Magari li avete sempre presi alla leggera, ma tutti i virus e in particolare i più recenti Ransomware, che rubano i vostri dati e vi chiedono un riscatto, violano la legge. Vediamo insieme come comportarsi, per capire anche se e quando bisogna sporgere denuncia.

Come tecnici, esperti, manager IT o consulenti magari avete spesso dato consigli a colleghi, amici, clienti, affrontando le questioni legali legate al mondo informatico con un approccio pratico o comunque di buon senso. Purtroppo non è detto che questa sia la strada migliore da percorrere, perlomeno per evitare rischi, danni o ripercussioni sulla vostra attività.

Tutti i malware – ovvero i software dannosi che si infiltrano nei computer o nei sistemi informatici per rubare informazioni, aprire le porte a controlli remoti o altri pericoli, piuttosto che cifrare dati ai fini di estorsione – violano chiaramente l’ordinamento giuridico italiano e chi li diffonde commette un reato, sanzionato dal nostro codice penale. In particolare, si verifica non solo un accesso abusivo ad un sistema informatico o telematico (ex art.615 ter c.p.), ma la diffusione di dispositivi o programmi, con il dolo specifico (insomma consapevolmente, )di danneggiare, interrompere o alterare un sistema informatico o telematico, si può essere di fronte all’ipotesi criminosa dell’art.615 quinquies c.p. Se si verifica anche il “danneggiamento di informazioni, dati e programmi informatici”, il reato è punito (dall’art.635bis c.p.) con la pena base della reclusione da 6 mesi a 3 anni, a querela da presentare, a norma dell’art.124 c.p., entro tre mesi dalla notizia del fatto di reato (pena l’improcedibilità dell’azione penale).

Le cose peggiorano quando si parla delle recenti minacce portate dai Ransomware, i virus che cifrano i file e chiedono un “riscatto” (ransom) per avere la chiave dei file criptati. In questi casi ci si potrebbe trovare di fronte al delitto, non specifico del mondo informatico, di estorsione, punito dall’art.629 c.p., anche in aderenza con l’indicazione data in merito dal Ministero della Giustizia. Il reato di estorsione viene commesso da “Chiunque, mediante violenza o minaccia, costringendo taluno a fare o ad omettere qualche cosa, procura a sé o ad altri un ingiusto profitto con altrui danno”. Da questo, discenderebbe l’applicazione, a carico dei responsabili, di pene ben più severe (pena base della reclusione da 5 a 10 anni e multa da euro 1.000 a 4.000), oltreché la perseguibilità d’ufficio del reato. E ancora, dal trasferimento del denaro proveniente dal pagamento del “riscatto”, il reato di riciclaggio ex art.648 bis c.p. a carico di chi ha ricevuto e “riciclato” il denaro.

Come comportarsi allora quando si rimane vittime di un malware o ransomware?

 

Per combattere il fenomeno dei malware, occorre sicuramente reagire presentando querela (presumibilmente contro ignoti) alla Polizia Postale, entro tre mesi dalla notizia del fatto (nel dubbio che la fattispecie non venga inquadrata tra quelle punibili d’ufficio: comunque, si potrà presentare denuncia, utile per consentire che l’Autorità ne venga a conoscenza e proceda). Si presti attenzione che sono reati dolosi: non vi è l’ipotesi criminosa se la diffusione del malware non è avvenuta per colpa (in tale caso, si potrà valutarese vi è stato un comportamento colposo in capo al responsabile - individuato - e, dunque, una responsabilità civile risarcitoria per i danni).

Restano, poi, diversi problemi, innanzitutto l’individuazione e punizione dei responsabili: ad esempio nel caso di Ransomware, anche se c’è una transazione finanziaria di mezzo, non risulta al momento possibile tracciarne la provenienza, a causa dei meccanismi di funzionamento di Bitcoin, la moneta con cui usualmente viene chiesto il pagamento del riscatto. Fortunatamente non è sempre vero che questi reati restano impuniti: risale ad alcuni mesi fa la notizia dell’individuazione di alcuni responsabili della diffusione di “Cryptolocker”, all’esito di un’operazione della Polizia di Stato di Trieste denominata “Cryptowash”, partita grazie alla denuncia di una società attaccata dal virus.

Nel valutare se sporgere querela o fare denuncia è però importante effettuare anche un esame preventivo della propria situazione. Si deve avere ad esempio rispettato tutta la normativa vigente in materia, ad esempio in tema di backup, disaster recovery, adozione di misure di sicurezza, previste dalla normativa di settore, in particolare dal d.lgs.196/2003 (c.d. Codice della Privacy). In caso contrario, il rischio è di divenire destinatari di provvedimenti sanzionatori, amministrativi o anche penali.

Quanto al pagamento del “riscatto”, nel caso di Ransomware, oltre alla ovvia considerazione che non è assicurato che i malviventi vi mandino le chiavi dopo il pagamento, resta il problema della condotta da tenere per non incorrere in prima persona nella violazione della legge. L’indicazione doverosa, in via generale, è quella di non pagare il riscatto, sfruttando i backup per recuperare i dati (verrebbe da dire, semplificando, che prevenire è meglio che curare…). D’altra parte, se è vero che nel nostro ordinamento non esiste, salvo casi particolari, un obbligo per il privato di denunciare i reati di cui è vittima, è tuttavia vero che può ritenersi tenere una condotta illegittima chi favorisce la commissione di un reato, in qualche modo finanziando i criminali che lo commettono. In fondo, si ricordi che chi “aiuta taluno ad assicurare il prodotto o il profitto o il prezzo di un reato” può commettere il reato di favoreggiamento. Peraltro, nel caso di aziende, dovrebbero essere oggetto di approfondimento le implicazioni del problema in relazione al d.lgs.231/2001, anche rispetto alla valutazione del pagamento del riscatto con risorse aziendali, ed alla possibile imputabilità della società stessa per responsabilità per illecito da reato ai sensi di tale normativa (quale “finanziamento della criminalità”).

Il fenomeno è, purtroppo, in costante evoluzione e necessita, al di là di questo primo quadro generale di varie problematiche, di un continuo approfondimento.

L'autore

Veronica Morlacchi

Laureata a pieni voti in giurisprudenza, è Avvocato Cassazionista, iscritta all’Albo degli Avvocati di Busto Arsizio dal 2004 e all’Albo degli Avvocati abilitati al Patrocinio davanti alla Corte di Cassazione e alle altre Giurisdizioni superiori. Si occupa principalmente, nell’interesse di Privati, Professionisti, Aziende ed Enti pubblici, di diritto civile, in particolare responsabilità civile e risarcimento danni, diritto delle nuove tecnologie e privacy, contratti, persone e famiglia. Ha conseguito un master in Responsabilità civile e un corso di perfezionamento in Tecniche di redazione dei contratti e, da ultimo, si è perfezionata in Data Protection e Data Governance all'Università degli Studi di Milano e in Strategie avanzate di applicazione del GDPR. Pubblica periodici aggiornamenti e articoli nelle materie di cui si occupa sul suo sito www.studioavvmorlacchi.it e da giugno 2016 collabora con Guru Advisor

banner5

fb icon evo twitter icon evo

Parola del giorno

L'acronimo SoC  (System on a Chip) nasce per descrivere quei circuiti integrati che, all'interno di un singolo chip fisico, contengono un...

>

YAML è un formato utilizzato per serializzare (ovvero salvare oggetti su supporti di memoria ad accesso seriale) dati, in modo...

>

Il termine Edge Computing descrive, all'interno di infrastrutture cloud-based, l'insieme di dispositivi e di tecnologie che permettono l'elaborazione dei dati ai...

>

L'acronimo FPGA  (Field Programmable Gate Array), descrive quei dispositivi hardware formati da un circuito integrato e con funzionalità programmabili tramite...

>

Il termine Agentless (computing) descrive operazioni dove non è necessaria la presenza e l'esecuzione di un servizio software (demone o...

>
Leggi anche le altre...

Download del giorno

Fiddler

Fiddler è un server proxy che può girare in locale per consentire il debug delle applicazioni e il...

>

Adapter Watch

Adapter Watch è uno strumento che permette di visualizzare un riepilogo completo e dettagliato delle informazioni riguardanti una determinata...

>

DNS DataView

DNS Lookup  è un tool a interfaccia grafica per effettuare il lookup DNS dal proprio PC, sfruttando i...

>

SolarWinds Traceroute NG

SolarWinds Traceroute NG è un tool a linea di comando per effettuare traceroute avanzati in ambiente Windows...

>

Network Inventory Advisor

Network Inventory Advisor  è uno strumento che permette di scansionare la rete e acquisire informazioni riguardanti tutti i...

>
Tutti i Download del giorno...

Archivio numeri

  • GURU advisor: numero 21 - maggio 2019

    GURU advisor: numero 21 - maggio 2019

  • GURU advisor: numero 20 - dicembre 2018

    GURU advisor: numero 20 - dicembre 2018

  • GURU advisor: numero 19 - luglio 2018

    GURU advisor: numero 19 - luglio 2018

  • GURU advisor: numero 18 - aprile 2018

    GURU advisor: numero 18 - aprile 2018

  • GURU advisor: numero 17 - gennaio 2018

    GURU advisor: numero 17 - gennaio 2018

  • GURU advisor: numero 16 - ottobre 2017

    GURU advisor: numero 16 - ottobre 2017

  • GURU advisor: numero 15 - luglio 2017

    GURU advisor: numero 15 - luglio 2017

  • GURU advisor: numero 14 - maggio 2017

    GURU advisor: numero 14 - maggio 2017

  • 1
  • 2
  • 3
  • Teslacrypt: rilasciata la chiave

    Gli sviluppatori del temuto ransomware TeslaCrypt hanno deciso di terminare il progetto di diffusione e sviluppo e consegnare al pubblico la chiave universale per decifrare i file. Read More
  • Proxmox 4.1 sfida vSphere

    Proxmox VE (da qui in avanti semplicemente Proxmox) è basato sul sistema operativo Debian e porta con sé vantaggi e svantaggi di questa nota distribuzione Linux: un sistema operativo stabile, sicuro, diffuso e ben collaudato. Read More
  • Malware: risvolti legali

    tutti i virus e in particolare i più recenti Ransomware, che rubano i vostri dati e vi chiedono un riscatto, violano la legge. Vediamo insieme come comportarsi, per capire anche se e quando bisogna sporgere denuncia. Read More
  • 1