La dinamica di un attacco ransomware è ormai nota: sfruttando il social engineering o una vulnerabilità, il malware si infiltra all’interno della rete presa di mira. A quel punto, ha inizio la codifica dei dati, spesso accompagnata dall’esfiltrazione di quelli più sensibili o di valore. Al termine del processo, ci si ritrova con sistemi crittografati e inutilizzabili da una parte, e informazioni “pericolose” nelle mani di criminali informatici dall’altra. Non difendersi dai ransomware si traduce quindi in una scelta tra tre opzioni: pagamento del riscatto, ripristino dei backup o perdita definitiva dei dati.
Ransomware, difendersi per evitare danni indiretti
Per scongiurare le ultime due ipotesi, che non porterebbero denaro in cassa, i criminali informatici sfruttano proprio i dati esfiltrati, utilizzandoli come moneta di scambio. In sintesi: anche nel caso in cui si potesse contare su un buon sistema di backup, in molti casi si è costretti a cedere al riscatto per evitare che i dati vengano resi di pubblico dominio, o venduti nel Dark Web. È per questo che i ransomware, oggi più che mai, sono una minaccia da prevenire, più che da risolvere.
Ci sono tuttavia alcuni aspetti, meno noti, che dovrebbero fare drizzare ancor più le antenne per le conseguenze di un simile attacco. Si tratta del danno indiretto.
Richiesta di riscatto: cosa dice la legge
Il danno indiretto, quando si parla di ransomware, assume molteplici significati tra cui quello primario è relativo proprio al pagamento del riscatto. Come anticipato, il pagamento del riscatto rappresenta, per vari motivi, una delle “soluzioni” più immediate per risolvere un attacco di questo tipo.
Dal punto di vista legale, ovviamente, la richiesta di riscatto da ransomware si configura come una vera e propria estorsione, regolata dall’Art. 629 del Codice Penale. A ciò si affianca il reato di intrusione informatica, trattato dall’Art. 615-ter. Meno chiara la situazione per quanto riguarda la vittima.
Responsabilità e attenuanti legali per le vittime: una zona grigia
Una vittima, infatti, oltre al danno rischia anche la beffa e il campo dei ransomware è fin troppo recente, e ancora molto oscuro, per stabilire con sicurezza responsabilità e attenuanti legali per le vittime. E così ci si muove in una zona grigia molto pericolosa. Da una parte, infatti, c’è la certezza che il privato cittadino non incorre in reati di sorta nel caso in cui decidesse di pagare il riscatto. Dall’altra, invece, c’è la situazione complessa di aziende e pubbliche amministrazioni.
Enti pubblici sotto scacco: il danno all’erario
Gli enti pubblici, infatti, devono innanzitutto denunciare subito l’attacco. Se poi si decide di pagare, il funzionario responsabile fisicamente del pagamento può incorrere in una responsabilità penale per danno all’erario, soprattutto nel caso in cui non fosse possibile dimostrare che il pagamento del riscatto ha scongiurato una perdita economica di entità maggiore. Per un’azienda privata il tema diventa ancora più complesso.
Le conseguenze legali per le imprese
Per esempio, nel caso in cui il pagamento del riscatto richieda la creazione di un apposito fondo, si potrebbero configurare diversi reati, come l’impedito controllo e le false comunicazioni sociali. E poi, in base alle situazioni, si potrebbe arrivare fino al reato di finanziamento della criminalità organizzata.
Le eventuali conseguenze legali, unite ai gravissimi danni d’immagine subiti da chi è vittima di un attacco ransomware, portano a una sola conclusione per chiunque voglia adottare serie strategie per difendersi dai ransomware: puntare sulla prevenzione. Puntarci, però, in modo strutturato e organico a partire da campagne di awareness dedicate a tutti i dipendenti, per arrivare, se necessario, alla riprogettazione dell’architettura di rete per fare in modo, banalmente, che i sistemi di backup siano ben isolati e protetti dalle altre risorse.
I ransomware sono una minaccia articolata, capace di sfruttare più vettori di attacco e diverse tecnologie di diffusione e criptazione. E, proprio per questo, è una minaccia che occorre combattere in modo altrettanto organizzato. Un obiettivo non facile, tanto che diventa essenziale scegliere un partner affidabile, pronto ad accettare la sfida contro un avversario più agguerrito che mai.
