Ransomware, pagare o no il riscatto? Cosa dice la legge

Estorsione informatica, cosa dice la legge

Nell’ambito della prevenzione e del contrasto dei reati informatici, nonché in materia di coordinamento degli interventi in caso di attacchi a sistemi informatici o telematici e di sicurezza delle banche dati in uso presso gli uffici giudiziari, il legislatore ha previsto l’ipotesi delittuosa specifica in tema di estorsione che punisce la realizzazione dell’estorsione mediante la commissione di un reato informatico.

La Legge n. 90 del 28 giugno 2024[1], infatti, ha introdotto il comma III all’art. 629 c.p., in vigore a far data dal 17 luglio 2024, che così dispone: “chiunque, mediante le condotte di cui agli articoli 615-ter, 617-quater, 617-sexies, 635-bis, 635-quater e 635-quinquies ovvero con la minaccia di compierle, costringe taluno a fare o ad omettere qualche cosa, procurando a sé o ad altri un ingiusto profitto con altrui danno, è punito con la reclusione da sei a dodici anni e con la multa da euro 5.000 a euro 10.000”. 

La fattispecie di estorsione mediante reati informatici, in cui la costrizione di taluno a fare o ad omettere qualche cosa, procurando a sé o ad altri un ingiusto profitto, è realizzata quindi con la commissione o la minaccia di commettere delle condotte previste e punite nel codice penale agli articoli:

– 615 ter c.p. “accesso abusivo ad un sistema informatico o telematico”;

– 617 quater c.p. “intercettazione, impedimento o interruzione illecita di comunicazioni informatiche o telematiche”;

– 617 sexies c.p. “falsificazione, alterazione o soppressione del contenuto di comunicazioni informatiche o telematiche”;

– 635 bis c.p. “danneggiamento di informazioni, dati e programmi informatici”;

– 635 quater c.p. “danneggiamento di sistemi informatici o telematici”;

– 635 quinquies c.p. “danneggiamento di sistemi informatici o telematici di pubblica utilità”.

Il delitto di cui all’art. 629 comma III c.p., inoltre, è stato inserito nel catalogo dei reati informatici di cui all’art. 24 bis del D.lgs. 231/2001, rubricato “delitti informatici e trattamento illecito di dati”, che costituiscono reato presupposto per la responsabilità amministrativa da reato dell’ente.

Come avviene l’estorsione con ransomware

Tipica estorsione informatica e sempre più diffusa è l’estorsione a mezzo Ransomware[2], già ricondotta nell’ambito di applicazione dell’art. 629 c.p. ante riforma.

In sostanza, l’hacker dopo aver infettato un sistema informatico, tramite il virus iniettato che cripta i files utilizzati dall’utente e memorizzati sul disco, impedendone l’accesso e rendendoli irrecuperabili, procede alla richiesta del versamento on line di una somma di denaro entro termini perentori per ottenere la chiave che consente, rectius potrebbe consentirne, il recupero.

Il malware, invero, può cifrare, occultare o negare l’accesso a dati o informazioni, oppure limitare o impedire l’accesso a un sistema informatico, così da costringere la persona offesa a versare l’importo richiesto, c.d. ransom, ossia riscatto, per ottenere lo sblocco del sistema. Attraverso il ransomware, la condotta si estrinseca quindi in due momenti differenti: l’attacco alle risorse informatiche, cui segue la minaccia telematica con richiesta di pagamento.

La vittima si trova pertanto difronte alla “scelta” se cedere alla richiesta estorsiva e, quindi, pagare l’importo preteso oppure rischiare la perdita dei dati. Peraltro, il mezzo di pagamento tipico richiesto è la valuta virtuale, quale il bitcoin o altro strumento che rende l’operazione difficilmente tracciabile.

L’impatto sulle vittime

La vittima per effetto dell’attacco hacker sopra descritto, si trova in uno stato psicologico di coazione, in quanto ne deriva una significativa limitazione della sua libertà morale, che tuttavia gli consente di prestare una “artificiosa” cooperazione nel reato. Il delitto di estorsione, infatti, si ritiene consumato nel momento in cui vi sia la consegna di una somma di denaro effettuata dalla persona offesa mediante un atto di disposizione patrimoniale indotto dal timore generato dalla minaccia prospettata dall’hacker.

Viceversa, laddove manchi qualsiasi autonomia decisionale del soggetto passivo del reato, trovandosi in uno stato di coazione assoluta, ricorrerà la diversa fattispecie della rapina di cui all’art. 628 c.p. Il delitto di rapina si differenzia dalla fattispecie di estorsione poiché ivi il reo sottrae la cosa esercitando sulla vittima una violenza o minaccia diretta e ineludibile, mentre nell’estorsione emergono elementi della coartazione e della consegna ma non del totale annullamento della capacità del soggetto passivo di determinarsi diversamente dalla volontà dell’estorsore[3].

La giurisprudenza di legittimità, infatti, in tema di estorsione, ritiene sufficiente che la richiesta, con il pregiudizio patrimoniale che ne consegue, sia accolta anche soltanto per mera convenienza, per evitare un male che agli occhi della vittima appaia più grave[4].

Obiettivi dell’attacco ransomware

Il bersaglio dell’attacco hacker tramite ransomware può essere identificato in un privato, in un ente pubblico ovvero in un’azienda privata. Si pensi a tale ultima ipotesi, laddove il ransomware una volta inoculato nella rete aziendale ed installatosi sui server, provvede a codificare con una password tutti i file memorizzati, rendendoli di fatto inaccessibili ed inutilizzabili alla Società e compromettendo il corretto funzionamento di numerosi software. Per ottenere le cosiddette chiavi di decrypt, cioè le password necessarie alla decodifica dei file cifrati, viene nella prassi richiesta una somma di denaro da pagare generalmente in valuta virtuale verso conti, carte o titoli anonimi; strumenti utilizzati nelle transazioni per rimanere nell’anonimato.

Il Legale Rappresentante dell’Azienda, quindi, si trova quale unico rimedio possibile il pagamento della somma per ottenere le chiavi di decrypt, costituendo il blocco dei sistemi informatici e la disponibilità del dato un danno rilevantissimo per la struttura aziendale che soffre l’attacco, la cui operatività si trova di fatto paralizzata; non essendovi peraltro altre modalità tecniche per decrittare i dati oggetto dell’attacco e impedirne la pubblicazione.

Riscatto ransomware, cosa succede se si paga

Ebbene, il soggetto che ha subito l’attacco ransomware e procede col pagamento del riscatto, è passibile di responsabilità penale o comunque sanzionabile?

Si noti innanzitutto che in casi siffatti, qualora il versamento della somma di denaro richiesta, che rappresenta sia il momento di effettivo conseguimento del bene da parte dell’agente (ingiusto profitto), che ha così avuto a disposizione la somma versata, sia la definitiva perdita dello stesso da parte del raggirato (altrui danno), contribuisca a ulteriori illeciti, quali ad esempio finanziamento del terrorismo o attività di riciclaggio, non è possibile invocare da parte della vittima dell’estorsione l’applicazione della causa di giustificazione costituita nello stato di necessità ex art. 54 c.p., che renderebbe il fatto non punibile.

Ai fini dell’integrazione dell’esimente dello stato di necessità, infatti, occorre che il pericolo si rifletta sulla persona, ossia il danno grave sia alla vita o all’integrità fisica[5]. La giurisprudenza di legittimità riconduce all’applicabilità dell’art. 54 c.p., peraltro, anche il danno grave minacciato ai beni attinenti alla personalità, quali ad esempio, quello alla libertà, al pudore, all’onore, al decoro[6]. Inoltre, accanto alla sussistenza del pericolo attuale del danno grave, attuale ed imminente, è necessario che non vi sia altra concreta possibilità di salvezza priva di disvalore penale[7].

Ransomware e richiesta riscatto a una società

Il pagamento effettuato dal soggetto passivo del reato, pur costituendo un elemento costitutivo dello stesso, non può integrare un fatto punibile per la vittima. Sotto il profilo soggettivo, infatti, la condotta della società, vittima del reato di estorsione di cui all’art. 629 c.p., non potrebbe configurare un illecito penalmente rilevante, essendo un comportamento privo di antigiuridicità.

Dal punto di vista fiscale, l’Agenzia dell’Entrate ha escluso l’applicabilità della disciplina dei “costi da reato”[8] al caso di specie sottoposto a Interpello, per la Società vittima di attacco ransomware[9]. In siffatte ipotesi, sotto il profilo oggettivo, infatti, la somma corrisposta dall’azienda per il recupero dei dati non è un costo direttamente funzionale al successivo compimento da parte della Società di un reato, bensì al proseguimento della sua attività di impresa. La deducibilità del costo dalla stessa sostenuto deve essere allora valutata alla luce dell’ordinaria disciplina del reddito d’impresa, verificando la sua inerenza all’attività d’impresa[10]. Ciò che si verifica laddove il costo sostenuto dalla Società non è legato a finalità extra imprenditoriali, ma mantiene un vincolo di stretta correlazione con l’attività di impresa poiché ne garantisce la continuità e al contempo evita il manifestarsi di un pregiudizio economico che ne potrebbe compromettere la posizione sul mercato (si pensi a una Società quotata e la diffusione e pubblicazione dei dati riservati illecitamente sottratti tramite attacco ransomware)[11]. Ebbene, l’Agenzia delle Entrate ha evidenziato che “la somma di denaro corrisposta dalla vittima all’estorsore rappresenta – sul versate penale – il provento o profitto del reato, in quanto costituisce il risultato dell’attività criminosa e, come tale, se recuperata, dovrà essere restituita alla vittima”[12].

La proposta: il divieto di pagare il riscatto

Col disegno di legge n. 1441[13] [14], presentato al Senato della Repubblica il 3 aprile 2025, si propone una delega al Governo italiano per l’introduzione del divieto di pagamento del riscatto a seguito di un attacco ransomwere per i soggetti pubblici e privati inclusi nel “Perimetro di Sicurezza Nazionale Cibernetica”[15]. In caso di grave rischio per la sicurezza nazionale, il Presidente del Consiglio dei ministri può autorizzare delle deroghe specifiche. L’attacco hacker, inoltre, si potrebbe qualificare quale minaccia alla sicurezza nazionale, classificandolo come incidente che compromette la sicurezza nazionale.

Peraltro, si impone l’obbligo di notifica tempestiva ai soggetti pubblici e privati che subiscono l’attacco ransomware entro sei ore dalla loro conoscenza al CSIRT (Computer Security Incident Response Team), che provvederà a trasmettere la notifica all’organo del Ministero dell’interno per la sicurezza e per la regolarità dei servizi di telecomunicazione, e qualora pertinente altresì all’autorità competente prevista col regolamento (UE) 2022/2554; nonché agli organismi di informazione per la sicurezza ex Legge n. 124/2007.

Ebbene, col Disegno di legge citato, si intende punire chi dopo aver subito un attacco ransomware, nelle forme sopra descritte di cui all’art. 629 comma III c.p., proceda al pagamento del riscatto richiesto dall’hacker, prevedendo una sanzione amministrativa. Nell’ottica del rafforzamento della prevenzione e promozione della cultura della sicurezza informatica si pone quindi il Disegno di legge in esame.

Si potrebbe allora intravedere una sorta di parallelismo con la Legge n. 82 del 1991, nota quale legge sul “blocco dei beni” introdotta per contrastare il fenomeno dei sequestri di persona a scopo di estorsione. L’art. 1 del Decreto Legge n. 8/1991, convertito in Legge n. 82/1991[16], prevede che quando si procede per sequestro di persona, il Pubblico Ministero richiede al GIP il sequestro dei beni appartenenti alla persona sequestrata, al coniuge, ai parenti e affini conviventi e a tutti coloro sui quali vi sia fondato motivo di ritenere che possano far conseguire agli autori del delitto, il prezzo della liberazione.

La comunicazione al Garante Privacy ex art. 33 GDPR

L’attacco ransomware e la compromissione del sistema informatico, oltre a determinare un impatto operativo e potenzialmente patrimoniale significativo per il proprietario o gestore di tale sistema, può determinare conseguenze anche in termini di violazione della riservatezza e dell’integrità dei dati personali ivi contenuti. 

È fondamentale, in caso di attacco ransomware, valutare attentamente se ricorrano i presupposti per la notifica della violazione dei dati personali al Garante Privacy ai sensi dell’art. 33 del Regolamento (UE) 2016/679 (GDPR). Tale norma, come noto, impone al titolare del trattamento del dato di notificare all’Autorità garante le violazioni di dati personali che possano comportare un rischio per i diritti e la libertà delle persone fisiche, senza ritardo e, ove possibile, entro 72 ore dal momento in cui è venuto a conoscenza della violazione.

Spesso, infatti, il ransomware non si limita a compromettere la disponibilità dei sistemi, ma si configura anche come violazione della riservatezza e dell’integrità dei dati, mediante l’esfiltrazione degli stessi. In tali casi, l’autore dell’attacco può attuare una strategia di “doppia estorsione”: oltre a richiedere un riscatto per il ripristino del sistema, minaccia anche la diffusione o la vendita dei dati sottratti in caso di mancato pagamento. Tale condotta comporta un grave rischio non solo per l’organizzazione colpita, ma anche per gli interessati i cui dati personali risultano coinvolti, con potenziali danni alla reputazione, alla sicurezza individuale e alla fiducia nei confronti del titolare del trattamento. Si pensi, ad esempio, ad attacchi ransomware, purtroppo diffusi, contro strutture ospedaliere, laddove i dati trattati, e sottratti, attengono ad ambiti fortemente sensibili, quali lo stato di salute degli interessati[17].

La tempestiva notifica al Garante rappresenta, pertanto, non solo un obbligo normativo, ma anche un importante strumento di trasparenza e responsabilizzazione, utile a contenere le conseguenze dell’incidente e a rafforzare la tutela dei diritti degli interessati.

Inoltre, la segnalazione al Garante si rivela un’opportunità anche sul piano della tutela della buona fede e della posizione della vittima, la quale, specie se si tratta di una società o Ente pubblico, attivandosi dinanzi all’Autorità, potrà dimostrare di aver agito con diligenza e correttezza, nel rispetto del principio di accountability previsto dal GDPR. Questo vale a prescindere dalla decisione di procedere o meno al pagamento del riscatto: la notifica, infatti, può contribuire a rafforzare la posizione del titolare del trattamento del dato nei confronti delle autorità e degli interessati, attestando l’attivazione di misure idonee a limitare i danni derivanti dall’attacco hacker e la piena collaborazione con gli organismi preposti alla protezione dei dati personali.

Il futuro

Sarà utile vedere l’evolversi della normativa e della giurisprudenza sul fenomeno degli attacchi ransomware che ha assunto i connotati di un fattore strutturale, tale da poter mettere in crisi la continuità operativa di imprese, pubbliche amministrazioni e infrastrutture critiche, con importanti ripercussioni economiche, sociali e geopolitiche.

Note

[1] Legge n. 90 del 28 giungo 2024, recante “disposizioni in materia di rafforzamento della cybersicurezza nazionale e di reati informatici” pubblicata in Gazzetta Ufficiale il 2.07.2024 ed entrata in vigore il 17.07.2024.

[2] Il termine Ransomware deriva dalla crasi delle parole malware (programma malevolo) e ransom (riscatto), indica un virus che può cifrare, occultare o negare l’accesso a dati o informazioni, oppure limitare o impedire l’accesso al sistema informatico.

[3] In tal senso Cass. Pen., Sez. II, 19/01/2012, n. 14880, in One Legale Walters Kluwer.

[4] Cfr. Cass. Pen., Sez. II, 21/03/2019, n. 32033, in One Legale Walters Kluwer.

[5] La voluntas legis espressa dal legislatore con la costruzione sintattica dell’art. 54, comma 3, c.p. è quella di dare rilievo alla minaccia (seria e grave) come fattore idoneo a determinare, nel destinatario, una azione imposta dalla necessità di salvare l’autore immediato dal particolare pericolo di cui al comma 1 (danno grave alla persona) e pertanto l’effetto della minaccia – se seria – si produce e mantiene la sua efficacia condizionante, anche nei momenti del fatto che non vedono presente l’autore della minaccia medesima (si veda in tal senso Cass. pen., Sez. I, 28/11/2018, n. 53386 in One Legale Walters Kluwer).

[6] In tal senso Cass. Pen., Sez. III, 16/05/2014, n. 20425 in One Legale Walters Kluwer.

[7] Rientrano nell’applicazione dell’esimente di cui all’art. 54 c.p., “anche quelle situazioni che attentano alla sfera dei diritti fondamentali della persona, secondo la previsione contenuta nell’art. 2 Cost.; e pertanto rientrano in tale previsione anche quelle situazioni che minacciano solo indirettamente l’integrità fisica del soggetto in quanto si riferiscono alla sfera dei beni primari collegati alla personalità, fra i quali deve essere ricompresso il diritto all’abitazione in quanto l’esigenza di un alloggio rientra fra i bisogni primari della persona”, cfr. Cass. pen., Sez. II, 26/09/2007, n. 35580 in One Legale Walters Kluwer.

[8] Art. 14 Legge n. 537 del 1993, comma 4 bis, considera indeducibili i costi sostenuti in relazione a reati dolosi.

[9] Agenzia entrate Divisione Contribuenti – Direzione Centrale Grandi contribuenti e internazionale, Risposta n. 149/2023, in fiscoetasse.com

¹⁰Agenzia entrate Divisione Contribuenti – Direzione Centrale Grandi contribuenti e internazionale, Risposta n. 149/2023, in fiscoetasse.com

[11] Agenzia entrate Divisione Contribuenti – Direzione Centrale Grandi contribuenti e internazionale, Risosta n. 149/2023, in fiscoetasse.com.

[12] Cfr. ult. cit.

[13] DDL S. 1441 – XIX Leg., consultabile online all’indirizzo www.senato.it.

[14] Delega al Governo per la definizione di una strategia nazionale per il contrasto degli attacchi informatici a scopo di estorsione.

[15] Il Perimetro di Sicurezza Nazionale Cibernetica ricomprende le amministrazioni pubbliche, gli enti e gli operatori pubblici e privati con sede nel territorio italiano inclusi nell’elencazione adottata dal Presidente del Consiglio dei Ministri (art. 1, comma 2-bis, del decreto-legge 21 settembre 2019, n. 105, convertito, con modificazioni, dalla legge 18 novembre 2019, n. 133).

[16] Art. 1 “Sequestro dei beni utilizzabili per far conseguire il prezzo del riscatto” Decreto Legge 15.01.1991 n. 8, recante Nuove norme in materia di sequestri di persona a scopo di estorsione.

[17] Sul punto, si vedano le Linee Guida dell’European Data Protection Board 1/2021 relative alle notifiche di violazioni di dati personali.

Nel caso di ransomware diretti verso strutture ospedaliere, l’EDBP ha evidenziato la necessità in capo all’Ente titolare del trattamento di notificare senza ritardo il data breach all’Autorità Garante, in quanto, in tali casi, “la quantità di dati violati e il numero di interessati colpiti dalla violazione sono elevati, in quanto gli ospedali generalmente trattano grandi quantità di dati. L’indisponibilità dei dati ha un forte impatto su una parte sostanziale degli interessati. Esiste inoltre un rischio residuo di elevata gravità per la riservatezza dei dati dei pazienti”.