Gli attacchi ransomware costituiscono sempre più spesso uno dei principali rischi per il business delle aziende che, di frequente, hanno ben poche certezze quando si trovano a dover fronteggiare tali eventi.
Proprio sull’aspetto economico vertono le recenti indicazioni fornite dall’Agenzia delle Entrate che ha risposto a un’istanza di interpello aggiungendo un utile tassello per le aziende vittime di attacchi informatici.
Nello specifico, data la competenza di tale pubblica amministrazione, essa ha approfondito il tema della deducibilità dei costi derivanti dal pagamento di un riscatto.
L’evoluzione della minaccia informatica ci insegna come combatterla
Indice degli argomenti
Il ransomware e la valutazione del “costo minore”
Ricordiamo che il ransomware rappresenta uno strumento vincente nelle mani dei malintenzionati in quanto consente di esercitare una notevole pressione psicologica sulle vittime che, oltre a vedersi negato l’accesso alle informazioni presenti sui propri sistemi perché crittografate dal malware, vengono anche sollecitate al pagamento di un riscatto, spesso in tempi estremamente stringenti.
Gli elementi su cui fanno leva gli attaccanti sono molteplici: anzitutto, in assenza del pagamento, minacciano di non fornire la chiave di decrittazione delle informazioni, facendo in modo che vi sia il rischio che esse siano perse per sempre. Inoltre, intimidiscono l’azienda con l’avvertimento che i dati non solo potrebbero essere pubblicati sul web (cosiddetta doppia estorsione o “double extorsion”), ma che potrebbe essere reso noto che essi provengono dalla vittima che, pur essendo a conoscenza dei fatti, non ha posto in essere alcuna azione per porre rimedio agli eventi (tripla estorsione o “triple extorsion”).
Dunque, è evidente come tutte queste fattispecie comportino un notevole danno per le aziende, sia in termini economici – soprattutto considerati i costi per il ripristino delle informazioni, attività spesso difficile – che reputazionali.
Pertanto, per le società che subiscono un attacco ransomware, spesso la valutazione che viene fatta è quella del “male minore”, o meglio, del costo minore.
Ransomware: l’intervento di Agenzia delle Entrate
Nel caso di specie, l’Agenzia delle Entrate ha risposto a un’azienda che, nel 2020, era stata vittima di un attacco ransomware. Quest’ultimo aveva causato la crittazione dei dati presenti sui server divenuti, così, inaccessibili sia per gli utenti, che per la società stessa. Inoltre, a seguito delle indagini effettuate erano emerse evidenze dell’esfiltrazione delle informazioni aziendali che, di conseguenza, erano verosimilmente nelle mani dei cyber criminali.
Successivamente all’attacco, la società era entrata in contatto con gli hacker, i quali, seguendo lo schema della doppia estorsione, le avevano intimato il pagamento del riscatto, pena la mancata consegna della chiave di decrittazione – che avrebbe consentito di accedere nuovamente al contenuto dei sistemi aziendali – e la pubblicazione dei file sottratti. In particolare, quest’ultima avrebbe potuto compromettere la riservatezza delle informazioni maggiormente sensibili e permettere un loro successivo riutilizzo contro la vittima.
A fronte di tali richieste, la società si è immediatamente attivata sia per limitare i danni alla continuità operativa, sia per informare le autorità competenti denunciando il reato di cui era vittima e avviare le necessarie indagini a propria tutela.
Tuttavia, considerato che non sono state individuate modalità tecniche per decrittare i dati e impedirne la pubblicazione, l’azienda ha deciso di proseguire l’interlocuzione con gli estorsori per ridurre l’importo richiesto, informandone le autorità competenti. A seguito di tutte le valutazioni del caso, ha poi deciso di pagare il riscatto.
Successivamente, nell’ottica di ridurre almeno parzialmente le perdite subite, la società ha chiesto all’Agenzia delle Entrate se fosse possibile dedurre i costi derivanti dal pagamento, considerato che essi erano inerenti all’attività d’impresa, poiché erano stati sostenuti per il recupero di beni necessari allo svolgimento della stessa.
L’Agenzia delle Entrate, riprendendo una già consolidata giurisprudenza, ha ribadito che eventuali costi sostenuti sono deducibili esclusivamente laddove siano inerenti all’attività esercitata dall’impresa, ossia a quest’ultima imprescindibilmente e indissolubilmente correlati. Inoltre, ha sottolineato come l’onere della prova gravi sul contribuente, che deve dimostrare, tra le altre cose, la stretta correlazione del pagamento con l’attività imprenditoriale.
Pertanto, nel caso di un attacco informatico con conseguente pagamento del riscatto, qualora si volesse dedurre i costi, sarebbe necessario documentare i pagamenti ed essere in grado di dimostrare che essi sono effettivamente inerenti all’attività di impresa, non bastando la semplice imputazione al conto economico.
Responsabilità derivanti dal pagamento del riscatto
L’Agenzia delle Entrate ha sottolineato un altro importante principio che preoccupa quasi tutte le vittime degli attacchi informatici: eventuali responsabilità derivanti dal pagamento del riscatto. A tal proposito, ha precisato che esso, di per sé, non integra un fatto punibile alla luce della disciplina presidiata dall’Agenzia delle Entrate.
Tuttavia, occorre sottolineare che nel caso in cui un’azienda subisca un attacco ransomware non sia sufficiente aggrapparsi a tale affermazione. Infatti, essa non esclude che diverse fattispecie criminose possano comunque configurarsi nella gestione dell’attacco da parte delle società.
Pertanto, è di fondamentale importanza ponderare attentamente tutti gli ulteriori rischi legali che possono sorgere da una non corretta gestione di tali eventi, come, ad esempio, quello di false comunicazioni sociali.
Il principio affermato non deve perciò essere letto come un “via libera” al pagamento, anche considerato che quest’ultimo comporta pur sempre una forma di finanziamento di attività criminose e incentiva una ripetizione delle stesse.
Inoltre, la vittima è costretta a fidarsi della promessa dei criminali che, a fronte della ricezione della somma richiesta, saranno ripristinate le informazioni criptate e quelle sottratte non saranno utilizzate nuovamente contro la vittima.
Pur nella migliore delle ipotesi, quindi, bisogna sempre considerare la portata della perdita di disponibilità e dell’esfiltrazione dei dati, procedendo alle notifiche presso le autorità competenti e alla strutturazione di un piano di remediation, sempre in un’ottica di gestione del rischio e di accountability.
