La risposta che molti danno a questa domanda è “sì, è reato pagare“. Si pensa ai sequestri di persona per scopo d’estorsione, per i quali fu promulgata in Italia la legge 15 marzo 1991 n. 82 in forza della quale poteva essere disposto il sequestro dei beni appartenenti al soggetto sequestrato e ai familiari.
Ma per i ransomware non esiste una legge ad hoc, almeno per ora. Quindi si deve fare riferimento alle leggi vigenti, in particolare al Codice Penale italiano.
Cosa prevede il Codice Penale italiano?
Si potrebbe pensare che si applichi l’articolo 379 del codice penale, ossia quello relativo al reato di favoreggiamento? Il dispositivo recita:
Chiunque, fuori dei casi di concorso nel reato e dei casi previsti dagli articoli 648 (“Ricettazione”), 648 bis (“Riciclaggio”) e 648 ter (“Impiego di denaro, beni o utilità di provenienza illecita”) aiuta taluno ad assicurare il prodotto o il profitto o il prezzo di un reato, è punito con la reclusione fino a cinque anni se si tratta di delitto, e con la multa da euro 51 a euro 1.032 se si tratta di contravvenzione.
In caso di persona fisica il reato di riciclaggio sembra non potersi applicare, dal momento che subendo la condotta verrebbe a configurarsi come mera vittima, soggetto passivo e non attivo della commissione del reato.
Esimenti o cause di esclusione della punibilità sono lo stato di necessità che potrebbe indurre la vittima a cedere alla minaccia e all’estorsione.
Quindi siamo in presenza di una condotta estorsiva nella quali il soggetto passivo si configura quale vittima non punibile.
Ma questa situazione potrebbe cambiare, anche in tempi brevi, perché a fronte dell’emergenza ransomware molte nazioni stanno valutando nuove leggi per contrastare e ridurre gli attacchi.
Il governo britannico sta valutando una proposta di legge che mira ad imporre il divieto di pagamento dei riscatti a tutto il settore pubblico e alle infrastrutture critiche del Paese.
Lo scopo è evidentemente quello di scoraggiare i criminali informatici e rendere meno profittevoli questi attacchi.
Una legge per contrastare e ridurre gli attacchi ransomware in Italia?
Anche in Italia si sta valutando una legge del genere. Lo scorso 20 marzo è stata depositata alla Camera dei Deputati la proposta di legge a firma dell’on. Matteo Mauri (PD), che punta a dotare il Paese di una strategia nazionale strutturata per contrastare il fenomeno ransomware che in Italia è particolarmente pesante. L’Italia è il terzo Paese dell’Unione Europea più colpito dagli attacchi ransomware (dopo Germania e Francia) e il sesto a livello mondiale.
Il testo della proposta di legge intende delegare il Governo ad intervenire con decreti legislativi miranti a:
- imporre il divieto di pagamento del riscatto per i soggetti inclusi nel Perimetro di Sicurezza Nazionale Cibernetica;
- creare un piano d’azione nazionale dell’ACN (Agenzia per la Cybersicurezza Nazionale), con misure operative e preventive a sostegno delle vittime, in particolare PMI e PA locali;
- istituire una task force nazionale anti-ransomware presso CSIRT Italia, con funzioni di coordinamento operativo, condivisione di informazioni e supporto alle vittime;
- creare un “Fondo nazionale di risposta agli attacchi ransomware”, destinato a supportare i soggetti pubblici e privati nel ristoro, anche solo parziale, delle perdite economiche subite a seguito di un attacco.
Quindi a livello legislativo qualcosa, dopo anni di attacchi, si sta muovendo.
Ma la soluzione è più complessa di quanto potrebbe sembrare, perché se da un lato il pagamento di un riscatto andrebbe sempre scoraggiato, dall’altro dobbiamo essere consapevoli che per alcune aziende, soprattutto PMI, il pagamento di un riscatto potrebbe essere l’unica strada per recuperare i dati e sopravvivere.
Per certe aziende colpite da ransomware, la scelta può essere “pagare o morire”, quindi un mero divieto potrebbe generare impatti negativi, anche con perdite di posti di lavoro.
L’unica vera strada per combattere efficacemente la piaga dei ransomware è quella di adottare una strategia di prevenzione e di mitigazione del rischio.
Ransomware e GDPR
Nei momenti che seguono un attacco ransomware, è facile perdere lucidità. Non dobbiamo però dimenticare che un attacco del genere con tutta probabilità avrà generato un data breach (una perdita e/o compromissione di dati). Se tra i dati compromessi ci sono anche dati personali (eventualità molto probabile), l’azienda ha l’obbligo di notificare al Garante Privacy il data breach che l’ha colpita.
Questo è stabilito dall’art.33 del GDPR (il Regolamento (UE) 2016/679) che prescrive anche che questa notifica dovrà essere fatta
senza ingiustificato ritardo e, ove possibile, entro 72 ore dal momento in cui ne è venuto a conoscenza, a meno che sia improbabile che la violazione dei dati personali presenti un rischio per i diritti e le libertà delle persone fisiche.
Questo è un adempimento obbligatorio che non dobbiamo dimenticare, per non incorrere nelle sanzioni previste dal GDPR.
Se vuoi aggiornamenti su Ransomware: pagare il riscatto è reato? inserisci la tua email nel box qui sotto: