Accendi il computer e tutti i tuoi file sono bloccati.
Sullo schermo compare un messaggio: “Paga 1.000,00 Euro in criptovaluta o perderai tutti i tuoi dati!”.
E’ un esempio pratico di ransomware. Un malware ritenuto tra le più preoccupanti modalità di aggressione nel contesto della criminalità informatica per rilevanza, diffusione e impatto sugli interessi che certamente meritano di essere tutelati. L’attore della condotta criminosa prende il controllo di un asset della vittima – nel caso in esempio i dati e le informazioni contenute nel computer – chiedendo poi un riscatto cui segue la messa in pristino della stessa disponibilità dell’asset, ovvero, il pagamento può essere determinante per evitare che le stesse informazioni vengano rese pubbliche.
Trattasi di una definizione indubbiamente molto ampia, così elaborata dal rapporto della European Union Agency for Cybersecurity (ENISA) con il fine di identificare i tratti salienti di condotte variegate ed in continua evoluzione, inquadrabili nell’estorsione.
L’attore sfrutta la paura e l’urgenza ingenerate nella vittima, attivando una dinamica psicologica di stampo coercitivo: la vittima adotta un comportamento di cooperazione con chi delinque poichè costretto e senza alternativa.
Ecco che emerge come il ransomware non sia solo un problema tecnico, ma anche giuridico.
Il nuovo terzo comma dell’art. 629 del codice penale disciplina l’estorsione mediante reati informatici. La norma punisce chiunque mediante la commissione di reati informatici o la minaccia di compierne, costringendo taluno a fare od omettere qualcosa, procura a sè o ad altri un ingiusto profitto (che si configura nel riscatto del nostro esempio) con l’altrui danno (ossia, semplificando la Perdita dei dati).
Quindi, non è necessaria una minaccia “fisica”, è sufficiente quella digitale perchè la Condotta abbia rilevanza penale e possa integrarsi il delitto di estorsione.
Le sanzioni previste dal codice penale per l’estorsione commessa mediante reati informatici sono particolarmente severe. Sono previste per le ipotesi base la pena della reclusione da 6 a 12 anni, oltre la multa da 5.000,00 a 10.000,00 Euro e, per quelle aggravate, la reclusione da 8 a ben 22 anni, oltre la multa da 6.000,00 a 18.000,00 Euro. Giova sottolineare che la cornice edittale è più alta di quella prevista per l’estorsione commessa con altri mezzi. Segnale quest’ultimo di grande attenzione da parte del legislatore nei confronti dei reati commessi a mezzo di strumenti informatici.
Meritevoli di attenzione sono anche le aggravanti. Viene data rilevanza agli attacchi organizzati di stampo mafioso. Quindi, in tal caso, la rilevanza associativa gioca un ruolo fondamentale ai fini dell’applicazione della sanzione aggravata. O ancora, si considera aggravata la condotta dell’autore che agisce nei confronti di persona ultrasessantacinquenne. Segnale quest’ultimo di una scelta di politica criminale che è probabilmente consapevole del fatto che i cittadini non dispongono tutti allo stesso modo degli strumenti necessari per difendersi nel mondo digitale. Per questo l’intervento penale è volto a proteggere maggiormente le fasce più anziane, spesso meno alfabetizzate tecnologicamente e, proprio per questo, più facilmente esposte ad attacchi ransomware ed al loro effetto estorsivo.
Rilevanti sul piano penale sono anche le complessità investigative che certamente è necessario menzionare per poter comprendere la complessità del tema. Si pensi anche solo all’uso della criptovaluta o del ricorso alla VPN: ci si scontra con il problema dell’anonimato e, quindi, della difficoltà nella identificazione del delinquente. Anche il concreto rischio che nella realizzazione del fatto criminoso vi sia una cooperazione di stampo internazionale complica ulteriormente il profilo investigativo e, pertanto, anche la identificazione degli autori e la loro successiva eventuale condanna. Ecco perchè l’attenzione alla prevenzione gioca certamente un ruolo ineludibile e sicuramente propedeutico alla lotta contro l’estorsione con mezzi informatici.
Nell’era del digitale i meccanismi del diritto penale restano tradizionali: la politica criminale è chiamata ad inseguire ed interpretare le trasformazioni costanti della realtà per continuare a proteggere e tutelare la libertà di autoderminazione delle persone.
Article in collaboration with AW LEGAL and VISIUS
AW LEGAL is a law firm specializing in Intellectual Property, Privacy, and Legal Tech. VISIUS offers legal assistance and strategic advice to individuals and businesses, in the areas of white and corporate criminal law, Swiss law, and new technology law.
