RANSOMWARE. PROFILI INFORMATICI E GIURIDICI DI UN CYBERCRIME RANSOMWARE. IT AND LEGAL PROFILES OF A CYBRCRIME
←
→
Trascrizione del contenuto della pagina
Se il tuo browser non visualizza correttamente la pagina, ti preghiamo di leggere il contenuto della pagina quaggiù
Scuola di Scienze Matematiche, Fisiche e Naturali
Corso di Laurea in Informatica
Tesi di Laurea
RANSOMWARE. PROFILI INFORMATICI E GIURIDICI DI
UN CYBERCRIME
RANSOMWARE. IT AND LEGAL PROFILES OF A
CYBRCRIME
D E S ANTIS P IERLUIGI
Relatore: Bondavalli Andrea Correlatore: Pietropaoli Stefano
2
Anno Accademico 2 0 1 9 - 2 0 2 0
De Santis Pierluigi: Ransomware. Profili informatici e giuridici di
3
un cybercrime, Corso di Laurea in Informatica, © Anno
Accademico 2019-2020
“Fare tutto è complesso, farlo tutto bene è il demonio”4
INDICE
INTRODUZIONE ............................................................................................6
1. RANSOMWARE NEL QUADRO DEL MALWARE..............................8
1.1 Le varie tipologie di malware .........................................................8
1.2 Ransomware ....................................................................................10
1.3 Diffusione, sintomi e precauzioni dai ransomware ...................13
1.4 Sistemi più vulnerabili ...................................................................19
1.5 Quali sono i ransomware più noti? ..............................................22
2. DESCRIZIONE GIURIDICA DEL RANSOMWARE ...........................28
2.1 I vari tipi di reati informatici .........................................................28
2.2 Reati legati ai ransomware ............................................................31
2.3 Pagamento del riscatto, pene e conseguenze .............................33
3. CASE STUDY, WANNACRY ..................................................................37
3.1 Caso wannacry ................................................................................37
3.2 Chi c’è dietro all’attacco? ...............................................................41
3.3 Marcus Hutchins, da ex hacker ad esperto in sicurezza
informatica..................................................................................................44
CONCLUSIONI .............................................................................................47
BIBLIOGRAFIA .............................................................................................49
56
INTRODUZIONE
In questa tesi analizzeremo a fondo molte delle varie casistiche legate
ai malware, facendo particolare attenzione a quelli che sono i
ransomware.
In particolare, vedremo la vera differenza fra il perdere i propri dati e il
dover pagare un riscatto per qualcosa che ci appartiene di diritto, stia
nella prevenzione, come nella maggior parte delle cose.
Prevenire, è l’unico modo “sicuro” per difendersi da questi
cybercriminali, perché purtroppo, per quanto possa sembrare ed essere
effettivamente sicuro, un sistema presenterà sempre qualche piccola
falla e di conseguenza, i più esperti troveranno un modo per sfruttarla
per scopi poco nobili, come l’estorsione.
Vedremo, come la soluzione a problemi tal volta complessi, sia nella
semplicità e nelle intuizioni, ma ciò deve in ogni caso farci agire con
estrema responsabilità quando si parla di dati e file personali.
Ormai tutte le nostre informazioni più importanti sono diventate dei
bit, sono dei file, dell’icona misurate in megabyte e gigabyte.
Sono cose che non vediamo, non sono oggetti fisici, e questo tal volta
non ne fa rilevare il loro vero valore. Perdere uno smartphone con giga
e giga di foto e video, non salvati su cloud, non spostati su hard disk,
corrisponde a perdere pezzi intera di vita e di ricordi, che non
torneranno più.
Così come perdere l’accesso ad un computer che contiene progetti e
documenti, che solo quel computer contiene.
In questa tesi non c’è la soluzione ai ransomware, non si può trovare
un modo per rendere immune un sistema da un attacco, spesso
strutturato, da chi ha capacità molto al di fuori del normale, e sono7 sicuro che una soluzione efficace non la si troverà in nessuna altra ricerca. Quello che analizzeremo è che, se un computer contiene l’unica copia di quel file, fondamentale per mandare avanti interi progetti, allora quel file diventa inestimabile, e saremo costretti a pagare il riscatto per (sperare) riottenerlo, diventando noi stessi parte dell’associazione criminale dietro al reato, alimentando economicamente e diventando, a nostro malgrado, un aiuto in più per loro. Ma se quel computer, contiene file reperibili in altri modi, totalmente distaccati dal quel dispositivo stesso, come un cloud o una memoria esterna, ecco che una delle piaghe informatiche più invasiva di sempre, perde quell’impatto disastroso che ha su chi vede i propri ricordi, il proprio lavoro, sparire dietro una vigliacca richiesta di riscatto.
8
1
RANSOMWARE NEL QUADRO DEL MA LWARE
In questo capitolo vedremo le varie tipologia di malware, e
dove si posizionano i ransomware più nello specifico.
1.1 L E V AR I E TI P O L O GI E DI M A LW AR E
Il termine “malware” deriva dalle parole inglesi “malicious”e
“software”, e indica programmi creati per danneggiare e sottrarre
informazioni sensibili dai sistemi in cui vengono eseguiti. Spesso sono
tutti identificati con il termine “virus”, ma in realtà si possono
raggruppare in molte più tipologie: [1]
• Gli adware, fra i più comuni e fastidiosi. Sono progettati per
presentare messaggi pubblicitari all’interno del browser web.
Generalmente si mascherano da componenti legittimi e si
nascondono in altri programmi, al fine di venire installati su PC,
tablet e dispositivi mobili;
• Gli spyware, malware creati per osservare segretamente tutte le
attività dell’utente senza autorizzazione, per poi segnalarle al
creatore del software;
• I virus, programmi realizzati per creare danni, e
successivamente propagarsi inserendosi in altri file;
• I worm, malware simili ai virus, che si riproducono per
diffondersi sugli altri computer di una rete, danneggiandoli di
solito, mediante la distruzione di dati e file;9
• I ransomware, malware che impediscono all’utente di accedere
al proprio dispositivo e/o criptano i suoi file, obbligandolo a
pagare un riscatto per riottenerli. I ransomware sono stati
definiti "l'arma scelta" dei criminali, perché richiedono un
pagamento rapido e ingente in criptovalute difficili da
rintracciare. Il codice alla base dei ransomware è semplice da
ottenere sui marketplace criminali e difendersi da essi è molto
difficile;
• I trojan o “cavalli di Troia” sono i malware più pericolosi e
diffusi. Si presentano sotto forma di qualcosa di utile,
ovviamente per ingannare l’utente. Una volta entrati nel
sistema, i criminali ottengono l’accesso autorizzato al computer
della vittima. Da qui, i trojan possono essere utilizzati per rubare
dati finanziari o installare altre minacce, come virus e
ransomware;
• I rookit sono dei malware che permettono al criminale di
ottenere i privilegi di amministratore del sistema infetto.
Generalmente, sono progettati per rimanere nascosti agli occhi
dell'utente, degli altri software e del sistema operativo stesso;
• I keylogger, malware che registrano la pressione dei tasti degli
utenti sulla tastiera, memorizzando le informazioni raccolte e
inviandole ai criminali, che puntano ad ottenere dati sensibili
come nomi utenti, password o dati delle carte di credito;
• Il cryptojacking, noto anche come drive-by mining, è una tecnica
malware che prevede l’installazione da parte di un trojan.
Consente a persone estranee, di utilizzare un computer per
"generare" (mining) criptovalute, ad es. Bitcoin o Ethereum.
Anziché lasciare che gli utenti raccolgano i frutti del lavoro del
proprio computer, i cryptominer inviano la valuta raccolta ai
propri account. Essenzialmente, un cryptominer dannoso
deruba gli utenti delle loro risorse per lucro;
• Gli exploit sono malware che sfruttano bug e le vulnerabilità di
un sistema per consentire al loro creatore di assumere il
controllo. Come altre minacce, gli exploit sono legati
al malvertising e attaccano attraverso siti web legittimi che
lasciano inconsapevolmente penetrare contenuti dannosi
provenienti da siti web nocivi. Dopodiché, i contenuti dannosi10
provano a installarsi sul computer mediante un drive-by
download. Non serve alcun clic. È sufficiente visitare un sito
legittimo al momento sbagliato. [2]
1.2 R AN S O M W A R E
Come visto nel 1.1, esistono molte tipologie di malware, tutte con il
minimo comune denominatore di creare danni all’utente, agendo sul
sistema, file, dati e molto altro.
Fra le varie “patologie” di cui il nostro PC potrebbe soffrire, i
ransomware sono quelli che approfondiremo in questo capitolo.
Ransomware, come già visto, è un termine generale usato per
descrivere una classe di malware che viene utilizzata per estorcere
digitalmente le vittime al pagamento di una tariffa specifica.
Al suo centro, questa forma di estorsione digitale può essere classificata
in due tipi principali e quindi suddivisa in base alle famiglie che
rappresentano. Le due principali forme di ransomware sono quelle che
crittografano, offuscano o negano l'accesso ai file e quelle che limitano
l'accesso o bloccano gli utenti dai sistemi stessi. (figura 1)
Queste minacce non sono limitate a nessuna particolare area geografica
o sistema operativo e possono agire su qualsiasi numero di dispositivi.
Tutto, dai dispositivi Android ai sistemi iOS ai sistemi Windows, è a
rischio di sfruttamento tramite ransomware. A seconda dell'obiettivo, il
metodo di compromesso del dispositivo potrebbe essere diverso e le
azioni finali intraprese sarebbero limitate dalla capacità del dispositivo
stesso. [3]11
Figura 1: schermata d’avviso del ransomware Wannacry
Il primo ransomware risale ad un pezzo di codice, conosciuto come
AIDS, scritto nel 1989 da Joseph Popp, un biologo che ha inviato un
floppy disk infetto ai 20.000 partecipanti della “Conferenza sull’AIDS
dell’Organizzazione mondiale della sanità”. I dischi erano etichettati
come “Informazioni sull’Aids – Dischetti introduttivi” e, quello che i
delegati ignari non realizzarono, era che quel floppy disk conteneva
davvero un virus del computer che, dopo il lancio di tutti i contenuti
del disco, rimaneva nascosto nel computer delle vittime per un po’ di
tempo. Dopo 90 riavvii, il virus riprendeva vita, criptando prontamente
file e nascondendo directory. Veniva mostrato un messaggio (figura 2)
per informare gli utenti che il loro sistema sarebbe ritornato alla
normalità dopo l’invio di $189 su una casella postale a Panama.
Il metodo di pagamento, richiesto oggi dalla maggior parte degli
estorsori digitali, è la criptovaluta, in genere Bitcoin; ma questo non è
l'unico metodo di pagamento richiesto. Numerosi servizi di voucher12
prepagati come MoneyPak, Ukash o PaySafe sono anche utilizzati dai
criminali.
Sebbene l’AIDS Trojan non sia stato costruito in modo sofisticato e
abbia utilizzato un semplice algoritmo di crittografia simmetrica per
crittografare i file delle macchine delle vittime, ha causato gravi danni a
diversi centri di ricerca in tutto il mondo. [4]
Figura 2: La schermata principale del virus AIDS13
1.3 D I F F US I O N E , S I N T O M I E P R EC A UZ I O N I D AI R AN S O M W AR E
I principali canali di diffusione utilizzati dai ransomware sono
sostanzialmente i medesimi usati per gli altri tipi di attacchi malware:
1. Il più diffuso, sono le e-mail di phishing 1 : attraverso questa
tecnica vengono veicolati oltre il 75% dei ransomware. A tutti
noi sarà capitato di ricevere e-mail da spedizionieri, o con false
bollette allegate. Sono evidentemente e-mail di phishing. Ma le
statistiche ci dicono che nel 30% dei casi questi messaggi
vengono aperti dagli utenti ed addirittura in oltre il 10% dei casi
vengono cliccati anche gli allegati o i link presenti nelle e-mail,
permettendo così l’infiltrazione del malware;
2. Attraverso la navigazione su siti compromessi: il cosiddetto
“drive-by download” (letteralmente: scaricamento all’insaputa) da
siti nei quali sono stati introdotti (da parte di hacker che sono
riusciti a violare il sito) exploit kit che sfruttano vulnerabilità dei
browser, di Adobe Flash Player, Java o altri. Si presentano, per
esempio, come banner pubblicitari o pulsanti che ci invitano a
cliccare. A quel punto verremo indirizzati su siti malevoli,
diversi dall’originale, dove avverrà il download del malware;
3. All’interno (in bundle) di altri software che vengono scaricati:
per esempio programmi gratuiti che ci promettono di “crackare”
software costosi per utilizzarli senza pagare. È una pratica che
oggi è diventata assai pericolosa, perché il crack che andremo a
scaricare sarà un eseguibile (.exe) dentro il quale ci potrebbe
essere anche una brutta sorpresa;
4. Attacchi attraverso il desktop remoto (RDP: remote desktop
protocol, in genere sulla porta 3389): sono attacchi con furto di
credenziali (in genere di tipo “brute force”) per accedere ai
1 Phishing: Truffa informatica effettuata inviando un'e-mail con il logo contraffatto di
un istituto di credito o di una società di commercio elettronico, in cui si invita il
destinatario a fornire dati riservati (numero di carta di credito, password di accesso al
servizio di home banking, ecc.), motivando tale richiesta con ragioni di ordine
tecnico.14
server e prenderne il controllo. Uno dei più noti è
LOKMANN.KEY993; [6]
È relativamente facile scoprire se si è colpiti da questo tipo di virus,
ecco i principali sintomi comuni di un’infezione da ransomware:
• Non puoi aprire i tuoi file: ricevi sempre un messaggio di
errore che indica che il file a cui stai tentando di accedere ha
un’estensione errata (ad esempio, Windows ti chiede “come
vuoi aprire questo file?”) o è danneggiato;
• Il ransomware può cambiare lo sfondo del desktop e sostituirlo
con una nota di riscatto;
• Il computer è bloccato e non è possibile accedere al desktop,
viene invece visualizzata una schermata iniziale con la richiesta
di riscatto che copre l’intero schermo chiedendo di pagare un
riscatto entro un periodo di tempo limitato, altrimenti i dati
andranno persi per sempre; (figura 1)
• La nota di riscatto può apparire sotto forma di una finestra del
programma che non copre l’intero schermo, ma l’utente non può
chiuderla;
• In tutte le directory che contengono file criptati dal ransomware
è presente un file con delle istruzioni, questi file hanno diversi
formati come TXT, PNG e HTML e il nome è scritto in lettere
maiuscole (ad es. YOUR_FILES_ARE_ENCRYPTED.HTML e
YOUR_FILES_ARE_ENCRYPTED.TXT o
READ_ME_NOW.HTM);
• I nomi dei file memorizzati sono criptati e hanno un’estensione
diversa o nessuna estensione. [4]
Esistono diverse contromisure tecniche e procedurali per arrestare
l’attività del ransomware prima che infetti il nostro sistema, le seguenti
sono le principali sia per i dispositivi privati che per le reti aziendali:
• Installare soluzioni di sicurezza (antivirus e antimalware)
professionali e gestite;15
• Aggiornare i Sistemi Operativi e le applicazioni installate;
• Utilizzare la virtualizzazione: un utente può eseguire
programmi, aprire allegati di posta elettronica, scaricare e
installare programmi da Internet e visitare siti Web
compromessi in sicurezza senza temere di infettare il proprio
sistema operativo con malware, poiché la macchina virtuale
verrà eseguita in una sandbox completamente isolata dal
sistema operativo della sua macchina host;
• Utilizzare componenti aggiuntivi per la privacy del browser
Web come:
o Privacy Badger
o HTTPS Everywhere
o NoScript
o uBlock Origin;
• Disabilitare le macro nei file di Microsoft Office;
• Disabilitare Windows Script Host (WSH);
• Usare l’account con il privilegio più basso possibile;
• Non installare software piratato, in particolare quello scaricato
via torrent;
• Evitare di collegare dispositivi USB non attendibili al dispositivo
di elaborazione;
• Evitare di utilizzare caricabatterie telefonici pubblici: il malware
può essere distribuito attraverso i dispositivi mobili infetti;
• Modificare le estensioni di file importanti: questo trucco può
essere efficace per prevenire i danni causati da molti tipi di
ransomware, ad esempio la ricerca ransomware di WannaCry e
crittografava estensioni di file specifiche come: file Microsoft
Office (ad es. File doc, docx, .xls, xslx, .ppt, .pptx ..etc.), diversi
tipi di file di archivio di backup (ad es. .zip, .rar, .backup, .bak) e
formati di file immagine / video diffusi. Modificando
l’estensione dei file più importanti si può migliorare la sicurezza
degli stessi;
• Disporre di un buon backup dei dati. Questa è ancora la
migliore e più efficace procedura per recuperare i file criptati da
un attacco ransomware;
• Configurare Windows per affrontare al meglio il ransomware:16
o Mostrare le estensioni dei file andando su Pannello di
controllo> Opzioni Esplora file. In Windows 7, seleziona
Pannello di controllo> Opzioni cartella e vai alla scheda
Visualizza, deseleziona l’opzione “Nascondi estensioni
per tipi di file conosciuti”;
o Disabilitare AutoPlay;
o Disabilitare il protocollo RDP (Remote Desktop Protocol)
e, se è necessario utilizzarlo, assicurarsi di proteggerlo
con una password complessa (16 caratteri alfanumerici) e
l’attivazione su una porta non standard;
o Abilitare politiche di restrizione software (SRP). [4]
In conclusione, se si viene colpiti da questo malware le opzioni sono
sostanzialmente quattro:
1. Ripristinare i file da un backup (la soluzione migliore, l’unica
che dovrebbe prendere in considerazione un’azienda ben
organizzata);
2. Cercare un “decryptor” in rete per decriptare i file (funziona
solo in alcuni casi);
3. Non fare nulla e perdere i propri dati;
4. Pagare il Riscatto (“Ransom”).
Vediamole più nel dettaglio:
1) Ripristinare i file da un backup
È la soluzione migliore, l’unica che dovrebbe essere presa in
considerazione se abbiamo operato con attenzione e ci siamo
organizzati con una corretta gestione di salvataggio periodico
dei nostri dati. Ovviamente per fare un ripristino è necessario
avere una copia di backup che sia disponibile, recente e
funzionante. Se siamo in possesso di un backup utilizzabile,
occorre però procedere ad una bonifica della macchina (o delle
macchine) infettate, prima del ripristino dei dati. La bonifica può
essere fatta con più scansioni antivirus per assicurarsi che il
software dannoso sia stato rimosso, ma per essere certi al 100%
che non ci siano più tracce di qualsiasi tipo di malware, è
consigliabile procedere ad una formattazione17
completa della macchina attaccata. Solo a questo punto si può
procedere al ripristino dei dati da backup;
2) Cercare un “decryptor” in rete per decriptare i file
La grande proliferazione delle varietà di ransomware nel corso
di questi ultimi 2-3 anni ha fatto sì che i maggiori vendor di
sicurezza mondiali abbiamo cercato di trovare gli “antidoti” a
questi malware. Ed in alcuni casi ci sono anche riusciti: per
alcune versioni di ransomware meno recenti sono stati creati (e
resi disponibili in rete) programmi e tool in grado di recuperare i
file crittografati. Si tratta comunque di procedure non elementari
e spesso complesse, che raramente hanno successo con i
ransomware più recenti e meglio realizzati. Dopo tutto, anche gli
hacker leggono gli stessi blog e forum di sicurezza e aggiornano
i loro prodotti per renderli inattaccabili ai decrypter. È stato
creato nel 2016 dal National High Tech Crime Unit della polizia
olandese, dall’European Cybercrime Centre dell’Europol, e da
due aziende di sicurezza informatica, Kaspersky Lab e McAfee,
con l’obiettivo di aiutare le vittime del ransomware a recuperare
i loro dati criptati, senza dover pagare i criminali. Facendo una
ricerca nel sito, o caricandovi un nostro file criptato, potremo
trovare (se esiste!) il decryptor per decifrare – gratuitamente – i
file;
3)Non fare nulla e perdere i propri dati
Non è una scelta entusiasmante e quasi mai la si può fare,
soprattutto per un’azienda. A meno che i dati criptati non siano
veramente di scarsa importanza. Anche se dovessimo optare per
questa soluzione, consiglio comunque di:
• Togliere dalla macchina il disco con i file compromessi e
metterlo da parte: potrebbe succedere che in futuro
qualcuno riesca a trovare il decryptor per decifrare quei
nostri file, che potrebbero essere recuperati. Potrebbero
passare mesi, ma potrebbe accadere;18
• Oppure (per lo stesso motivo) fare un backup dei file
crittografati e poi bonificare comunque la macchina;
4) Pagare il riscatto
È ovviamente la soluzione peggiore, quella alla quale non si
dovrebbe mai arrivare: se paghiamo alimentiamo la criminalità e la
rendiamo ancora più ricca e forte. Ma anche pagando non si ha
nessuna garanzia di riavere i propri dati: ricordiamoci sempre che
dall’altra parte ci sono dei criminali. Come detto
precedentemente, anche pagando esiste un 20% di probabilità che
non ci venga fornita la chiave di decriptazione. Se comunque si
decide di pagare il riscatto, i passi da compiere sono in genere
questi (con piccole varianti a seconda del tipo di malware che ci ha
colpito):
• Leggere le istruzioni che ci sono state inviate con la richiesta di
riscatto: serve per capire qual è l’importo richiesto (quasi sempre
in Bitcoin, una criptovaluta non tracciabile) e – soprattutto –
quanto tempo abbiamo per pagare prima che i nostri file siano
persi definitivamente (in genere i cybercriminali fissano una
scadenza di circa 72 ore, comunque mai molto lunga);
• Acquistare i Bitcoin per il pagamento: individuare un sito che
faccia “exchange” di questa valuta. Ce ne sono molti e sono
pubblici (cioè non illegali);
• Aprire un account presso il sito prescelto: si tratta in pratica di
un conto elettronico (wallet) dove saranno depositati i Bitcoin
acquistati;
• Poiché il pagamento viene richiesto attraverso la rete TOR (una
“darknet” che garantisce la navigazione completamente
anonima) occorre installare un browser TOR: lo si può scaricare
direttamente dal sito: http://www.torproject.org. Si usa in
modo del tutto simile ad un browser normale (è derivato da
Firefox);
• Con TOR bisogna accedere al sito indicato dagli hacker nella
richiesta di riscatto: i siti della rete TOR non sono indicizzati in
Google e sono raggiungibili solo se si conosce l’esatto indirizzo,
che è molto complesso. Questo è un esempio di indirizzo
TOR: 7yulv7filqlrycpqrkrl.onion;19
• Pagare il riscatto: questo significa trasferire i BTC dal
proprio Bitcoin wallet a quello degli hacker. Per raggiungerlo in
genere è sufficiente seguire le istruzioni poste sul sito. Il wallet
su cui eseguire il pagamento è identificato da un “wallet ID”,
costituito da una lunga serie di numeri e lettere come
questo: 19eXu88pqN30ejLxfei4S1alqbr23pP4bd. Questo codice
traccia il pagamento in forma solo numerica, quindi rende quasi
impossibile risalire al nome dell’intestatario del wallet;
• Dopo aver trasferito i BTC sul conto degli hacker, riceveremo un
altro codice (ancora una lunga serie di numeri e lettere) che
rappresenta la conferma della transazione;
• Ora aspettiamo e speriamo: entro qualche ora (il tempo
necessario perché la transazione sia stata processata dai sistemi)
dovremmo ricevere un file con la chiave privata di
decriptazione, oppure un file eseguibile che procederà a
decriptare i file. Affinché la decodifica dei file sia completa,
occorre che manteniamo collegati tutti i dispositivi e dischi che
erano connessi al momento dell’infezione (altrimenti qualche file
potrebbe non venire decriptato). [4]
1.4 S I S TEM I P I Ù V U LN ER A BI LI
Abbiamo visto la configurazione Windows per affrontare al meglio il
ransomware, ma è importante considerare che i sistemi Mac
presentano le stesse vulnerabilità (e i conseguenti sintomi di infezione)
dei dispositivi Windows e non possono essere considerati blindati. Ad
esempio, la protezione integrata nei Mac contro i malware non blocca
tutti gli adware e gli spyware associati al download di applicazioni
fraudolente. Anche i trojan e i keylogger rappresentano una minaccia.
Il primo rilevamento di un ransomware scritto appositamente per Mac
è avvenuto nel marzo 2016, quando un trojan ha colpito oltre 7.000
utenti Mac.20
Di fatto, Malwarebytes ha individuato più malware per Mac nel 2017
che in qualunque altro anno. Entro la fine del 2017, il numero di nuove
minacce che i nostri professionisti hanno rilevato sulle piattaforme Mac
ha superato del 270% il numero registrato nel 2016. [2]
È importante però, fare le stesse considerazioni su quelli che non sono
altro che sofisticati computer palmari. I nostri smartphone.
Gli utenti di dispositivi mobili rappresentano spesso un facile
bersaglio. Molti non proteggono i loro telefoni come fanno per il
computer, evitando di installare software di sicurezza o di tenere
aggiornati i sistemi operativi. Questo li rende vulnerabili anche ai
malware più primitivi. Poiché gli schermi dei dispositivi mobili sono
piccoli e gli utenti non possono visualizzarne facilmente le attività, gli
abituali sintomi d'allarme di un'infezione su PC possono passare
inosservati, come nel caso degli spyware.
I dispositivi mobili infetti rappresentano un pericolo particolarmente
insidioso rispetto ai PC. L'hacking di microfoni e fotocamere consente
di seguire ogni mossa e conversazione di una persona. Come se non
bastasse, i malware associati al mobile banking intercettano le chiamate
e i messaggi per superare l'autenticazione a due fattori utilizzata da
molte applicazioni bancarie. [2]
In questo caso, le differenze fra i due sistemi operativi più diffusi per
dispositivi mobili, ci sono, e non sono poche.
Per esempio, quando un telefono Android è infetto ci sono alcuni
segnali d'allarme inconfondibili. Eccone alcuni:
• L'improvvisa comparsa di pop-up con annunci pubblicitari
invasivi. Se appaiono dal nulla e reindirizzano a siti web
sospetti, probabilmente sul dispositivo è installato qualcosa che
nasconde un adware. Mai fare clic sulle pubblicità;
• Uno strano aumento nell'uso dei dati. I malware consumano i
piani dati degli utenti, visualizzando pubblicità e inviando le
informazioni sottratte dal telefono;
• La presenza di addebiti non dovuti sul credito. Ciò accade
quando un software dannoso effettua chiamate e invia messaggi
a numeri a pagamento;21
• La batteria si scarica rapidamente. I malware consumano risorse
e prosciugano la batteria più in fretta del normale;
• Le persone tra i contatti degli utenti ricevono da loro strane
telefonate e messaggi. I malware si riproducono diffondendosi
da un dispositivo all'altro per mezzo di e-mail e messaggi,
invitando gli utenti a fare clic su link infetti;
• Il telefono si surriscalda, mentre le prestazioni calano. Ad
esempio, esiste un trojan che invade i telefoni Android con un
installer talmente nefando da sovraccaricare il processore fino a
surriscaldare il telefono, deformando la batteria e danneggiando
il dispositivo Android irrimediabilmente;
• Sullo schermo compaiono delle app a sorpresa. A volte si
scaricano delle app che contengono malware, i quali si installano
furtivamente. Questo succede perché Android consente agli
utenti di passare direttamente da Google Play ad altri
marketplace, come Amazon, che potrebbero lasciar passare dei
malware;
• Il telefono attiva il Wi-Fi e la connessione a internet da solo. Si
tratta di un altro modo in cui i malware si propagano, ignorando
le preferenze dell'utente e aprendo i canali di infezione;
Ben diversa la storia quando si tratta di iPhone perché i malware non
rappresentano un problema grave sugli iPhone. Questo non significa
che non esistano, ma sono estremamente rari. Di fatto, le infezioni
malware su iPhone si verificano soprattutto in due circostanze
straordinarie.
La prima consiste in un attacco mirato da parte di uno stato-nazione
antagonista — un governo che ha creato o acquistato per milioni di
dollari un malware progettato per sfruttare qualche oscura lacuna di
sicurezza in iOS. Non bisogna sorprendersi, perché tutti i dispositivi
presentano qualche sorta di vulnerabilità. Per prudenza, Apple ha fatto
un buon lavoro nel mettere in sicurezza iOS, arrivando a impedire a
qualunque app (compresi i software di sicurezza) di eseguire scansioni
del telefono o di altre app sul sistema del dispositivo. Ecco perché è
così costoso creare dei malware in grado di installare il proprio codice
per chissà quale attività eseguita da remoto di cui lo stato-nazione
responsabile ha bisogno.22
Il secondo caso si verifica quando un utente rende vulnerabile il
proprio iPhone mediante il jailbreaking, che rimuove le restrizioni e le
limitazioni imposte da Apple, soprattutto per garantire che le
applicazioni possano essere installate esclusivamente dall'App Store.
Apple esamina attentamente i propri sviluppatori di app, sebbene sia
capitato che un malware si infiltrasse in un'app legittima.
È importante considerare che Android guida il mercato con l'80% delle
vendite di smartphone totali, seguito da iOS con il 15%. Non è una
sorpresa, quindi, che la più diffusa piattaforma Android attiri più
malware dell'iPhone. [2]
1.5 Q U ALI S O N O I R AN S O M W AR E P I Ù N O TI ?
Dopo la parentesi del 1989, l’esplosione dei ransomware comincia nel
2012 e da allora non si è più fermata: per i cybercriminali si è rivelata
sempre più redditizia e i nuovi ransomware si sono moltiplicati: nel
solo anno 2016 sono state create 62 nuove “famiglie” di ransomware e
di queste 47 (pari al 75%) sono state sviluppate da cybercriminali russi.
Vediamo un po’ di storia dei ransomware più famosi:
• Cryptolocker: 2013;
• CryptoWall: inizio 2014;
• CTB-Locker: metà 2014. Ha migliaia di varianti;
• TorrentLocker: febbraio 2014 (Turkcell);
• Ransom32: fine dicembre 2015;
• TeslaCrypt: febbraio 2015. A maggio 2016 gli autori hanno
rilasciato la chiave Master Key ed hanno chiuso il progetto;
• Locky: febbraio 2016 (via macro in file Word);
• CryptXXX: inizio 2016 (attraverso pagine Web compromesse;23
• Petya: marzo 2016;
• Cerber: marzo 2016;
• PokemonGo: agosto 2016. Nella richiesta di riscatto si
presentava con l’immagine di Pokemon, allora molto di moda;
• Popcorn: fine 2016 (dilemma: pagare o diffonderlo?);
• WannaCry (maggio 2017): il più veloce a propagarsi, grazie ad
una vulnerabilità di Windows;
• NotPetya (giugno 2017): probabilmente quello che ha creato i
danni maggiori a livello mondiale;
• Bad Rabbit (ottobre 2017); [6]
Esploriamo qualcuno di questi esempi di ransomware famosi per
capire quanto ogni tipo possa essere diverso e pericoloso.
• CryptoLocker è un ransomware visto per la prima volta nel 2007
diffusosi attraverso allegati di posta elettronica infetti. Una volta
scaricato sul tuo computer, cercava file preziosi da crittografare
e conservare, in attesa ovviamente di un riscatto. (Figura 3) Si
calcola abbia colpito circa 500.000 computer, le forze dell'ordine
e le società di sicurezza alla fine riuscirono a impadronirsi di
una rete mondiale di computer domestici adibiti alla diffusione
del Cryptolocker.
Figura 3: La schermata principale del CryptoLocker24
Ciò ha permesso loro di controllare parte della rete criminale e
di acquisire i dati mentre venivano inviati, senza che i criminali
lo sapessero. Questa azione ha portato allo sviluppo di un
portale online in cui le vittime potevano ottenere una chiave per
sbloccare e rilasciare i propri dati gratuitamente senza pagare i
criminali, proprio come visto nel “2) Cercare un “decryptor” in
rete per decriptare i file” [7]
• TeslaCrypt: La differenza rispetto a un tipico file di crittografia
dei ransomware (che mirano a video, documenti, database delle
applicazioni, immagini, ecc) è che TeslaCrypt crittografa anche i
file relativi ai videogiochi. Ci sono più di 40 diversi videogame
presi di mira da TeslaCrypt, per esempio: Minecraft, World of
Warcraft, StarCraft, World of Tanks, Dragon Age, RPG Maker e
Steam. (Figura 4) Una differenza importante è che accetta anche
le carte PayPal my Cash assieme a BitCoin per il pagamento del
riscatto. Le carte PayPal my cash possono essere acquistate
presso popolari catene di negozi e ricaricate di denaro che può
essere successivamente trasferito in un conto PayPal utilizzando
il codice PIN della carta. Tuttavia, pagando con bitcoin si avrà
una spesa di 500 $, che è due volte più conveniente di PayPal. Il
motivo è l'elevato rischio che i guadagni illeciti possano essere
confiscati da PayPal. [8] Questo è uno dei ransomware per il
quale è stata rilasciata la chiave di decifrazione; infatti una
famosa società di sicurezza informatica (ESET), notando un calo
degli attacchi informatici da parte di Teslacrypt, si finse vittima
del virus chiedendo la chiave di decifrazione. A loro sorpresa gli
autori del virus acconsentirono alla richiesta e questo permise ai
ricercatori di improntare un software di decifrazione,
consentendo alle vittime del virus di tornare in possesso dei
propri dati. [9]25
Figura 4: La schermata principale del TeslaCrypt
• Locky è un tipo di ransomware che è stato rilasciato per la prima
volta in un attacco del 2016 da un gruppo organizzato di hacker.
Con la possibilità di crittografare oltre 160 tipi di file, Locky si
diffonde ingannando le vittime per installarlo tramite e-mail
false con allegati infetti. Questo metodo di trasmissione si
chiama phishing, una forma di ingegneria sociale. Locky prende
di mira una serie di tipi di file che vengono spesso utilizzati da
designer, sviluppatori, ingegneri e tester; [7]
• WannaCry è un attacco ransomware che si è diffuso in 150 paesi
nel 2017. Progettato per sfruttare una vulnerabilità in Windows,
è stato presumibilmente creato dalla National Security Agency
degli Stati Uniti e trapelato dal gruppo Shadow Brokers.
WannaCry ha interessato 230.000 computer in tutto il mondo.
L'attacco ha colpito un terzo dei fondi ospedalieri nel Regno
Unito, costando al servizio sanitario nazionale una stima di £ 92
milioni. Gli utenti sono stati bloccati ed è stato richiesto un
riscatto sotto forma di Bitcoin. L'attacco ha messo in luce l'uso
problematico di sistemi obsoleti, rendendo vulnerabile agli
attacchi il servizio sanitario vitale. L'impatto finanziario globale
di WannaCry è stato notevole: il crimine informatico ha causato
perdite finanziarie stimate per $ 4 miliardi in tutto il mondo; [7]26
• NotPetya: esplode in modo violento martedì 27 giugno 2017.
Sfrutta, come WannaCry, la vulnerabilità di Windows SMB e
l’exploit creato da Nsa (Eternalblue) per propagarsi nelle reti
aziendali. Il riscatto richiesto è di 300 USD, si diffonde
soprattutto in Ucraina, ma l’Italia risulta il secondo paese più
colpito. È ritenuto il più distruttivo cyberattacco mai compiuto e
sembra provenire dalla Russia. Vengono colpiti tra gli altri: il
colosso danese dei trasporti navali, Moller-Maersk, che dichiara
danni per 250-300 milioni di dollari, la Merck (settore
farmaceutico), che subisce interruzione delle operazioni a livello
mondiale, la Reckitt Benckiser che denuncia minori vendite per
circa 110 milioni di sterline; [6]
• Bad Rabbit è un attacco del 2017 che si è diffuso utilizzando un
metodo chiamato attacco "drive-by", in cui i siti Web non sicuri
vengono presi di mira e utilizzati per eseguire un attacco.
Durante un attacco ransomware drive-by, un utente visita un
sito Web legittimo, non sapendo di essere stato compromesso da
un hacker. Gli attacchi drive-by spesso non richiedono alcuna
azione da parte della vittima, oltre a navigare nella pagina
compromessa. Tuttavia, in questo caso, vengono infettati
quando fanno clic per installare qualcosa che è in realtà un
malware sotto mentite spoglie. Questo elemento è noto come
dropper malware. Bad Rabbit ha utilizzato una falsa richiesta
per installare Adobe Flash come dropper di malware per
diffondere la sua infezione; [7]
• PopCorn: Compare a fine 2016 ed ha una caratteristica che
dimostra l’evoluzione del “marketing” dei ransomware. In
pratica per riavere i propri file (la richiesta di riscatto è di 1
bitcoin e ci sono 6 giorni per pagare) viene “consigliato” di
inviare un link infetto ad altre persone: se almeno due
pagheranno, “tu riavrai i tuoi file gratis”. Una vera e propria
istigazione a delinquere! I cybercriminali si dichiarano “studenti27
siriani” e dicono di farlo per acquistare “cibo e medicine”
[6] (Figura 5)
Figura 5: La schermata principale del PopCorn28
2
DESCRIZIONE GIURIDICA DEL R ANSOMWARE
2.1 I V AR I TI P I DI R E A TI I N F O R M A TI C I
Che cosa si intende per reati informatici?
Si tratta di reati compiuti per mezzo o nei confronti di un sistema
informatico. L'illecito può consistere nel sottrarre o distruggere le
informazioni contenute nella memoria del personal computer. In altri
casi, invece, il computer concretizza lo strumento per la commissione
di reati, come nel caso di chi utilizzi le tecnologie informatiche per la
realizzazione di frodi. La prima normativa contro i cyber crimes è stata
introdotta dalla legge 547 del 1993, recante modificazioni ed
integrazioni alle norme del Codice penale e del Codice di procedura
penale in tema di criminalità informatica. [10]
Ecco la lista dei reati informatici puniti dal codice penale:
• Frode informatica
Disciplinata dall'articolo 640 ter c.p., la frode informatica consiste
nell'alterare un sistema informatico allo scopo di procurarsi un ingiusto
profitto. La pena è quella reclusione da sei mesi a tre anni e
della multa da 51 a 1.032 euro. [10]
Tra i reati compresi da questa categoria, il più diffuso e pericoloso è
sicuramente il phishing, ovvero l’appropriazione indebita, mediante
l’inganno, di credenziali di accesso e dati personali di un utente. [11]29
• Accesso abusivo a un sistema informatico o telematico
L’articolo 640 ter del codice penale rende perseguibili l’accesso abusivo
a un sistema informatico o telematico protetto da misure di sicurezza,
nonché il mantenimento in esso contro la volontà espressa o tacita di
chi ne ha diritto.
In questa categoria rientrano, ad esempio, gli accessi abusivi ai social
network o account di e-banking mediante le credenziali del
proprietario dell’account ma, ovviamente, a sua insaputa. Da notare
che il reato è commesso quando si esegue l’accesso, indipendentemente
dalle azioni successive, che possono comportare l’infrazione di altre
norme e, di conseguenza, altri reati informatici.
Vale la pena sottolineare che la Corte di Cassazione ha stabilito che per
dimostrare la sussistenza del reato può bastare l’identificazione
dell’indirizzo IP di chi ha eseguito l’accesso abusivo. [11]
• Detenzione e diffusione abusiva di codici di accesso a sistemi
informatici e telematici
Il reato di detenzione e diffusione abusiva di codici di accesso a
sistemi informatici e telematici (di cui all'articolo 615 quater c.p.) è
punito con la reclusione sino a un anno e con la multa sino a 5.164 euro
ed è commesso da chi -al fine di procurare a sé o ad altri un profitto o
di arrecare ad altri un danno- abusivamente si procura, riproduce,
diffonde, comunica o consegna codici, parole chiave o altri mezzi
idonei all'accesso ad un sistema informatico o telematico, protetto da
misure di sicurezza, o comunque fornisce indicazioni o istruzioni
idonee al predetto scopo.
Come ha chiarito il Giudice di ultima istanza, integra il reato di
detenzione e diffusione abusiva di codici di accesso a sistemi
informatici o telematici la condotta di chi riceve i codici di carte di30
credito abusivamente scaricati dal sistema informatico ad opera di terzi
e li inserisce in carte di credito clonate, poi utilizzate per il prelievo di
denaro contante attraverso il sistema bancomat. [10]
• Diffusione di apparecchiature, dispositivi o programmi informatici
diretti a danneggiare o interrompere un sistema
L'articolo 615 quinquies c.p. punisce - con la reclusione fino a due anni
e con la multa sino a euro 10.329 - la diffusione di apparecchiature,
dispositivi o programmi informatici diretti a danneggiare o
interrompere un sistema informatico o telematico. Il reato è
commesso da chi si procura, produce, riproduce, importa, diffonde,
comunica, consegna o, comunque, mette a disposizione di altri
apparecchiature, dispositivi o programmi informatici allo scopo di
danneggiare illecitamente un sistema informatico o telematico, le
informazioni, i dati o i programmi in esso contenuti o ad esso
pertinenti ovvero di favorire l'interruzione, totale o parziale, o
l'alterazione del suo funzionamento. [10]
• Intercettazione, impedimento o interruzione illecita di
comunicazioni
Inoltre, gli articoli 617 quater c.p e 617 quinquies c.p. sanzionano,
rispettivamente chi, senza essere autorizzato, intercetta, impedisce,
interrompe o rivela comunicazioni informatiche e colui che installa
apparecchiature dirette ad intercettare, interrompere o impedire
comunicazioni informatiche. Un chiaro esempio di questo tipo di
crimine informatico ai danni dell’utente finale è l’intercettazione dei
dati di navigazione mediante la connessione a una rete Wi-Fi. [11]
• Falsificazione, alterazione, soppressione di comunicazioni e
danneggiamento di sistemi
Viene sanzionato dal codice penale anche chi falsifica, altera o
sopprime o falsifica la comunicazione informatica acquisita mediante
l'intercettazione (articolo 617 sexies c.p.) e chi distrugge, deteriora,
cancella, dati, informazioni o programmi informatici (articolo 635 bis31
c.p.). E, con riguardo al reato di violazione e sottrazione di
corrispondenza, la legge n. 547/1993, nel novellare l'articolo 616 c.p.,
precisa che per "corrispondenza" si intende quella epistolare,
telegrafica, telefonica, informatica o telematica, ovvero effettuata con
ogni altra forma di comunicazione a distanza.
2.2 R E A TI L E G A TI AI R A N S O M W AR E
La diffusione di un ransomware integra diverse fattispecie di reato
sanzionate dal nostro ordinamento. Si noti che si tratta di reati dolosi,
pertanto, in assenza di rappresentazione e volontà, il fatto non
costituisce reato ed eventualmente si potrà valutare se sussiste una
responsabilità civile risarcitoria per i danni qualora l’autore sia
rimproverabile a titolo di colpa.
Le diverse fattispecie sono tutte contenute nel codice penale, che, a
partire dal 2008, grazie all’accresciuta sensibilità a riguardo del
legislatore, ha visto ampliarsi il catalogo di disposizioni specifiche per
il contrasto dei reati informatici, che altrimenti non avrebbero trovato
sanzione nella disciplina penale tradizionale.
La legge 18 marzo 2008 n. 48 (G. U. n. 80 del 4 aprile 2008, supplemento
ordinario n. 79) ha modificato il codice penale ed il codice di procedura
penale, ratificando e dando esecuzione alle norme previste dalla
Convenzione del Consiglio d’Europa sulla criminalità informatica, fatta
a Budapest il 23 novembre 2001. La disciplina previgente in materia era
stata introdotta nel codice penale dalla legge 547/1993 e puniva con
l’art. 635-bis il “Danneggiamento di sistemi informatici e telematici”.
Tale articolo è stato sostituito integralmente dalla l. 48/2008, la quale
ha, inoltre, introdotto o modificato, attraverso il comma 1 dell’art. 24-
bis d.lgs. 231/2001, ulteriori fattispecie:
• gli artt. 635-ter “Danneggiamento di informazioni, dati e
programmi informatici utilizzati dallo Stato o da altro ente
pubblico o comunque di pubblica utilità”, 635-quinquies
“Danneggiamento di sistemi informatici o telematici di pubblica
utilità”, con conseguente abrogazione dei simili commi 2 e 3
dell’art. 420;32
• l’art. 635-quater;
• l’art. 615-ter p. “Accesso abusivo ad un sistema informatico o
telematico”;
• l’art. 615-quinquies “Diffusione di programmi diretti a
danneggiare o interrompere un sistema informatico” che ora
contempla anche i dispositivi.
L’elemento che accomuna le fattispecie elencate è il “danneggiamento
di un sistema informatico”, vale a dire la realizzazione di una modifica
tale da impedire il funzionamento, anche solo parziale, dell’hardware o
del software. La sanzione pecuniaria è compresa tra cento a
cinquecento quote a cui si aggiungono le sanzioni interdittive previste
dall’art. 9, comma 2, lett. a), b) ed e).
L’ampio ventaglio di fattispecie a cui si può fare riferimento nel caso
specifico, non comprende soltanto quelle recentemente introdotte.
Si possono ravvisare connessioni con:
• l’art. 615-ter c.p. sopra citato, che comporta la reclusione fino a 3
anni ed è procedibile per querela di parte;
• l’art. 615-quater c.p. – che non ha subito modifiche da parte della
legge 48 – in merito alla detenzione e diffusione abusiva di codici
di accesso a sistemi informatici o telematici;
• l’art. 615-quinques c.p. sopra citato, norma che, a differenza delle
precedenti, punisce l’agente, cioè colui che direttamente pone in
essere la condotta criminosa di introdursi abusivamente all’interno
di un sistema di un terzo senza il suo consenso, e tutti coloro che
agevolino questa condotta, fornendo all’agente criminale degli
strumenti particolari che gli consentano di porre in essere il suo
disegno criminoso. Si tratta di un reato di pericolo quindi per
integrare il reato non è richiesto che si verifichi il danneggiamento
o l’interruzione, essendo sufficiente la mera elaborazione di un
sistema, apparecchiatura o programma idoneo a creare il rischio di
un danneggiamento. Si è puniti con la reclusione fino a due anni e
la multa fino a 10329 euro;
• l’art. 635-bis c.p. sopra citato, il quale prevede espressamente che,
salvo che il fatto costituisca più grave reato, chiunque distrugge,
deteriora, cancella, altera o sopprime informazioni, dati o
programmi informatici altrui è punito con la reclusione da sei mesi
a tre anni (pena base), a querela della persona offesa. Si deve
precisare che per giurisprudenza ormai costante (Cassazione n.
8555/2012) l’ipotesi dei ransomware e affini è ricondotta alla
“soppressione” prevista dalla norma che ricomprende sia i fatti che33
provocano una eliminazione definitiva dei dati e che ne fanno
venir meno la possibilità di recupero su computer, sia la
temporanea impossibilità di accedervi e disporne;
• Nell’ipotesi in cui il ransomware comprometta i sistemi informatici
di una Pubblica Amministrazione, causando una parziale o totale
interruzione del servizio pubblico, si integrerebbe addirittura la
fattispecie aggravata del reato ex 615 ter c.p., procedibile
d’ufficio. In tal caso, si potrebbe ritenere sussistere in capo
all’incaricato del pubblico servizio un vero e proprio obbligo
giuridico di denunciare il fatto alle autorità, desumibile dall’art.
362 c.p. “Omessa denuncia da parte di un incaricato di pubblico
servizio”;
• l’art 640-terp. “Frode informatica”, che prevede che chiunque,
alterando in qualsiasi modo il funzionamento di un sistema
informatico o telematico, o intervenendo senza diritto con qualsiasi
modalità su dati, informazioni o programmi contenuti in un
sistema informatico o telematico, procura a sé o ad altri un ingiusto
profitto con altrui danno, è punito con la reclusione da sei mesi a
tre anni e con la multa da 51 a 1032 euro;
• l’art 629 “Estorsione”, fattispecie di ambito generico e preesistente
all’introduzione dei reati informatici, punita con la reclusione da
cinque a dieci anni e con la multa da 1000 a 4000 euro.” Si tratta,
inoltre, di un reato perseguibile d’ufficio ex art. 50 c.p.p.;
• Infine, l’art 648 bis c.p. “Riciclaggio”, fuori dei casi di concorso nel
reato, in caso di sostituzione o trasferimento dei proventi del
delitto, in modo da ostacolare l’identificazione. La pena prevista è
la reclusione da quattro a dodici anni e la multa da 1032 euro a
15493 euro. Si precisa che la Banca d’Italia con Comunicazione del
30 gennaio 2015 ha escluso l’applicabilità della normativa
antiriciclaggio agli Exchange, intermediari che mettono in contatto
chi vuole vendere con chi vuole comprare bitcoin. [13]
2.3 P AG A M EN T O DE L R I S C A T T O , P EN E E C O N S EG U EN Z E34
Se si guarda ai ransomware da un punto di vista giuridico, è facile e
immediato, (come visto nel 3.2) ricondurre questa tipologia di malware
sotto la categoria dell’estorsione trattata dall’articolo 629 c.p.:
“Chiunque, mediante violenza o minaccia, costringendo taluno a fare o
ad omettere qualche cosa, procura a sé o ad altri un ingiusto profitto
con altrui danno, è punito con la reclusione da cinque a dieci anni e con
la multa da euro 1.000 a euro 4.000.”
Il comportamento di colui che chiede un riscatto in denaro tramite
ransomware, infatti, integra l’ipotesi della minaccia e, in caso di
pagamento, procura a sé stesso un profitto ingiusto; in entrambe le
ipotesi causa sicuramente anche un danno a chi si vede impedito
l’utilizzo del proprio pc e, nel peggiore dei casi, la cancellazione dei
dati personali.
La questione viene trattata più da vicino da un’altra norma del codice
penale, ovvero l’art. 615-ter.: “Chiunque abusivamente si introduce in
un sistema informatico o telematico protetto da misure di sicurezza
ovvero vi si mantiene contro la volontà espressa o tacita di chi ha il
diritto di escluderlo, è punito con la reclusione fino a tre anni.”
Più specificatamente, il comma 3 indica che: “La pena è della reclusione
da uno a cinque anni, se dal fatto deriva la distruzione o il
danneggiamento del sistema o l’interruzione totale o parziale del suo
funzionamento, ovvero la distruzione o il danneggiamento dei dati,
delle informazioni o dei programmi in esso contenuti”. Questo concetto
è inoltre ribadito anche dall’art. 635-bis c.p. “danneggiamento di
sistemi informatici e telematici”. [12]
Risulta chiaro quindi che sicuramente è sanzionabile il comportamento
di colui che mette in atto il ricatto.
C’è da chiedersi, però, se coloro che subiscono il fatto e decidano di
pagare il riscatto possano incorrere nel reato di favoreggiamento
descritto dall’art. 379 c.p.
Se è vero che il testo della legge mira a punire “Chiunque aiuti taluno
ad assicurare il prodotto o il profitto o il prezzo di un reato” non
esistono precedenti giurisprudenziali che condannino la vittima di un
reato di estorsione o la vittima di un ransomware.
Vanno però distinti i casi in cui la vittima è un privato da quelli in cui è
un’azienda o un ente pubblico.35 Nel caso in cui colui che subisce il ricatto è un privato cittadino, la vittima è da ritenersi in ogni caso parte offesa, anche quando decide di pagare il riscatto, per cui non commette reato di favoreggiamento chi paga l’autore di un ransomware per ottenere lo sblocco del proprio computer; inoltre, questo è un reato a querela di parte, quindi se la vittima non denuncia il fatto, la giustizia non può intervenire, nemmeno se ne viene a conoscenza. Nel caso l’attacco informatico a scopo di estorsione sia invece subito da un ente pubblico, la posizione è meno semplice rispetto a quella del privato cittadino sotto diversi profili. Innanzitutto l’ente ha l’obbligo di denunciare l’accaduto ex art. 615-ter derivandone una responsabilità dell’ente in caso contrario. Se poi l’ente effettua il pagamento servendosi della sua disponibilità, il funzionario a cui il pagamento può essere ricondotto rischia di incorrere in una responsabilità personale per danno all’erario. Quest’ultima ipotesi si realizza nel caso in cui questi non riesca a dimostrare che il danno procurato all’Amministrazione con la sua condotta sia stato comunque minore rispetto a quello che l’ente avrebbe subito dalla perdita dei dati (come stabilito nell’ordinanza della Cassazione a Sezioni Unite n° 4511 del 2006). Diverso il discorso nel caso in cui a subire l’attacco sia invece un’azienda. Se il pagamento di un riscatto viene effettuato a vantaggio e nell’interesse dell’ente, in base al D.lgs. 231/2001 potrebbe costituire i reati presupposto previsti dall’art. 25-ter del decreto stesso: nel caso in cui venga costituita una provvista per il pagamento si potrebbero configurare I reati di false comunicazioni sociali, ostacolo all’esercizio delle funzioni dell’autorità di vigilanza e impedito controllo. Potrebbe altresì costituirsi l’ipotesi prevista all’art. 25-octes (autoriciclaggio) nel caso in cui il pagamento provenisse da un ulteriore illecito. Oltre ai reati espressamente previsti dal decreto “Responsabilità amministrativa delle società e degli enti”, bisogna anche sottolineare che il pagamento di un riscatto comporta in ogni caso una condotta che viola i valori, i principi e gli ideali di comportamento dichiarati dal Codice etico, il quale rappresenta una promessa al pubblico come indicato nell’articolo 1989 c.c., condotta che potrebbe essere considerata anche presupposto del reato di finanziamento della criminalità organizzata.
36
Riassumendo, il pagamento del riscatto di un ransomware non crea
alcun problema legale nel caso in cui la vittima colpita dal virus sia un
privato cittadino che vuole salvare i propri dati personali; problemi
legali potrebbero invece avere enti pubblici e aziende in quanto il
pagamento all’autore del virus è una condotta capace di integrare
diversi reati. [12]Puoi anche leggere
