Considerazioni per uno strumento di lotta al “ransomware”

Massimo Ignesti - 21/04/2022

Posto che la problematica del ransomware (estorsione per via informatica) si va diffondendo a macchia d’olio in dimensione quasi impossibile da valutare in ragione della ritrosia a denunciare assunta dalla maggior parte delle vittime, sembra assolutamente necessario trovare una soluzione drastica, efficace di semplice adozione.

Innanzitutto va considerato che il ransomware è una estorsione perpetrata per via informatica che si concretizza attraverso due fasi :

  • l’intrusione nei sistemi informatici della vittima cui fa seguito un blocco degli stessi ovvero un danneggiamento, inquinamento o sottrazione totale o parziale dei dati ivi contenuti;
  • la rivendicazione, sotto falsi nomi o sigle, dei responsabili dell’intrusione che si dichiarano disposti a eliminare il danno o il blocco sui sistemi violati in cambio del pagamento di somme spesso in cryptovalute.

Si tratta in sostanza di una estorsione che nel “modus operandi” è molto simile a quella che si consuma in occasione di un sequestro di persona, con una differenza sostanziale: l’oggetto del sequestro è immateriale, essendo costituito da dati, e non è una persona ma sono dei dati.

Ora, non solo l’esperienza, ma anche le dichiarazioni delle stesse vittime rivelano che sinora la preponderante maggioranza di queste azioni criminali si risolvono con l’adesione della vittima alla richiesta dell’estorsore e dunque con il pagamento della somma richiesta.

Tali somme, forse giustificabili per un privato ma impossibili da inserire nel bilancio di una azienda (inimmaginabile la voce “spese per pagamento estorsione”) devono per forza provenire da fonti tracciabili o reperibili a meno che non derivino da attività “in nero” nascoste ai controlli fiscali quindi da attività fuori del perimetro legale.

Dunque, chi paga di fatto o si autodenuncia poiché possiede “fondi in nero” ovvero lo fa traendo le cifre necessarie da conti regolari facilmente controllabili.

Ora, la questione, che sta diventando un problema di livello strategico atteso che sono state colpite anche di recente organizzazioni essenziali per la funzionalità della Nazione (si vedano gli attacchi alle Ferrovie, alla Sanità oltre che a molte industrie di rilevante importanza) viene spesso trattata affrontandola con una reazione “difensiva” ossia irrobustendo le difese informatiche attraverso l’adozione di sistemi di protezione dei dati sempre più efficienti. Queste ultime, però, hanno il difetto di aver innescato un processo evolutivo a spirale simile a quello che è cominciato con la lancia e lo scudo nel quale chi attacca cerca sempre di riuscire a neutralizzare chi si difende con un mezzo più efficace e viceversa ma senza risolvere il problema alla radice e dunque la minaccia permane.

Poiché, tornando alla similitudine iniziale, il ransomware ha punto in comune con il sequestro di persona, sarebbe forse opportuno pensare ad una struttura normativa che possa rendere impossibile o molto difficile il pagamento del “riscatto” e, nel merito, l’Italia ha una lunga esperienza maturata nel combattere i sequestri di persona che caratterizzarono gli anni ’70 e ’80 del 900.

Infatti, la vittoria dello Stato contro quel fenomeno criminoso fu il frutto di due azioni parallele che incisero fortemente su di esso sino a bloccarlo: l’azione “tecnica” della Polizia Giudiziaria che sviluppò nuovi mezzi e nuove metodologie di indagine e l’efficacia di una norma (Legge n. 82 del 1991) che consentiva al Magistrato di “bloccare” i beni della famiglia della vittima rendendo impossibile il pagamento del riscatto.

Il principio che ha ispirato in quel caso il legislatore fu quello di evitare che un reato di tale gravità venisse gestito in termini privatistici, ovvero lasciando la gestione a una trattativa tra sequestratori e familiari, senza l’intermediazione dello Stato.

Sulla base del ragionamento ispiratore della legge del ’91, considerata, seppur mutatis mutandis, la gravità e l’incidenza dei fatti connessi con il fenomeno del ransomware, sarebbe forse opportuno cominciare a pensare a qualcosa di simile intervenendo sulle capacità di pagamento delle aziende in modo da rendere inefficace l’azione dei criminali.

Ovviamente dovrà essere considerata la rilevanza del danno potenziale apportato dall’attacco dei criminali per poter bilanciare la reazione dello Stato modulandola secondo la fattispecie in esame e questo potrebbe essere fatto prendendo in considerazione la consistenza dell’impatto sulla società. In pratica, un attacco al sistema informatico della Sanità ha una potenzialità di danno per la società che certamente non è paragonabile al disservizio causato ad un privato dal blocco del suo pc.