all’Hollywood Prebiterian Medical Center e quello al sistema di trasporto pubblico di San Francisco.

In secundis, questi malware di ultima generazione sono in grado di ricercare i collegamenti in rete, ovvero di aggredire non solo il sistema attaccato, ma anche il server centrale, i sistemi collegati, i dispositivi di back-up, le cartelle condivise da altri utenti, con il concreto rischio di compromissione di tutti i dati trattati non solo dal singolo operatore, ma anche dall’intero ufficio o dall’ente.

Ti potrebbe interessare anche il seguente articolo: “Indebitamento derivante da reato: le vittime di usura ed estorsione

Altre norme penali applicabili

Il virus di tipo ransomware, come già detto, può essere contratto scaricando allegati o cliccando link di e-mail fasulle o a causa di vulnerabilità del sistema.

Cryptolocker, Cryptowall, Tesla, TorrentLocker, Wannacry, Cerber e Locky sono alcuni tra i più noti programmi nocivi appartenenti alla famiglia dei ransomware.

In ragione della loro configurazione, questi tipi di virus possono essere inclusi anche tra i software utilizzati principalmente al fine di compromettere l’integrità, la disponibilità o la riservatezza dei dati o dei sistemi informatici, condotte che devono essere punite come reato, secondo quanto previsto dall’art. 6 della Convenzione di Budapest sulla criminalità informatica del 2001.

Nel nostro ordinamento giuridico le disposizioni che puniscono le condotte che hanno ad oggetto programmi informatici utilizzabili per commettere tali reati sono:

  • 461 c.p.Fabbricazione o detenzione di filigrana o di strumenti destinati alla falsificazione di monete, di valori di bollo o di carta filigranata;
  • 615-quater c.p.Detenzione e diffusione abusiva di codici di accesso a sistemi informatici o telematici;
  • 615-quinquies c.p. Diffusione di apparecchiature, dispositivi o programmi informatici diretti a danneggiare o interrompere un sistema informatico o telematico;
  • l’art. 617-quinquies p.Installazione di apparecchiature atte ad intercettare, impedire od interrompere comunicazioni informatiche o telematiche;
  • legge sul diritto d’autore (l. n. 633/1941), ed in particolare gli artt. 171-bis, comma 1, 171-ter, comma 1, lett. f), 171-ter, comma 1, lett. f-bis).

Si tratta di fattispecie che, dovendo prevenire comportamenti a propria volta prodromici alla violazione dei dati, dei programmi e dei sistemi, presentano la funzione di delitti-ostacolo e la struttura di reati a pericolo indiretto.

Come già accennato in precedenza, quello dell’art. 629 c.p. è un delitto contro il patrimonio con cooperazione involontaria della vittima e plurioffensivo, in quanto posto a tutela del patrimonio e della libertà morale del soggetto passivo.

Anche nell’estorsione a mezzo ransomware appaiono individuabili ulteriori interessi offesi. Infatti, considerato che questa tecnica di attacco comporta la cifratura e la non fruibilità dei dati memorizzati e, talvolta, la stessa inutilizzabilità dei sistemi, ponendo in essere tale condotta vengono inevitabilmente lesi una serie di beni giuridici connessi alle tecnologie dell’informazione, come la riservatezza e la sicurezza informatica, la libertà e confidenzialità delle comunicazioni informatiche, la privacy informatica.

Il soggetto attivo della cyber-estorsione può essere chiunque e, pertanto, si è di fronte ad un reato comune. Il soggetto passivo del reato è, invece, il titolare del rapporto giuridico che subisce, quale conseguenza dell’attività illecita, il danno al patrimonio.

Il soggetto passivo può essere anche una persona giuridica, come nel caso in cui la vittima della cyber-estorsione a mezzo ransomware sia un istituto di credito, una società o un ente pubblico. Inoltre, il soggetto passivo del reato potrebbe non coincidere con il soggetto passivo della condotta, dal momento che il reato offende, oltre al patrimonio, anche la libertà personale e che la condotta può essere rivolta direttamente a terze persone.

Si pensi, ad esempio, all’eventualità in cui la minaccia comparsa sullo schermo del sistema aziendale infettato da un ransomware sia stata percepita inizialmente dal dipendente o dal dirigente che ha in uso il sistema medesimo, ma che non è il titolare del patrimonio.

In merito all’azione del ransomware occorre, tuttavia, operare un distinguo. Quando il virus interviene non sui programmi o sui sistemi, ma sui dati e sulle informazioni presenti nel sistema aggredito, rendendoli inaccessibili, la tecnica di attacco non sembra poter rientrare nella definizione di violenza così come prevista dall’art. 629 c.p.

In tali ipotesi, la condotta assunta sembrerebbe ascrivibile ad uno dei delitti di danneggiamento di dati, informazioni e programmi previsti dall’art. 635-bis c.p. o dell’art. 635-ter c.p. per cancellazione o soppressione.

È opportuno segnalare sul punto che giurisprudenza relativamente recente ha interpretato in maniera estensiva il concetto di “cancellazione” dei dati dell’art. 635-bis c.p., affermando che essa può consistere nella loro rimozione in via provvisoria, rimediabile solo con un successivo intervento recuperatorio, e precisando che la locuzione “cancella” di cui al danneggiamento informatico di dati non equivale a “irrecuperabile elisione” (Cass. pen., sez. V, 18 novembre 2011, n. 2728, in www.penale.it.).

Il principio affermato dalla Suprema Corte è applicabile anche al caso dei ransomware, in cui i file sono resi illeggibili sino alla loro decriptazione. Pertanto, le fattispecie di danneggiamento informatico di dati saranno applicabili solamente quando l’attacco abbia comportato una perdita definitiva dei dati medesimi.

Qualora, invece, il malware abbia compromesso solo il funzionamento del sistema, ad esempio disattivando le opzioni di avvio o bloccando l’intero schermo, la violenza “informatica” sarà configurabile e la cyber-estorsione si dovrà considerare commessa, cumulativamente e non alternativamente, con violenza e minaccia.

Tempus e locus commissi delicti dell’estorsione tramite ransomware

Non poche criticità si pongono con riguardo all’individuazione del tempus e del locus commissi delicti nell’estorsione commessa con modalità informatiche.

Il delitto di estorsione, infatti, si consuma nel momento e nel luogo in cui si realizzano gli eventi del profitto ingiusto con altrui danno.

Secondo la nota distinzione tra perfezionamento e consumazione del reato proposta da Mantovani, il perfezionamento dell’estorsione si ha quando si verificano il danno patrimoniale, per la vittima, e l’ingiusto profitto, per l’agente o per altri.

In caso di non simultaneità degli eventi, il reato si perfeziona nel momento e nel luogo in cui si verifica l’ultimo dei due, ossia l’ingiusto profitto.

Nella cyber-torsion a mezzo ransomware, venendo il riscatto solitamente versato attraverso mezzi non tracciabili, l’individuazione del momento e del luogo di effettivo conseguimento del profitto è alquanto improbabile, pertanto, per la loro corretta individuazione, connessa a quella dell’autorità giudicante competente, si dovrà ricorrere ai criteri suppletivi dell’art. 9 c.p.p.

Possibile concorso formale tra l’estorsione commessa a mezzo ransomware e gli altri reati.

Infine, è opportuno fare un breve cenno sul concorso formale tra l’estorsione commessa a mezzo ransomware e gli altri reati.

Innanzitutto, l’estorsione a mezzo ransomware potrebbe concorrere con il reato di cui all’art. 615-quinquies c.p. che prevede la “Diffusione di apparecchiature, dispositivi o programmi informatici diretti a danneggiare o interrompere un sistema informatico o telematico”. Tale delitto, infatti, punisce “Chiunque, allo scopo di danneggiare illecitamente un sistema informatico o telematico, le informazioni, i dati o i programmi in esso contenuti o ad esso pertinenti ovvero di favorire l’interruzione, totale o parziale, o l’alterazione del suo funzionamento, si procura, produce, riproduce, importa, diffonde, comunica, consegna o, comunque, mette a disposizione di altri programmi informatici è punito…”.

L’art. 615-quinquies c.p., quindi, tutela l’integrità dei sistemi e dei dati, dal momento che punisce una condotta prodromica al danneggiamento informatico che, se ha ad oggetto “le informazioni, i dati o i programmi in esso contenuti” la sua nozione coincide con la previsione dell’art. 635-bis c.p. (danneggiamento di informazioni, dati e programmi), mentre se ha ad oggetto il sistema informatico o telematico la sua nozione coincide con quella dell’art. 635-quater c.p. (danneggiamento di sistemi informatici o telematici).

In caso di attacco mediante ransomware, invece, il danneggiamento informatico, quando produce effetti su programmi o sistemi informatici, integra, per il combinato disposto degli artt. 629 e 392, comma 3, c.p., la “violenza informatica” attraverso la quale è commessa l’estorsione, rendendo, di fatto, marginale l’applicazione dell’art. 615-quinquies c.p.

Quando invece il malware produce effetti su dati o informazioni dovrebbe essere, in ogni caso, assorbito nel delitto di estorsione in forza della sostanziale unitarietà della condotta, dell’omogeneità del bene giuridico offeso e del rapporto di strumentalità con la fattispecie più grave.

L’estorsione a mezzo ransomware potrebbe concorrere anche con i delitti di danneggiamento informatico (artt. 635-bis – 635-quinquies c.p.).

Anche in questa ipotesi di concorso sembrerebbe prevalere l’orientamento dell’assorbimento a favore del reato di estorsione a mezzo malware.

Infatti, le condotte dei reati di danneggiamento (artt. 635-quater, 635 quinquies c.p.), quando il malware abbia compromesso l’utilizzo o il funzionamento del sistema nel suo complesso, rientrerebbero nel concetto di violenza dell’art. 629 c.p., sulla base della nozione di violenza sulle cose sancita dall’art. 392 c.p.

Quando invece la cyber-estorsione ha ad oggetto i dati o le informazioni memorizzate (artt. 635- bis e 635-ter c.p.) l’assorbimento avviene in ragione della connessione strumentale e cronologica tra le fattispecie, ed in forza delle clausole di riserva dei predetti articoli.

Il presente contributo in tema di estorsione tramite ransomware è tratto da “La responsabilità nei nuovi reati informatici” (A.A. V.V.) a cura di Flaviano Peluso.

La responsabilità nei nuovi reati informatici

L’opera si pone quale strumento di analisi dei nuovi reati informatici e delle metodologie investigative, analizzando i diversi mezzi di ricerca e di acquisizione della prova informatica.Attraverso un’analisi sistematica, il volume affronta le singole fattispecie, ponendo l’attenzione sulle modalità di ricerca della prova e aiutando il professionista nell’individuazione degli elementi che costituiscono la responsabilità penale dell’autore del reato.Lo spazio fluido, tipico del web, richiede un’attenzione particolare: quest’opera nasce proprio dall’esigenza di fornire nozioni e azioni di riferimento, che possano guidare l’operatore nel costruire la propria linea difensiva, alla luce delle nuove figure criminose, quali l’hate speech, il sexting, il revenge porn, il cyber terrorismo e il cyberlaundering.A completamento della trattazione, nella seconda parte, il volume affronta le diverse metodologie investigative, nonché le tecniche forensi di acquisizione e conservazione della prova informatica.In tal modo, il testo si pone quale valido strumento per il professionista che debba fornire la prova della consumazione di reati informatici.Flaviano PelusoAvvocato in Roma. È Professore a contratto di scienze giuridiche medico-legali, presso la facoltà di Medicina dell’Università La Sapienza, di abilità informatiche presso le facoltà di Economia, Psicologia e Lettere dell’Università La Sapienza, nonché d’informatica ed elaborazione dati e di idoneità informatica presso l’Università della Tuscia. È autore di libri, articoli e note a sentenza nonché curatore di libri in materia di diritto dell’informatica e di informatica forense.Cecilia CavaceppiGiudice del Tribunale di Latina applicata attualmente al Tribunale di Napoli. È dottore di ricerca in diritto amministrativo presso la Luiss Guido Carli.Francesco Saverio CavaceppiAvvocato del Foro di Roma, Professore a contratto di informatica ed elaborazione dati presso l’Università della Tuscia e docente di informatica giuridica presso la Scuola di Specializzazione per le Professioni Legali “Migliorini” dell’Università di Perugia.Daniela CavallaroAvvocato del Foro di Velletri e Data Protection Officer presso l’Agenzia di Stampa Nazionale; ha conseguito il master in Diritto dell’informatica presso l’Università degli Studi di Roma La Sapienza, ha conseguito i certificati di European Privacy Expert, Valutatore Privacy (UNI 11697:2017) e Auditor ISDP 10003.Raissa ColettiConsulente in Institutional & Corporate Communication. Ha conseguito il master in Human Resource management & Digital Skills.Alfonso ContaldoProfessore a contratto di diritto dell’informazione e della comunicazione digitale nell’Accademia delle Belle Arti di Roma, dottore di ricerca in informatica giuridica presso l’Università degli Studi di Roma La Sapienza. È autore di monografie, articoli, note e contributi in collettanei in materia di diritto dell’informazione e dell’informatica e di informatica giudiziaria.Alessandra CorteseAssistente Giudiziario presso la Procura Generale della Repubblica di Venezia, è laureata in giurisprudenza presso l’Università di Messina, ha conseguito il master di 2° livello in Diritto dell’informatica presso l’Università La Sapienza, è abilitata all’esercizio della professione forense, è socia ANORC, è iscritta nel registro dei Professionisti della Privacy. È autrice di alcuni articoli di diritto dell’informatica.

Alfonso Contaldo, Flaviano Peluso (a cura di), Cecilia Cavaceppi, Francesco Saverio Cavaceppi, Daniela Cavallaro, Raissa Coletti, Alessandra Cortese | 2020 Maggioli Editore

28.00 €  26.60 €

 

 

 

 

Redazione

Scrivi un commento

Accedi per poter inserire un commento