CryptoLocker

Pagare il riscatto per CryptoLocker è lecito o si commette reato?

16 Febbraio 2016

Recentemente abbiamo dedicato una puntata del podcast di RadioAchab al tema CryptoLocker, ospite della puntata era l’avvocato Alessandra Bisi, dello studio Bisi-Stella. In questo post vogliamo quindi affrontare l’argomento CryptoLocker dal punto di vista legale, riportando le risposte dell’avvocato.
 


 

CryptoLocker è quel virus o malware che mediante algoritmi di crittografia cifra i dati rendendoli inaccessibili a chi vi dovrebbe accedere. Per poter riguadagnare l'accesso ai propri dati cifrati, bisogna pagare un riscatto alle organizzazioni criminali che hanno sviluppato questi malware. Noi consigliamo di non pagare il riscatto e di prevenire il problema, ma nel caso si decidesse di pagare il riscatto di solito si effettua con cyber monete quali bitcoin o moneypak.

Usare il termine “riscatto” è adeguato?

Da un punto di vista giuridico non è adeguato, ma da un punto di vista pratico lo è.
Ovviamente le norme di solito utilizzano un linguaggio più ampio per consentire di comprendere tutte le varie fattispecie possibili, però in modo non tecnico possiamo parlare di riscatto.
Proprio in ragione di queste problematiche che attengono al campo informatico gli ordinamenti si sono adottati di normative specifiche per punire questi reati, che per la loro peculiarità ovviamente non potevano trovare adeguata sanzione nel codice penale tradizionale.
Quindi in particolar modo lo stato italiano ha introdotto una serie di reati per punire il cybercrime che sinteticamente sono questi:

  •  Articolo 615 ter. del codice penale che parla di accesso abusivo a un sistema informatico o telematico, quindi si parla di una persona che abusivamente, si introduce in un sistema informatico o telematico che sia protetto da misure di sicurezza e vi si mantiene contro la volontà espressa o tacita di chi ha il diritto di escluderlo. Questa è una norma, prevede anche una sanzione, la sanzione è la reclusione fino a tre anni. Si tratta di  un reato che è punito a querela di parte, ciò significa che la persona che è stata danneggiata, che ha subito l'introduzione abusiva nel proprio sistema informatico da parte di un altro, deve farsi parte diligente e andare presso gli organismi competenti, in particolar modo la polizia postale, per sporgere una querela, quindi chiedere la punizione della persona che ha commesso questo reato ai suoi danni.
  • Vi sono delle altre fattispecie come la detenzione e diffusione abusiva dei codici di accesso ai sistemi informatici, o la diffusione di apparecchiature e dispositivi o programmi informatici atti a danneggiare, a interrompere, un sistema informatico e telematico. La norma giustamente punisce non soltanto l'agente, cioè colui che direttamente pone in essere una condotta criminosa di introdursi abusivamente all'interno di un sistema di un terzo senza il suo consenso, ma anche tutti coloro che agevolino questa condotta, fornendo all'agente criminale degli strumenti particolari che gli consentano di porre in essere il suo disegno criminoso, quindi, per un po' rendere più semplice e rendere in modo esemplificativo la problematica, in questo caso non si punisce soltanto la persona che dovesse utilizzare una pistola per sparare ma anche il venditore che dovesse vendere all'assassino la pistola.
  • Articolo 635 bis del codice penale, prevede espressamente che, salvo che il fatto costituisca più grave reato, cioè con riserva che la fattispecie penale possa essere sanzionata in modo più grave perché riconducibile ad un'altra norma del codice penale, chiunque distrugge, deteriora, cancella, altera o sopprime informazioni, dati o programmi informatici altrui è punito sempre a querela della persona offesa, quindi sempre con la necessità che la persona che sia stata danneggiata si rechi alla polizia postale per sporgere querela, con una reclusione da sei mesi a tre anni. Nel caso di CryptoLocker, cioè rendere inaccessibili i dati informatici, è per giurisprudenza ormai costante e ricondotta all'ipotesi della soppressione prevista dalla norma perché la soppressione abbraccia, secondo la giurisprudenza, oltre i fatti che cagionano una eliminazione definitiva dei dati e che ne fanno venir meno la possibilità di recupero su computer, anche quelli che impediscono seppur temporaneamente, al legittimo titolare di accedervi e disporne.

 
È quindi proprio il caso dei CryptoLocker che si configura come “soppressione” di informazioni, anche se per tecnici IT è incomprensibile.
 
Sempre in un'ottica di un inquadramento giuridico, ritengo che si profilano pertinenti alla fattispecie che stiamo trattando anche la cosiddetta frode informatica che è prevista espressamente dall'articolo 640 ter. del codice penale che prevede che chiunque alterando in qualsiasi modo il funzionamento di un sistema informatico o telematico, o intervenendo senza diritto con qualsiasi modalità su dati, informazioni o programmi contenuti in un sistema informatico o telematico, procura a se o ad altri un ingiusto profitto con altrui danno è punito sempre con la reclusione da sei mesi a tre anni.

Questo elemento ulteriore che è previsto dalla frode informatica è quello dell'elemento in base al quale l'agente criminale procura a se o ad altri un ingiusto profitto con l'altrui danno, che in questo caso si configurerebbe nel pagamento del riscatto. Cioè la determinazione della persona danneggiata di versare una somma di denaro che non è dovuta al criminale, per poter sbloccare i propri dati.

Le pene sono tutte al massimo di tre anni, non sembrano molto pesanti.

Questo è quello che ha previsto il nostro legislatore nel momento in cui ha sanzionato proprio i crimini informatici.

C'è una fattispecie che prevede una pena molto più grave che però esula dal mondo informatico, nel senso che è preesistente all'introduzione di questi reati informatici nell'ambito del codice penale, che è il delitto di estorsione previsto dall'articolo 629 del codice penale il quale prevede: chiunque mediante violenza o minaccia costringa taluno a fare o ad omettere qualche cosa procurando a se o ad altri un ingiusto profitto con l'altrui danno, è punito con la reclusione da cinque a dieci anni.

Mediante violenza o minaccia… cioè lo possiamo assimilare al caso specifico di CryptoLocker?

Si, è vero che la violenza non necessariamente deve essere una violenza fisica, è possibile anche una violenza di natura psicologica come potrebbe essere questa, o la minaccia, in questo caso, la minaccia di non poter rientrare più in possesso nella disponibilità dei propri dati.

Se un utente prende il virus CryptoLocker e ha tutti i dati crittografati e non può accedervi, quale è la prima cosa da fare?
 
Io sono un avvocato, quindi la prima cosa che farei è sporgere una querela, una denuncia alla polizia postale. So bene che questi criminali non sono facilmente identificabili. Immagino che in alcuni casi sia veramente impossibile identificarli.
Mi auguro però che il sistema possa a un certo punto, sulla base della raccolta dei dati di tutte le persone danneggiate e quindi facendo convergere tutte le denunce presso gli organi preposti che hanno, o dovrebbero avere quanto meno, strumenti più sofisticati per sconfiggere questo crimine, consenta l'affinamento di sistemi investigativi atti a reprimere il crimine.

Quindi il consiglio di avvocato e di cittadino italiano è sporgere querela contro ignoti.

 Sì.

Anche se sappiamo che non ci sarà un effetto diretto ma costituisce massa critica presso chi è chiamato a occuparsi di questo.

Altrimenti non emergerebbe neanche a livello statistico la segnalazione di un problema, che invece è un problema molto reale e molto diffuso.

 
L’utente quindi procede con la querela, dopodiché decide se pagare il riscatto o meno. Il nostro consiglio è comunque quello di non pagare, ma nel caso decidesse di pagare il riscatto, si passa dalla parte del torto?

Riterrei sinceramente di no. Nell'estorsione la vittima resta vittima, e quindi ci sarebbero anche dei profili che, sui quali adesso non ritengo opportuno addentrarmi, come lo stato di necessità che rappresenterebbero comunque delle esimenti tecnicamente, all'eventuale profilo penale per la vittima, per cui ritengo che la vittima che paga il prezzo richiesto dal criminale non incorra in alcun profilo penale.

Questo c'entra con l'aver o non l'aver sporto querela, c'è una correlazione tra i due eventi o sono totalmente indipendenti?

No, direi che sono totalmente indipendenti, anche perché la norma penale distingue i delitti in due grandi profili: quelli perseguibili solo su querela di parte, quindi rimettendo al danneggiato la valutazione di decidere se attivare o meno il percorso giudiziario per la punizione del reo; e quelli invece perseguibili d'ufficio. Siccome tutti questi reati che abbiamo indicato adesso, dei crimini informatici, sono reati perseguibili solo a querela di parte, il fatto stesso che lo Stato rimetta al singolo la valutazione di scegliere se chiedere la punizione o meno del reo, fa sì che a mio avviso non debba essere messo in correlazione con il pagamento del riscatto.

 
Conclusioni
Abbiamo coperto, anche se in maniera, ovviamente e inevitabilmente superficiale, il reato commesso da chi gestisce CryptoLocker e abbiamo dato qualche consiglio a chi dovesse purtroppo esserne vittima.
Le cose da fare nel caso in cui si sia vittima di CryptoLocker sono per prima cosa sporgere querela e poi decidere se pagare il riscatto o meno. Nel caso in cui si decida di pagarlo, anche se noi lo sconsigliamo, non si diventa perseguibili in alcun modo.

Clicca qui per ascoltare in podcast queste informazioni.

Autore
Claudio Panerai
Gli ultimi prodotti che vi ho portato, nel 2020: Vade Secure Il primo sistema antispam/antihishing/antimalware basato sull'intelligenza artificiale e appositamente progettato per Office 365. Naturalmente a misura di MSP. ID Agent Piaffaforma che consente agli MSP di monitorare le credenziali (proprie e dei clienti) che sono in vendita nel dark web.
Nato a Ivrea nel 1969, è sposato e padre di due figlie. Laureato in Scienze dell’Informazione nel 1993, ha dapprima svolto numerose consulenze e corsi di formazione per varie società per poi diventare responsabile IT per la filiale italiana del più grande editore mondiale di informatica, IDG Communications. Dal 2004 lavora in Achab dapprima come Responsabile del Supporto Tecnico per poi assumere dal 2008 la carica di Direttore Tecnico. Giornalista iscritto all’albo dei pubblicisti, dal 1992 pubblica regolarmente articoli su riviste di informatica e siti web di primo piano. E' stimato da colleghi e clienti per la schiettezza e onestà intellettuale. Passioni: viaggi, lettura, cinema, Formula 1, sviluppo personale, investimenti immobiliari, forex trading. Claudio è anche su LinkedIn e Facebook.
Commenti (6)

illuminante. grazie

Nicolò Perricone,

@Giani: grazie dei complimenti!

Claudio Panerai,

Rispondo, sinteticamente, alla richiesta di chiarimento in merito all’ipotesi di eventuale favoreggiamento del tecnico in supporto alla richiesta del cliente di effettuare suo tramite il pagamento in bitcoin per "sbolccare" i dati criptati.

Il delitto di favoreggiamento personale è previsto dall’ art. 378 c.p. La norma prevede che chiunque, dopo che la commissione di un delitto (per cui è prevista la pena dell’ ergastolo o della reclusione, e fuori dai casi di concorso nel medesimo) aiuta taluno ad eludere le investigazioni dell’autorità, o a sottrarsi alle ricerche di questa, è punito con la reclusione fino a quattro anni. Se si tratta di delitti per i quali la legge stabilisce una pena diversa, ovvero di contravvenzioni, la pena è della multa fino a cinqucentosedici euro.

Orbene è evidente che il caso di un tecnico che esegua le disposizioni del proprio cliente di pagare in bitcoin il riscatto non configuri reato di favoreggiamento, perché egli con il proprio comportamento non sta eludendo le investigazioni dell’autorità giudiziaria (elemento oggettivo del reato di favoreggiamento).
La condotta oggettiva tipica, per cui si configura reato, è rappresentata infatti da ogni comportamento, anche negativo, sufficiente a depistare o escludere le indagini di polizia . Quand’anche si volesse ipotizzare il pagamento in bitcoin come condotta tipica, difetterebbe comunque l’elemento soggettivo del tecnico, soggetto agente.
Perché vi sia attività penalmente rilevante è necessario anche il comportamento, cosciente e volontario del reo di voler porre intralcio all’attività investigativa con il fine di aiutare l’autore materiale del reato (chi ha posto in essere il cryptolocker sui dati del cliente) e ciò mediante condotte non solo finalizzate alla creazione di barriere ostative alle indagini ma anche di natura puramente omissiva e dunque con comportamenti quali il silenzio, la reticenza e la mendacità sull’identità del colpevole.
E’ anche qui evidente che lo scopo del tecnico (elemento soggettivo) che effettua il pagamento in bitcoin sia finalizzato esclusivamente a consentire il recupero dei dati e non a porre intralcio alle indagini.

Per tali motivi il reato di cui sopra non è, a mio avviso, configurabile.

Alessandra Bisi,

molto interessante. ma di solito la vittima si affida al suo amministratore it o chi gli fa manutenzione.
nel caso un cliente prenda il cryptolocker e il cliente chiede al tecnico di pagarlo anche se sconsigliato(bitcoin, portafogli virtuali ecc non sono esattamente alla portata dell’amministratore di turno) il tecnico rischia una denuncia per favoreggiamento?

Luca Borghetti,

Molto interessante.
Spesso , con il problema in atto, prendiamo le decisioni senza pensare alle conseguenze.
Grazie bella idea quella di achab. Come sempre del resto.

Antonio Giani,

Ottimo servizio!!!
E’ utile sapere anche serti aspetti "legali" per poter meglio indirizzare i clienti in difficoltà ed avere anche la tranquillità di poter operare sapendo di non correre rischi neppure per se stessi… A tal pro sarebbe illuminante anche una risposta al quesito di BORGHETTI!

Giovanni Pugliese,

Lascia un commento

Il tuo indirizzo e-mail non verrà pubblicato, lo utilizzeremo solamente per inviarti la notifica della pubblicazione del tuo commento. Ti informiamo che tutti i commenti sono soggetti a moderazione da parte del nostro staff.