L’ESTORSIONE TRAMITE RANSOMWARE E I DELITTI INFORMATICI: IL GOVERNO PRESENTA IL DDL CYBERSICUREZZA

Il Governo ha predisposto alcune misure volte a limitare i reati informatici, tra i quali il sempre più diffuso delitto di estorsione tramite ransomware, vale a dire un virus attraverso cui l’hacker può commettere estorsione di tipo telematico. La minaccia o la violenza, in tal senso, sono prospettate attraverso i contatti e-mail o i social network; il termine ransomware, invece, deriva dall’unione tra “ransom”, ricatto, e “malware”, un programma dannoso per il sistema informatico. Il virus, una volta entrato nel sistema, può criptare dati, informazioni e documenti dell’utente, negando a questo l’accesso; scopo dell’hacker è quello di costringere la persona offesa a pagare un riscatto al fine di tornare in possesso dei propri dati. Solitamente, l’estorsione avviene tramite un avviso che compare sul monitor, bloccando il computer, nel quale sono contenute le direttive da soddisfare per ottenere la chiave che consente il recupero dei dati. L’estorsione così descritta è sempre più diffusa, soprattutto dall’avvento delle criptovalute che consentono all’autore del delitto di essere più difficilmente individuabile, se il pagamento del riscatto avviene attraverso mezzi non rintracciabili.

La peculiarità della realizzazione attraverso la condotta descritta in termini di ransomware è quella di porre in pericolo beni ulteriori a quelli tutelati dalla fattispecie base del reato di estorsione, che tutela il patrimonio e la libertà morale del soggetto passivo; il delitto commesso nei sistemi informatici va a colpire un numero maggiore di beni giuridici protetti dall’ordinamento, con particolare riferimento a tutti quei beni connessi alle tecnologie dell’informazione, come la riservatezza, la segretezza delle comunicazioni informatiche (si pensi alle chat dei social network o al contenuto delle lettere e-mail) e la sicurezza informatica. La fattispecie prevista dall’art. 629 c.p. risulta essere la più precisa, ma sicuramente non del tutto soddisfacente al fine di punire il reato: spesso le condotte poste in essere dall’hacker risultano prive di carattere minaccioso o violento, rientrando nel danneggiamento, nella cancellazione o nella vera e propria soppressione di dati o files. Le condotte così prospettate potrebbero rientrare allora anche in altre fattispecie di reato, quali l’art. 615-quater c.p.(“Detenzione, diffusione e installazione abusiva di apparecchiature, codici e altri mezzi atti all’accesso a sistemi informatici o telematici”), l’art. 615-quinquies c.p. (“Detenzione, diffusione e installazione abusiva di apparecchiature, dispositivi o programmi informatici diretti a danneggiare o interrompere un sistema informatico o telematico”) o l’art. 392 c.p. in  tema di esercizio arbitrario delle proprie ragioni con violenza sulle cose, per il quale, al comma terzo, si ha altresì violenza sulle cose allorché un programma informatico viene alterato, modificato o cancellato in tutto o in parte ovvero viene impedito o turbato il funzionamento di un sistema informatico o telematico. Il delitto di estorsione previsto ai sensi dell’art. 629 c.p., tuttavia, sembra più adeguato al caso specifico in cui la condotta sia finalizzata alla successiva richiesta di riscatto al fine di recuperare dati o archivi a cui risulta impossibile l’accesso, ma spesso la giurisprudenza è ricorsa anche all’imputazione per concorso formale tra i diversi reati.

Sembra tuttavia evidente come sia necessario un intervento legislativo al fine di adeguare la legge all’evoluzione dei tempi. In particolare non è soltanto l’avvento delle criptovalute e dei sistemi di pagamento non rintracciabili a destare preoccupazione, ma il fatto che soggetto passivo del reato risultino essere sempre più spesso le persone giuridiche, che dotandosi di una rete aziendale unica rischiano di essere coinvolte in attacchi che non solo ledono il sistema informatico, ma pregiudicano la vita stessa dell’azienda, bloccandone l’attività. I danni economici maggiori si riscontrano proprio nel caso in cui il ransomware sia diretto alle reti aziendali.

Con riferimento alle ultime novità in tema, si parla recentemente del DDL cybersicurezza, al momento al vaglio del Parlamento, disegno di legge che mira a contrastare, tra le altre disposizioni, i sempre più frequenti e invasivi attacchi del fenomeno del “cybercrime as service”, così come definito dal Governo. Trattasi di un disegno di legge nel quale vengono proposte modifiche significative, sia in termini sostanziali che in termini procedurali, con riferimento all’ambito del reato informatico. Il fulcro del DDL si basa sull’intensificazione delle misure di sicurezza, con un inasprimento delle pene per i cybercriminali e incentivi alla collaborazione successiva alla commissione del reato. Tra le misure previste, l’espansione dei criteri di riferimento all’elemento soggettivo, intesi nel senso di punire il dolo specifico, l’introduzione di circostanze aggravanti particolari, l’eliminazione delle attenuanti per e l’innalzamento delle sanzioni.

Con particolare riferimento alle sanzioni, raddoppia la sanzione in caso di raccolta dati per dossieraggi: la cornice edittale passa da uno a cinque anni di reclusione a due-dieci anni per l’aggravante che si configura quando il fatto è compiuto da un pubblico ufficiale o da un incaricato di pubblico servizio. Aumenta la pena anche in caso di uso della minaccia oltre che della violenza sulle cose e sulle persone. Previsto carcere da tre a dieci anni, invece che da uno a cinque, per l’altra aggravante contestata quando i sistemi informatici “invasi” sono di interesse pubblico: dalla sanità alla protezione civile, dall’ordine pubblico alla sicurezza fino ai sistemi militari. Nel caso ricorrano entrambe le circostanze il range diventa di quattro-dodici anni, contro l’attuale di tre-otto. In caso di danneggiamento del sistema o di interruzione parziale è previsto il divieto di equivalenza o prevalenza delle attenuanti. Per coloro che detengono o distribuiscono programmi dannosi per i sistemi informatici è prevista una pena fino a due anni di reclusione e a una multa che può superare i dieci mila euro di importo.

Ma tra le novità, due hanno particolare rilievo: viene previsto l’inserimento dell’art. 635-quater.1 nel codice penale, sulla “Detenzione, diffusione e installazione abusiva di apparecchiature, dispositivi o programmi informatici diretti a danneggiare o interrompere un sistema informatico o telematico”; viene inserito un comma al reato di estorsione ex art. 629 c.p.: “Chiunque, mediante le condotte di cui agli articoli 615-ter, 617-quater, 617sexies, 635-bis, 635-quater e 635-quinquies, ovvero con la minaccia di compierle, costringe taluno a fare o ad omettere qualche cosa, procurando a sé o ad altri un ingiusto profitto con altrui danno, è punito con la reclusione da sei a dodici anni e con la multa da euro 5.000 a euro 10.000. La pena è della reclusione da otto a ventidue anni e della multa da euro 6.000 a euro 18.000, se concorre taluna delle circostanze indicate nell’ultimo capoverso dell’articolo precedente”.

Quest’ultima risulta la novità sostanziale più di rilievo, andando a colmare la lacuna normativa con riferimento alla condotta estorsiva attraverso sistemi informatici. Viene così prevista, per la prima volta, l’”estorsione cibernetica”, o estorsione attraverso ransomware. Il disegno di legge al vaglio del Parlamento, allora, porrebbe fine alla problematica inesistenza di una fattispecie di reato precisa per le estorsioni commesse attraverso sistemi informatici, evitando ai giudici di dover ricorrere a figure di reato inesatte o al concorso formale tra diverse fattispecie.