Recentemente abbiamo dedicato una puntata del podcast di RadioAchab al tema CryptoLocker, ospite della puntata era l’avvocato Alessandra Bisi, dello studio Bisi-Stella. In questo post vogliamo quindi affrontare l’argomento CryptoLocker dal punto di vista legale, riportando le risposte dell’avvocato.
 

 
CryptoLocker è quel virus o malware che mediante algoritmi di crittografia cifra i dati rendendoli inaccessibili a chi vi dovrebbe accedere. Per poter riguadagnare l'accesso ai propri dati cifrati, bisogna pagare un riscatto alle organizzazioni criminali che hanno sviluppato questi malware. Noi consigliamo di non pagare il riscatto e di prevenire il problema, ma nel caso si decidesse di pagare il riscatto di solito si effettua con cyber monete quali bitcoin o moneypak.

Usare il termine “riscatto” è adeguato?

Da un punto di vista giuridico non è adeguato, ma da un punto di vista pratico lo è.
Ovviamente le norme di solito utilizzano un linguaggio più ampio per consentire di comprendere tutte le varie fattispecie possibili, però in modo non tecnico possiamo parlare di riscatto.
Proprio in ragione di queste problematiche che attengono al campo informatico gli ordinamenti si sono adottati di normative specifiche per punire questi reati, che per la loro peculiarità ovviamente non potevano trovare adeguata sanzione nel codice penale tradizionale.
Quindi in particolar modo lo stato italiano ha introdotto una serie di reati per punire il cybercrime che sinteticamente sono questi:
  •  Articolo 615 ter. del codice penale che parla di accesso abusivo a un sistema informatico o telematico, quindi si parla di una persona che abusivamente, si introduce in un sistema informatico o telematico che sia protetto da misure di sicurezza e vi si mantiene contro la volontà espressa o tacita di chi ha il diritto di escluderlo. Questa è una norma, prevede anche una sanzione, la sanzione è la reclusione fino a tre anni. Si tratta di  un reato che è punito a querela di parte, ciò significa che la persona che è stata danneggiata, che ha subito l'introduzione abusiva nel proprio sistema informatico da parte di un altro, deve farsi parte diligente e andare presso gli organismi competenti, in particolar modo la polizia postale, per sporgere una querela, quindi chiedere la punizione della persona che ha commesso questo reato ai suoi danni.
  • Vi sono delle altre fattispecie come la detenzione e diffusione abusiva dei codici di accesso ai sistemi informatici, o la diffusione di apparecchiature e dispositivi o programmi informatici atti a danneggiare, a interrompere, un sistema informatico e telematico. La norma giustamente punisce non soltanto l'agente, cioè colui che direttamente pone in essere una condotta criminosa di introdursi abusivamente all'interno di un sistema di un terzo senza il suo consenso, ma anche tutti coloro che agevolino questa condotta, fornendo all'agente criminale degli strumenti particolari che gli consentano di porre in essere il suo disegno criminoso, quindi, per un po' rendere più semplice e rendere in modo esemplificativo la problematica, in questo caso non si punisce soltanto la persona che dovesse utilizzare una pistola per sparare ma anche il venditore che dovesse vendere all'assassino la pistola.
  • Articolo 635 bis del codice penale, prevede espressamente che, salvo che il fatto costituisca più grave reato, cioè con riserva che la fattispecie penale possa essere sanzionata in modo più grave perché riconducibile ad un'altra norma del codice penale, chiunque distrugge, deteriora, cancella, altera o sopprime informazioni, dati o programmi informatici altrui è punito sempre a querela della persona offesa, quindi sempre con la necessità che la persona che sia stata danneggiata si rechi alla polizia postale per sporgere querela, con una reclusione da sei mesi a tre anni. Nel caso di CryptoLocker, cioè rendere inaccessibili i dati informatici, è per giurisprudenza ormai costante e ricondotta all'ipotesi della soppressione prevista dalla norma perché la soppressione abbraccia, secondo la giurisprudenza, oltre i fatti che cagionano una eliminazione definitiva dei dati e che ne fanno venir meno la possibilità di recupero su computer, anche quelli che impediscono seppur temporaneamente, al legittimo titolare di accedervi e disporne.
 
È quindi proprio il caso dei CryptoLocker che si configura come “soppressione” di informazioni, anche se per tecnici IT è incomprensibile.
 
Sempre in un'ottica di un inquadramento giuridico, ritengo che si profilano pertinenti alla fattispecie che stiamo trattando anche la cosiddetta frode informatica che è prevista espressamente dall'articolo 640 ter. del codice penale che prevede che chiunque alterando in qualsiasi modo il funzionamento di un sistema informatico o telematico, o intervenendo senza diritto con qualsiasi modalità su dati, informazioni o programmi contenuti in un sistema informatico o telematico, procura a se o ad altri un ingiusto profitto con altrui danno è punito sempre con la reclusione da sei mesi a tre anni.

Questo elemento ulteriore che è previsto dalla frode informatica è quello dell'elemento in base al quale l'agente criminale procura a se o ad altri un ingiusto profitto con l'altrui danno, che in questo caso si configurerebbe nel pagamento del riscatto. Cioè la determinazione della persona danneggiata di versare una somma di denaro che non è dovuta al criminale, per poter sbloccare i propri dati.

Le pene sono tutte al massimo di tre anni, non sembrano molto pesanti.

Questo è quello che ha previsto il nostro legislatore nel momento in cui ha sanzionato proprio i crimini informatici.

C'è una fattispecie che prevede una pena molto più grave che però esula dal mondo informatico, nel senso che è preesistente all'introduzione di questi reati informatici nell'ambito del codice penale, che è il delitto di estorsione previsto dall'articolo 629 del codice penale il quale prevede: chiunque mediante violenza o minaccia costringa taluno a fare o ad omettere qualche cosa procurando a se o ad altri un ingiusto profitto con l'altrui danno, è punito con la reclusione da cinque a dieci anni.


Mediante violenza o minaccia… cioè lo possiamo assimilare al caso specifico di CryptoLocker?

Si, è vero che la violenza non necessariamente deve essere una violenza fisica, è possibile anche una violenza di natura psicologica come potrebbe essere questa, o la minaccia, in questo caso, la minaccia di non poter rientrare più in possesso nella disponibilità dei propri dati.

Se un utente prende il virus CryptoLocker e ha tutti i dati crittografati e non può accedervi, quale è la prima cosa da fare?
 
Io sono un avvocato, quindi la prima cosa che farei è sporgere una querela, una denuncia alla polizia postale. So bene che questi criminali non sono facilmente identificabili. Immagino che in alcuni casi sia veramente impossibile identificarli.
Mi auguro però che il sistema possa a un certo punto, sulla base della raccolta dei dati di tutte le persone danneggiate e quindi facendo convergere tutte le denunce presso gli organi preposti che hanno, o dovrebbero avere quanto meno, strumenti più sofisticati per sconfiggere questo crimine, consenta l'affinamento di sistemi investigativi atti a reprimere il crimine.

Quindi il consiglio di avvocato e di cittadino italiano è sporgere querela contro ignoti.

 Sì.

Anche se sappiamo che non ci sarà un effetto diretto ma costituisce massa critica presso chi è chiamato a occuparsi di questo.

Altrimenti non emergerebbe neanche a livello statistico la segnalazione di un problema, che invece è un problema molto reale e molto diffuso.

 
L’utente quindi procede con la querela, dopodiché decide se pagare il riscatto o meno. Il nostro consiglio è comunque quello di non pagare, ma nel caso decidesse di pagare il riscatto, si passa dalla parte del torto?

Riterrei sinceramente di no. Nell'estorsione la vittima resta vittima, e quindi ci sarebbero anche dei profili che, sui quali adesso non ritengo opportuno addentrarmi, come lo stato di necessità che rappresenterebbero comunque delle esimenti tecnicamente, all'eventuale profilo penale per la vittima, per cui ritengo che la vittima che paga il prezzo richiesto dal criminale non incorra in alcun profilo penale.


Questo c'entra con l'aver o non l'aver sporto querela, c'è una correlazione tra i due eventi o sono totalmente indipendenti?

No, direi che sono totalmente indipendenti, anche perché la norma penale distingue i delitti in due grandi profili: quelli perseguibili solo su querela di parte, quindi rimettendo al danneggiato la valutazione di decidere se attivare o meno il percorso giudiziario per la punizione del reo; e quelli invece perseguibili d'ufficio. Siccome tutti questi reati che abbiamo indicato adesso, dei crimini informatici, sono reati perseguibili solo a querela di parte, il fatto stesso che lo Stato rimetta al singolo la valutazione di scegliere se chiedere la punizione o meno del reo, fa sì che a mio avviso non debba essere messo in correlazione con il pagamento del riscatto.


 
Conclusioni
Abbiamo coperto, anche se in maniera, ovviamente e inevitabilmente superficiale, il reato commesso da chi gestisce CryptoLocker e abbiamo dato qualche consiglio a chi dovesse purtroppo esserne vittima.
Le cose da fare nel caso in cui si sia vittima di CryptoLocker sono per prima cosa sporgere querela e poi decidere se pagare il riscatto o meno. Nel caso in cui si decida di pagarlo, anche se noi lo sconsigliamo, non si diventa perseguibili in alcun modo.


Clicca qui per ascoltare in podcast queste informazioni.

Condividi sui Social Network