Nella bozza del disegno di legge “in materia di reati informatici e di rafforzamento della cybersicurezza nazionale” pubblicata ad inizio anno, assume particolare rilievo quanto previsto dall’art. 1 (modifiche al codice penale), lett. l) che testualmente recita: “all’articolo 629, dopo il secondo comma è aggiunto il seguente comma:Chiunque, mediante le condotte di cui agli articoli 615-ter, 617-quater, 617-sexies, 635-bis, 635-quater e 635-quinquies, ovvero con la minaccia di compierle, costringe taluno a fare o ad omettere qualche cosa, procurando a sé o ad altri un ingiusto profitto con altrui danno, è punito con la reclusione da sei a dodici anni e con la multa da euro 5.000 a euro 10.000. La pena è della reclusione da otto a ventidue anni e della multa da euro 6.000 a euro 18.000, se concorre taluna delle circostanze indicate nell’ultimo capoverso dell’articolo precedente”.
L’intento del legislatore è palesemente quello di affiancare al reato di estorsione per così dire “classica” una nuova fattispecie che, strutturandosi nella forma del reato complesso, viene ad accorpare in un’unica previsione tutte quelle ipotesi in cui la costrizione ed il perseguimento di un ingiusto profitto con altrui danno, giungono a realizzarsi mediante le condotte di cui agli articoli 615-ter, 617-quater, 617-sexies, 635-bis, 635-quater e 635-quinquies, c.p..
Nell’ottica della scelta di politica criminale in tal modo operata, il fine sotteso a questa operazione di maquillage normativo non può che essere individuato nella previsione di un trattamento sanzionatorio decisamente inasprito rispetto a quello dell’estorsione tradizionale, soprattutto se si pone attenzione alle norme del d.d.l. che immediatamente precedono quella in commento, tutte segnate da un aumento delle pene da applicarsi ai reati di cui agli articoli 615-ter, 615-quater, 617-bis, 617-quater, 617-quinquies, 617-sexies c.p..
C’è peraltro da osservare come, evidentemente animato dal ‘sacro fuoco’ della deterrenza, quello stesso legislatore si sia spinto ad immaginare estendibili all’estorsione on line le circostanze aggravanti speciali di cui al terzo comma dell’art. 628 c.p., invero con non poca fantasia, se solo si pensi al n. 3 ter che contempla l’aumento di pena “… se il fatto è commesso all’interno di mezzi di pubblico trasporto” (?).
Vero è che, come puntualmente ci viene ricordato ogni anno dal Rapporto del Clusit, l’Associazione italiana per la sicurezza informatica, la tipica forma con cui si perfeziona il reato de quo, ovvero il ransomware, deve statisticamente essere ritenuto a tutt’oggi la tipologia di attacco informatico più ricorrente ed insidiosa per qualsivoglia ente pubblico, impresa di grandi-medie-piccole dimensioni e privato cittadino.
Il ransomware è, come noto, un particolare tipo di malware che, introducendosi in un sistema informatico spesso a seguito dell’apertura di un file allegato ad un messaggio di posta elettronica, blocca l’accesso al pc infettato, ne cripta i dati minacciandone contestualmente la cancellazione e/o la diffusione in rete ed impone il pagamento di un riscatto (ransom), quasi sempre in criptovalute, per poter successivamente ricevere le chiavi di decriptazione dei dati medesimi.
Ed è proprio in merito alla scelta di pagare il riscatto che va fatta una serie di considerazioni di non poco momento.
La prima riguarda l’evidente inutilità di un accordo di tal fatta: da un’indagine svolta dall’ENISA (Threat Landscape for Ransomware Attacks, luglio 2022), nel 47,83% dei casi analizzati, i dati oggetto dell’attacco sono stati successivamente diffusi.
A ciò si aggiunga che, al fine di assicurarsi la totale efficacia dell’attacco, gli hackers sono ormai soliti avvalersi della tecnica della c.d. “double extortion”, ovvero criptazione e contestuale copia dei dati, in modo da “bypassare” l’eventuale backup effettuato della vittima, procedendo alla minaccia di divulgazione dei medesimi laddove vi fosse un rifiuto al pagamento del riscatto.
Secondariamente, non vanno sottaciute le ulteriori, negative conseguenze dell’acquiescenza al ricatto, le quali palesano invero diversificati livelli di rischio sanzionatorio in base alla veste giuridica del soggetto che materialmente procede al pagamento.
Se infatti la dottrina è concorde nell’escludere che al privato cittadino vittima dell’estorsione – il quale aderisca al ricatto – sia possibile muovere alcuna contestazione di reato, lo è assai meno laddove ad operare il pagamento del riscatto sia un ente pubblico o un’azienda privata.
Nella prima ipotesi, il funzionario a cui il pagamento può essere ricondotto rischia di incorrere in una responsabilità personale per danno all’erario allorquando non riesca a dimostrare che il danno procurato all’Amministrazione con la sua condotta, sia stato comunque minore rispetto a quello che l’ente avrebbe subìto dalla perdita dei dati (si veda sul punto, ordinanza della Cassazione a Sezioni Unite n° 4511 del 2006).
Nel caso dell’azienda, invece, si determinano almeno due ordini di problemi: il primo afferisce alla mancata contabilizzazione della somma versata a titolo di riscatto – che intuibilmente non si presterebbe ad avere una lineare collocazione nelle poste di bilancio – aprendo per tale via il campo ad una possibile contestazione dei reati di cui agli artt. 2621 c.c. (false comunicazioni sociali), 2625 c.c. (impedito controllo) e 2638 c.c. (ostacolo all’esercizio delle funzioni dell’autorità di controllo); il secondo, se il pagamento viene effettuato a vantaggio e nell’interesse dell’ente, evoca a cascata una responsabilità ex art. 25-ter del D.lgs.n. 231/2001 (Responsabilità amministrativa delle società e degli enti).
Dal punto di vista dell’immagine della società, poi, non è difficile ipotizzare come siffatta condotta vada necessariamente ad incidere – una volta resa nota per qualsivoglia imponderabile ragione – sul rispetto dei valori, dei principi e degli ideali di comportamento dichiarati dal Codice etico in vigore per quella particolare realtà aziendale.
Come si vede, quindi, la scelta di chi, vittima dell’estorsione on line, si determini ad aderire alla richiesta economica, può rivelarsi non solo infruttuosa, ma altresì foriera di ulteriori, nefaste conseguenze per i soggetti che la dovessero assumere e, più in generale, per le casse e l’immagine dell’azienda.
E’ forse per tali ragioni che, da più di un’autorevole voce, viene richiamata l’esigenza di un intervento legislativo che, in analogia a quanto è stato fatto con la legge n. 82/1991 in materia di sequestro di persona a scopo di estorsione, vieti categoricamente alle vittime il pagamento del riscatto.
