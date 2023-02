La miglior difesa contro gli attacchi cyber sono la “prevenzione” e la “cultura della sicurezza” e “si potrebbe ragionare, seguendo peraltro l’esempio degli Stati Uniti” su una legge contro il pagamento dei riscatti disincentivando i ransomware. Lo afferma all’Adnkronos l‘avvocato Marco Valerio Verni, responsabile Area Diritto di ‘Difesa Online’, che dopo l’attacco hacker che ha colpito alcuni Paesi tra i quali l’Italia, spiega cosa succede, dal punto di vista normativo, quando si finisce nel mirino dei criminali informatici.

Innanzitutto l’avvocato fa una distinzione “a seconda di chi sia la ‘vittima’ colpita: in linea di massima, infatti, il pagamento del riscatto di un ransomware non dovrebbe creare alcun problema legale nel caso in cui la vittima sia un privato cittadino che vuole salvare i propri dati personali; diverso, invece, potrebbe essere laddove, ad essere ricattati, siano enti pubblici o aziende, in quanto il pagamento all’autore dell’attacco potrebbe integrare, a sua volta, e per certi versi, paradossalmente, una condotta penalmente rilevante. Nel primo caso, ossia quello del privato cittadino, la giurisprudenza è pressoché costante nel riconoscere a quest’ultimo la qualità di parte offesa, anche qualora decidesse di pagare il riscatto, senza incorrere nel reato di favoreggiamento”.

“Nel secondo caso, invece, ossia quello in cui, a subire l’azione di pirateria informatica sia un ente pubblico, quest’ultimo, intanto, avrebbe l’obbligo di denuncia all’autorità giudiziaria, derivandone una responsabilità dello stesso (ente) in caso contrario – spiega il responsabile Area Diritto di ‘Difesa Online’ – Dipoi, vi potrebbe essere una responsabilità erariale nel caso in cui, a pagamento avvenuto, non si riuscisse a dimostrare che l’eventuale danno procurato all’amministrazione sia stato comunque minore rispetto a quello che l’ente avrebbe subito dalla perdita dei dati. Ancora diverso, il discorso, nel caso in cui a subire l’attacco sia invece un’azienda, in quanto si potrebbero configurare, tra l’altro, diversi reati di natura societaria, previsti, in particolare, dalla relativa normativa sulla responsabilità amministrativa da reato”.

Per quanto riguarda invece i responsabili degli attacchi, “i reati ipotizzabili a carico delle cyber-gang potrebbero essere, in linea di massima, quelli di ‘estorsione’ o quello di ‘accesso abusivo ad un sistema informatico o telematico’ o, ancora, quello di ‘danneggiamento di sistemi informatici e telematici'”. “Certo, occorre essere sicuri, nei limiti del possibile, che si tratti di criminali isolati o di cyber-gang, appunto, perché, ove si trattasse di organizzazioni terroristiche, il discorso cambierebbe, perché ci si potrebbe imbattere in divieti specifici, previsti a livello internazionale, con le conseguenze, anche penali, del caso”, sottolinea Verni.

Secondo l’avvocato, in ogni caso, pagare il riscatto agli autori di ransomware non vale la pena “dal momento che, anche se lo si facesse, non vi sarebbe alcuna garanzia di ricevere le chiavi per sbloccare i dati criptati illegalmente. E, probabilmente, si verrebbe anche ritenuti come persone disposte a pagare e, quindi, nuovamente esposti al pericolo”. Sull’ipotesi di una legge che, in caso di richiesta di riscatto, imponga il blocco dei beni così da disincentivare un tal tipo di attacchi, secondo l’avvocato “ci si potrebbe ragionare, seguendo, peraltro, l’esempio degli Stati Uniti”.

Discorso a parte, invece, va fatto nel caso in cui l’autore di un attacco cibernetico fosse un attore statale: “La situazione cambierebbe ulteriormente, perché, ne potrebbe derivare un vero e proprio conflitto tra Stati. Non è un caso che, ad oggi, per l’importanza che esso ha ormai assunto, lo spazio cibernetico è divenuto a tutti gli effetti un dominio operativo, dove poter estendere, in poche parole, l’azione bellica. Nella dottrina della Nato, anche per rimanere alla situazione attuale caratterizzata dal conflitto russo-ucraino (ma non solo), si afferma che un attacco cibernetico contro uno dei propri Stati membri, proprio perché potenzialmente in grado di arrivare a causare danni paragonabili a quelli di un attacco armato cinetico o ‘tradizionale’, possa essere equiparato a quest’ultimo e, dunque, legittimare la difesa collettiva stabilita dall’articolo 5 del suo Trattato istitutivo”.

L’avvocato Verni ricorda che “la miglior difesa contro gli attacchi cyber è la prevenzione: quanto più essa sarà svolta ad alto livello, tanto più i danni di un’eventuale azione di pirateria informatica saranno minori. Al contrario, è facile intuire che essi sarebbero devastanti – osserva Verni – E, proprio in tale ottica, si è sviluppato un preciso sistema normativo, tanto a livello nazionale che europeo che pone, in capo agli attori pubblici e privati (aziende), precisi doveri incentrati su un insieme di azioni indirizzate, prevalentemente, alla predisposizione di adeguati processi di sicurezza e sistemi di monitoraggio, rilevamento e analisi del rischio”.

“Con una responsabilizzazione sempre maggiore di chi, nelle varie figure, è chiamato ad operare in tal senso, tanto nel pubblico, quanto nel privato e con una sempre più marcata attenzione tanto alle reti ed ai sistemi informatici, con un cyber-design ‘ad hoc’, quanto agli stessi prodotti immessi sul mercato con la relativa catena di distribuzione; il tutto in un contesto di una sempre maggior armonizzazione, cooperazione e sinergia tra gli Stati dell’Unione – continua Verni – Si possono ricordare, in tal senso, a livello italiano, la Strategia nazionale di Cybersicurezza 2022-2026 ed il relativo piano di implementazione, o, a livello europeo, la direttiva Network and information systems Nis) 2, il Cyber Resilience Act- Cra ed il Cybersecurity Act- Csa. Certamente, è un campo in continua evoluzione, e le istituzioni, ai vari livelli, hanno l’arduo compito di riuscire a stare al passo con i tempi. Solo per i privati cittadini, ad oggi, non sembra esservi nessun particolare obbligo, se non quello rimesso alla propria diligenza”. “E’ chiaro – aggiunge – che, anche per essi, vale lo stesso discorso fatto prima: più sarà alta l’attenzione volta a prevenire, minori saranno i danni eventualmente subiti”.

“Ci vuole cultura della sicurezza e, d’altronde, anche se sotto altro aspetto (comunque collegato), un passo in avanti in tal direzione si è iniziato ad avere, almeno per una certa parte della popolazione, con il Regolamento europeo per la protezione dei dati personali, del 2016, che ha imposto precisi obblighi anche in capo a singoli professionisti – ricorda l’avvocato – Anche perché, non bisogna sottovalutare il cosiddetto ‘spillover effect’, ovvero l’effetto secondo cui, contagiato uno, si potrebbero contagiare, a cascata, anche coloro che si trovassero a venire ad interagire con costui. E questo, naturalmente, vale per tutti: cittadini singoli, aziende, enti pubblici”.