Si scrive ransomware e si legge guaio perché il malware che blocca l’operatività dietro la richiesta di riscatto è spesso utilizzato dai criminali informatici per fare cassa.
Nonostante le raccomandazioni e diverse possibili azioni preventive suggerite dagli esperti di sicurezza informatica e nonostante guide e community dedicate al tema, le vittime non accennano a diminuire e quando cala la percentuale di attacco, sembra sempre sia solo per una minore attività dei criminali.
Sovvertire questa dinamica sta a ciascuno di noi nel suo quotidiano lavorativo e personale, avendo contezza della minaccia e di come prevenirla.
Un’utile guida di mezzi tecnici preventivi e post attacco è stata recentemente resa disponibile, ma accanto a tali misure per scongiurare un attacco e un danno da ransomware è necessario conoscere anche la disciplina giuridica su questo tema, sia quella nazionale che internazionale per capire misure di contrasto e diritti legali della vittima.
Ci aiuta in questo excursus la professoressa Annita Larissa Sciacovelli, professoressa di diritto internazionale, specialista in sicurezza informatica presso l’Università di Bari e membro dell’Advisory Group (AG) dell’Agenzia europea per la sicurezza informatica (ENISA).
Indice degli argomenti
Il ransomware e le sue criticità
Qualsiasi attacco informatico apporta danneggiamenti sul fronte economico per gli effetti sull’operatività standard, ma è forse il danno reputazionale quello maggiormente temuto.
Sciacovelli ricorda a questo proposito come il ransomware sia un attacco complesso sia dal punto di vista tecnico sia da quello giuridico e che “per gli analisti di Chainanalysis il 2023 è stato l’anno neri nei pagamenti di riscatti, proprio perché, come dicono in USA, ci vogliono 20 anni per costruire una reputazione e pochi minuti per un attacco informatico che la rovini”.
Che il ransomware sia temuto è noto a molti e la docente ricorda “gli attacchi WannaCry e NotPetya del 2016 e 2017” come esempi noti e dolorosi per molte vittime e in alcuni casi anche capaci di incidere sulla sicurezza nazionale. “Ad esempio, nel 2022 il Costa Rica ha dichiarato lo stato di emergenza nazionale per il blocco quasi totale degli enti governativi ad opera del gruppo filorusso Conti”.
Ma una delle maggiori difficoltà risiede nella identificazione e corretta attribuzione degli attacchi da parte del gruppo criminale e dello Stato mandante.
A tal proposito l’esperta chiarisce: “Nel contesto internazionale, una false flag (un falso positivo n.d.r.) e i problemi legati alla corretta attribuzione del ransomware rispetto al gruppo criminale attaccante e allo Stato sponsor degli attacchi, possono comportare una escalation digitale o addirittura, analogica (nel mondo fisico n.d.r.) come reazione della vittima attaccata.
Aspetti salienti giuridici del reato di ransomware nel diritto internazionale
La nazionalità e la localizzazione degli attaccanti di ransomware non sono quindi facilmente individuabili e questo dal punto di vista legislativo e di investigazione, cattura e condanna complica molto le manovre possibili.
Ma allora a norma di legge chiediamo alla docente cosa sia possibile fare per intervenire contro tali manifestazioni di cyber crime. Le azioni sono molteplici e su più fronti.
Dunque, il centro degli interventi di contrasto è la cooperazione rafforzata fra stati ed anche fra agenzie Cyber, come recentemente annunciato anche da Bruno Frattasi in occasione della nasciata della community Cyber dei paesi G7. Nella stessa occasione anche il sottosegretario Mantonvano ha ricordato che “qualsiasi progetto è destinato a insuccesso se non viene inserito in una più ampia rete di collaborazione con le Nazioni alleate ed amiche. Con questo spirito, come Presidenza del G7, abbiamo istituito il nuovo gruppo di lavoro, dedicato alla cybersicurezza come inizio di un confronto più strutturato”. (Fonte AGI)
Un confronto internazionale quindi capace di abilitare azioni investigative, intercettazioni, lotta e assistenza. In questo senso la docente ricorda “sia la Convenzione di Budapest sia le Linee guida del 2022 sono fondamentali perché si soffermano sull’aspetto centrale della lotta al ransomware che si basa sulla cooperazione internazionale giudiziaria e di polizia. Peraltro, sempre nel 2022 è stato aperto alla firma il II Protocollo addizionale alla Convenzione in esame sulla cooperazione rafforzata e la divulgazione di prove elettroniche che facilita e accelera: le indagini e la raccolta di prove digitali, la mutua assistenza in materia di accesso ai dati informatici archiviati, la mutua assistenza in materia di intercettazione di contenuti dati, specie in caso di urgenza e la creazione di joint investigation teams tra Stati. Tale Protocollo, firmato da una trentina di Stati, agevola il contrasto all’impunità dei responsabili del R. Attualmente, questo è il reale problema relativo alla repressione del malware estorsivo, poiché si tratta spesso di un reato transnazionale in cui è essenziale la collaborazione dello Stato nazionale dei presunti rei, ovvero dal cui territorio partono gli attacchi, sia al fine delle indagini e sia della consegna dei responsabili”.
Il ransomware secondo la disciplina europea
l’Europa non è certo meno attenta degli altri paesi nelle azioni di prevenzione e se la professoressa Sciacovelli ricorda come “l’Agenzia europea ENISA citi la ‘golden era of ransomware’ e sostenga l’effettiva applicazione delle normative europee dedicate alla cybersecurity, tra cui NIS 2, DORA, CER e CSA”, l’Europa non smette di legiferare per completare il suo approccio strategico, che dal 2016 prevede una roadmap precisa per una Digital Europe sicura e una impalcatura normativa che tratti diversi pillar di intervento.
“Le norme citate”, ricorda la docente, “disciplinano gli aspetti operativi, organizzativi e legali legati alle fasi precedenti e successive agli attacchi cyber, tra cui il R. Sul punto, poi vi è la direttiva 2013/40/UE che, all’art. 8, disciplina la responsabilità penale di coloro che concorrono alla sua perpetrazione del ransomware, o al tentativo con l’incitamento, l’assistenza e ogni forma di collaborazione. Tali normative però non menzionano il problema del pagamento del riscatto, che rappresenta una delle questioni principali e forse la più spinosa”.
L’approccio italiano nell’ultima legge sulla Cybersicurezza
Già a maggio il sottosegretario Mantovano aveva annunciato o lavori del DDL sulla Cybersicurezza oggi approvato e divenuto legge e dedicato al “rafforzamento della cybersicurezza, con l’allargamento del perimetro dei soggetti tenuti ad adottare misure di protezione, la messa in campo di tempestive misure di contrasto ed interventi di adeguamento delle norme penali nello spazio cyber, dovuto al fatto che la legislazione vigente risale a più di vent’anni fa” e sul tema dei riscatti si era espresso con decisione confermando “la determinazione del governo italiano – in linea con la Dichiarazione congiunta della 3° edizione del Summit Counter Ransomware Initiative del novembre 2023 – di disincentivare il pagamento dei riscatti associati a questi attacchi e di ragionare su forme di regolamentazione dell’impiego delle monete virtuali, molto utilizzate in questo ambito”.
Proprio su quest’ultimo punto la prof.ssa Sciacovelli, che ha analizzato il decreto, spiega che “il nuovo DDL sulla cybersicurezza (LEGGE 28 giugno 2024, n. 90 n.d.r.) ha introdotto delle nuove fattispecie criminose per cui è punito anche ‘chiunque … chi minaccia di compiere i reati informatici (di cui agli articoli 615-ter, 617-quater, 617-sexies, 635-bis, 635-quater e 635-quinquies), con un importante inasprimento della pena se il fatto è commesso nei confronti di persona incapace per età o per infermità’. Il DDL reca anche (Art. 629, co. 3, c.p.) la riduzione delle pene per chi si adopera per evitare che l’attività delittuosa sia portata a conseguenze ulteriori, anche aiutando concretamente l’autorità di polizia o l’autorità giudiziaria nella raccolta di elementi di prova, nel recupero dei proventi dei delitti o degli strumenti utilizzati per la commissione degli stessi. Aggiungo che è stato introdotto l’Art. 617 bis c.p. – Detenzione, diffusione e installazione abusiva di apparecchiature e di altri mezzi atti a intercettare, impedire o interrompere comunicazioni o conversazioni telegrafiche o telefoniche, che estende la speciale disciplina delle intercettazioni, prevista per i fatti di criminalità organizzata, ai reati informatici, e che tale disciplina è rimessa al coordinamento del procuratore nazionale antimafia e antiterrorismo”.
Un intervento quindi di chiara impostazione repressiva per non lasciare dubbi o scappatoie. Come spiega anche la docente, “il legislatore ha affrontato il problema della repressione della criminalità ‘plurisoggettiva’, anche un controllo sull’accesso a banche dati della PA nel caso insider threat e l’aggravante (ex art. 615 ter cp) per chiunque fornisca indicazioni o istruzioni idonee al compimento del reato informatico”.
I problemi aperti del ransomware. Per un’azione a norma di legge
Le questioni aperte in tema di ransomware riguardano l’attribuzione del reato (chi lo commette n.d.r.) e le mancanti leggi internazionali di giurisprudenza comune, ma anche accordi sulle misure di contrasto ai riscatti. Come conferma l’esperta, secondo cui permane la “difficile identificazione degli autori, i problemi nella attribuzione degli attacchi e la mancanza di proiezione extra-territoriale della giurisdizione nazionale”.
Sui riscatti Annita Larissa Sciacovelli chiarisce che “il problema non riguarda solo l’adozione di una specifica normativa sul pagamento del riscatto quanto la repressione del fenomeno che tecnicamente è un reato di natura pluri-offensiva e transnazionale in quanto: vede la partecipazione di una molteplicità di soggetti che operano da più Stati, i quali spesso non collaborano nello svolgimento delle indagini, e che integra molteplici (ma distinti) reati (informatici e non) nelle singole fasi della sua esecuzione. Inoltre, è emersa l’esistenza di veri e propri “programmi di affiliazione” al ransomware creando un processo di un «crimine organizzato”.
