di avv. TOMMASO ROSSI
L’attacco hacker di questi giorni subìto dalla Regione Lazio, con paralisi totale di tutti i servizi di prenotazione in ambito sanitario (comprese le prenotazioni delle vaccinazione anti-Covid19), rappresenta certamente l’anno zero della cybersecurity in Italia. O meglio, l’anno zero della coscienza della cybersecurity, e della percezione della reale gravità delle minacce che connotano le reti informatiche. La coscienza della “cyber-insicurezza” che connota moltissimi dei comportamenti dei lavoratori in seno ad aziende e Enti pubblici, oltre che dell’insicurezza delle (poche) misure adottate dai datori di lavoro, troppo spesso misure formali e “di facciata” e per nulla in grado di mettere davvero al riparo i sistemi da attacchi informatici.
L’attacco informatico che dal primo agosto tiene offline i siti della Regione Lazio sembra appurato che abbia avuto quale porta di accesso la violazione dell’utenza di un dipendente in smartworking e tale vulnerabilità ha consentito agli attaccanti di criptare il backup dei dati.
Dobbiamo pensare alla sicurezza in azienda (o ente pubblico, o libero professionista che custodisca dati sensibili) come un sistema di porte dalle quali potrebbero entrare dei ladri. Così forse risulta più semplice da comprendere: il datore di lavoro dà per scontato investire in portoni blindati, videocamere di sorveglianza, allarmi. Ma se si parla di Cyber-security, ecco pensare soprattutto al portafoglio, a fare quelle “due o tre misure fondamentali ” più che altro per mettersi al riparo da sanzioni e dai tanti temuti controlli. E invece….Basta una porta chiusa male, o chiusa con chiavi poco sicure, non protetta da allarmi, per fare entrare un “criminale informatico” molto più facilmente di quanto un ladro possa entrare da una porta “fisica”.
La falla laziale è stata scoperta dalla Polizia postale nella VPN, la rete virtuale utilizzata per accedere a un sistema informatico da un computer remoto. Pare che i cyber-attacanti, una volta trovata aperta la “porta” del computer casalingo di questo dipendente, abbiano installato un software trojan, che ha creato la vera e propria breccia nei sistemi della Regione Lazio, facendo acquisire all’attaccanto il controllo del sistema.
Il terzo e ultimo passaggio è stata l’inoculazione nel sistema del ransomware, il programma che ha criptato i dati, chiedendo un riscatto per sbloccarli, e criptando anche la copia di backup dei dati.
Già la presenza di un sistema di autenticazione a due fattori (come quelli oggi utilizzati dalle banche)- che con tutta probabilità non vi era- avrebbe quasi certamente evitato quanto accaduto. O quantomeno avrebbe evitato che tutto potesse risultare “così facile” per gli attaccanti.
In parole povere, se non si riuscirà a recuperare la chiave di accesso non si potranno recuperare i dati!
Analoghi attacchi informatici sono cresciuti a dismisura nel periodo “Covid-19”, connotato da “molto smartworking” e “molte poche precauzioni” per farlo in sicurezza.
In particolare i ransomware hanno avuto un’impennata in tutto il mondo, in quanto silenziosi, molto efficaci e di sicura “soddisfazione economica“.
Quando ci si accorge dell’intrusione, i dati sono ormai stati criptati, ovverosia “nella porta di casa propria i ladri hanno cambiato le chiavi”. Per entrare a riprendere i propri beni, e farsi ridare le chiavi di casa propria, il padrone di casa deve pagare i ladri. Altrimenti i criminali minacciano di rendere pubblici i dati che hanno criptato, che ovviamente hanno un valore economico enorme: dati sensibili dei clienti, dei dipendenti, brevetti, kwon how, progetti, dati strategici, dati di sicurezza, etc.In questo caso dati sanitari relativi alla campagna vaccinale, dati di residenza e anagrafici, codici fiscali, tessere sanitarie etc.
Ovviamente il riscatto viene chiesto in bitcoin , la criptovaluta che entra ed esce da un portafoglio virtuale all’altro (wallet).
Cosa succede poi in questi casi?
Chi ha subìto l’attacco, in questo caso la Regione lazio, deve notificare l’avvenuto data breach al Garante Italiano per la Privacy e a tutti interessati, come previsto dagli artt. 33 e 34 del GDPR.
Poi, siccome la il Servizio Sanitario pubblico regionale rientra tra le Infrastrutture Critiche nazionali deve sottostare anche alla Direttiva 2016/1148/UE c.d. “Direttiva NIS” sulla sicurezza delle reti e dei sistemi informatici che prevede che siano poste immediatamente in essere tutte le misure ritenute necessarie per ottenere un elevato livello di sicurezza delle reti e che siano notificati gli incidenti da parte degli Operatori dei Servizi Essenziali al Computer Security Incident Response Team (CSIRT) nazionale e alle altre autorità nazionali competenti.
E’ previsto poi l’obbligo di procedere all’implementazione di un piano di incident response, ovvero un dettaglio delle procedure necessarie per attuare una reazione agli attacchi che abbiano comportato un data breach, e di un piano di disaster recovery per realizzare le contromisure tecniche dopo aver subito un attacco digitale.
Tale attacco ha portato una positiva, sebbene tardiva, conseguenza, ovvero ha rappresentato un forte accelleratore per l’approvazione da parte del Parlamento del decreto legge che istituisce l’Agenzia Nazionale per la Cybersecurity. Anche se, ad avviso di chi scrive, non è (quantomeno, non solo) con Agenzie e ulteriori formalità che si crea una vera coscienza della sicurezza digitale da parte di imprese, enti pubblici e cittadini.
In ogni caso, negli intendimenti di chi ha scritto questa normativa vi è quello di implementare la strategia di cyber-resilienza nazionale, già avviata con la disciplina sul “Perimetro cibernetico”, e di promuovere la cultura della sicurezza cibernetica e di conseguenza la consapevolezza del settore pubblico, privato e della società civile sui rischi e le minacce cyber.
Speriamo che, come spesso accade, non siano solo parole e nuovi adempimenti (soltanto) formali!!
Come può difendersi dai reati informatici un qualsiasi cittadino?
Il comune cittadino, più di frequente, è bersaglio del “phishing“.
Il Report di ENISA, l’Agenzia UE per la Cybersecurity, nell’ambito dell’analisi dello scenario di rischio indicato, fornisce una prima descrizione della minaccia (vedi, par. 3.4 del Report), dalla quale poter desumere gli elementi di base per una sua utile definizione sul piano tecnico.
In questo senso, il phishing è definito come, “… the mechanism of crafting messages that use social engineering techniques…”. Laddove con il termine mechanism parrebbe qui intendersi anzitutto un artifizio che si concretizza nella capacità di comporre, attraverso l’impiego delle proprie capacità e della propria “perizia” , dei testi mediante i quali si fa uso delle tecniche di ingegneria sociale.
Ma a quale scopo? ENISA lo precisa nel suo glossario, per cui gli attacchi di phishing avrebbero lo scopo, “…to persuade potential victims into divulging sensitive information such as credentials, or bank and credit card details”.
Pertanto il phishing può essere tradotto come un artifizio posto in essere da un soggetto esterno o interno rispetto ad un’organizzazione (cosiddetto phisher e/o attaccante), che si concretizza nella creazione di testi, che facendo uso di tecniche di ingegneria sociale, mira a persuadere in modo fraudolento le persone oggetto di attacco, a divulgare informazioni sensibili proprie, o delle quali ne hanno la disponibilità, allo scopo di procurare un danno economico al soggetto passivo della condotta.
Nel sito del Ministero dell’Interno la Polizia postale mette in guardia sul phishing, mail ingannevoli che veicolano virus per i computer, e invita ad aprire solo le mail “sicure”, che vengono da account ufficiali e verificati, e a segnalare i casi sospetti sul sito commissariatodips.it, gestito dalla Polizia postale e delle comunicazioni.
Valgono anche e soprattutto in questo periodo di emergenza sanitaria per il contenimento del contagio da nuovo Coronavirus (Covid19) le raccomandazioni che da mesi la Polizia postale sta ribadendo a fronte dei casi di frode informatica scoperti in concomitanza con i mesi di preoccupazione generale per il diffondersi dell’epidemia.
Tra queste, si registravano ad esempio, nei mesi scorsi, le e mail firmate da una certa dottoressa Penelope Marchetti, presunta “esperta” dell’Organizzazione mondiale della sanità in Italia, dal linguaggio professionale e credibile, che invitano le vittime ad aprire un allegato, infetto, che conterrebbe indicazioni per evitare il contagio da Coronavirus. Il virus inforamtico – o “malware” – veicolato, della famiglia “Ostap”, punta a prendere i nostri dati sensibili.
Un altro caso è quello scoperto dal Centro nazionale anticrimine informatico per la protezione delle infrastrutture critiche (Cnaipic) della Polizia postale, che ha portato alla luce una campagna di false email in giapponese, provenienti apparentemente da un centro medico che invitano ad aprire un allegato con presunte informazioni sul diffondersi dell’epidemia. Anche qui si tratta di un virus malevolo che punta a credenziali bancarie e dati personali della vittima.
Altra frode intercettata è quella delle email che invitano ad aprire un file zippato contente documenti Excel, veicolo di un virus informatico di tipo RAT chiamato “Pallax”. Con un click il virus consentiva agli hacker di assumere totale controllo del dispositivo attaccato, in maniera invisibile.
Sempre della “famiglia” RAT è il virus nascosto in un file denominato CoronaVirusSafetyMeasures.pdf, con la capacità di impossessarsi del dispositivo e trasformarlo in un computer “zombie”, usato da remoto per compiere altri attacchi informatici.
Informarsi dalle fonti istituzionali e accreditate, e segnalare alla Polizia postale ogni caso sospetto, è il modo per mantenere un approccio obiettivo e sicuro di fronte al rischio di incappare in frodi informatiche favorite dal momento di vulnerabilità collettivo.
Quali reati si configurano nei confronti degli hackers?
La Procura di Roma, che procede in relazione al cyber attacco contro la Regione Lazio, indaga contro ignoti per i reati di accesso abusivo a sistema informatico, tentata estorsione, danneggiamento di sistemi informatici di pubblica utilità aggravato dalle finalità di terrorismo, in sinergia con il pool antiterrorismo.
Ma andiamo con ordine:
Normalmente le frodi informatiche compiute con il metodo del Phishing sono di due generi:
- come quelle descritte sopra dal sito del Ministero dell’Interno, la mail malevola entra nel computer e si impossessa del controllo dello stesso, con tutto ciò che ne consegue in termini di impossessamento di credenziali bancarie e di dati personali;
- frequentemente, invece, la mail malevola afferma di essere venuta in possesso di determinati dati dell’utente e chiede una somma di denaro per restituirli e/o non diffonderli. Non sempre ciò è vero, anzi quasi mai, quando il bersaglio è un comune cittadino e non un’impresa “grossa” o un ente pubblico.
Analizziamo in dettaglio i due casi:
1. MAIL CHE SEMBRA PROVENIRE DA UNA ISTITUZIONE PUBBLICA O PRIVATA SERIA e RICHIEDE UNA OPERAZIONE OPPURE INSTALLA UN MALWARE:
E’ la tecnica operativa di base (cosiddetto Deceptive Phishing),che consiste nella creazione di un testo idoneo sul piano dei contenuti, della struttura e della composizione grafica di riferimento, a generare piena fiducia nei confronti del contenuto stesso da parte di un soggetto ricevente ed indurre così il medesimo all’esecuzione di una specifica azione (ad esempio, attivare un link in ipertesto verso un sito web terzo). Questo testo è nella maggior parte dei casi integrato in un messaggio e-mail, che mediante un invio massivo ed indiscriminato (cosiddetto spamming) da parte del soggetto attaccante, raggiunge un numero indeterminato e casuale di persone. In questa fase, il mittente delle e-mail è in linea generale individuato in enti pubblici, istituzioni e organizzazioni private la cui operatività e presenza in un ambito territoriale locale, nazionale o internazionale, è consolidata nel tempo, anche rispetto al numero di persone ad essi fidelizzate. L’esecuzione dell’azione proposta nella e-mail di primo invio conduce successivamente l’utente presso un sito web terzo, creato ad hoc dal phisher secondo i contenuti e gli schemi comunicativi tipici dell’ente, istituzione od organizzazione privata, della quale ne viene simulata la genuinità. La pagina web creata ad arte, richiederà l’esecuzione di una specifica ed ulteriore azione da parte del soggetto passivo.
Altra declinazione di questa tecnica di phishing è quello basato su software contenente codice maligno (cosiddetto malware). In questo senso, ferma la tecnica di base fondata su strategie di social engineering per l’adescamento della vittima, l’acquisizione delle informazioni/dati personali del soggetto passivo avviene mediante l’installazione di un software operante in background presso il sistema informatico dell’utente, così da acquisire i dati ed informazioni ritenuti rilevanti dal phisher, ad insaputa del soggetto passivo.
La Legge 18 marzo 2008, n. 48, di ratifica della Convenzione di Budapest del Consiglio d’Europa sulla criminalità informatica del 23 novembre 2001, delinea la definizione di cyber crimes, come “ogni tipo di violazione penale commessa per mezzo, con l’ausilio e/o avente ad oggetto un sistema o programma informatico”.
Il nostro ordinamento penale, però, non prevede uno specifico reato che sanzioni la condotta di phishing nelle modalità sopra descritte, e la giurisprudenza di legittimità e merito degli ultimi 15 anni ha inquadrato il fenomeno in varie fattispecie di reato.
Si va dal reato di falsificazione di comunicazione telematica (art. 617 sexies c.p.), alla truffa (art. 640 c.p.),dalla sostituzione di persona (art. 494 c.p.) all’ accesso abusivo in un sistema informatico o telematico (art. 615 ter c.p.) e frode informatica (art. 640 ter c.p.).
A parte la truffa e la sostituzione di persona, , le altre ipotesi delittuose sono state introdotte dal legislatore nazionale con la Legge n 547/1993, recante modificazioni ed integrazioni alle norme del codice penale, in tema di criminalità informatica.
- Art. 494 c.p. Sostituzione di persona. La norma tutela la fede pubblica e punisce quei comportamenti posti in essere al fine di sostituire illegittimamente la propria all’altrui persona o attribuire a sé o ad altri un falso nome, un falso stato o una qualità a cui la legge ricollega effetti giuridici. Il momento consumativo del reato si ha quando il soggetto passivo viene indotto in errore, ed in questo senso anche il tentativo è ammissibile. Questa fattispecie rileva nelle condotte di phishing per quanto attiene la prima fase della condotta di phishing, ovverosia l’inganno del soggetto poi indotto in errore, al quale viene fatto credere di relazionarsi con un soggetto o entità ben definita e conosciuta, alla quale il criminale informatico sostituisce se stesso.
- Art. 640 c.p. Truffa. reato inquadrato tra le norme a tutela del Patrimonio, punisce tutti quei comportamenti idonei ad alterare la libera formazione del consenso nei negozi giuridici patrimoniali, compiuto al fine di ottenere un ingiusto profitto inducendo la vittima in errore mediante artifizi o raggiri , indotti al fine di persuadere il soggetto passivo della bontà di una determinata scelta o con la minaccia di non incorrere in un danno maggiore. Il reato è istantaneo e si consuma con l’avvenuta diminuzione patrimoniale subita dalla persona offesa, a causa della condotta criminosa. Il tentativo è configurabile. Può concorrere nella condotta del phishing con il reato precedente. Il punto dolente, rispetto all’inquadramento del phishing, è che il danno economico deve essere reale e contestuale alla consumazione del reato, mentre spesso il “phisher” una volta ottenuti i dati non li utilizza subito e il danno economico rimano soltanto una mera potenzialità rispetto al momento consumativo del reato.
- Art. 640ter c.p. Frode informatica. Rileva nelle tecniche di phishing basato su software contenente codice maligno tipo malware o troja . In questi casi, l’art. 640 ter c.p. può far confluire in sé tutte le fasi della condotta del phisher ovvero l’alterazione del funzionamento di un sistema informatico, ed in via alternativa o prodromica, l’intervento senza diritto sui dati, informazioni o programmi contenuti nel sistema informatico, con il conseguimento dell’ingiusto profitto con l’altrui danno. Il D.L. n. 93/2013 ha poi introdotto l’aggravante di cui al comma 3 secondo cui: “La pena è della reclusione…se il fatto è commesso con furto o indebito utilizzo dell’identità digitale in danno di uno o più soggetti”.
- La diversità dei beni giuridici tutelati dalle norme indicate può far pensare anche al concorso con la fattispecie di accesso abusivo al sistema informatico ex art. 615 ter c.p. (eventualmente con le chiavi di accesso ottenute in via fraudolenta), reato su cui approfondiremo nel punto successivo.
2. LA MAIL MALEVOLA AFFERMA DI ESSERE VENUTA IN POSSESSO DI DETERMINATI DATI DELL’UTENTE E CHIEDE UNA SOMMA DI DENARO (SPESSO IN BITCOIN) PER RESTITUIRLI E/O NON DIFFONDERLI.
In questo secondo caso, potremmo pensare che si configuri il reato di ESTORSIONE (629 c.p.) o tentata estorsione, che si ha nel caso in cui “Chiunque, mediante violenza o minaccia , costringendo taluno a fare o ad omettere qualche cosa, procura a sé o ad altri un ingiusto profitto con altrui danno, è punito con la reclusione da cinque a dieci anni e con la multa da euro 1.000 a euro 4.000.La pena è della reclusione da sette a venti anni e della multa da da euro 5.000 a euro 15.000, se concorrono le aggravanti indicate nel reato di rapina.” Per aversi estorsione, in sostanza, la violenza o la minaccia devono essere dirette a coartare la volontà della vittima affinchè questa compia un atto di disposizione patrimoniale che porti ad un ingiusto profitto per chi lo riceve.
Ma pensandoci bene, quando è palese che il danno minacciato non sia credibile, ritengo si possa versare nell’ipotesi del più mite reato di truffa aggravata dall’ingenerato timore di un pericolo immaginario (art. 640 c.2 n.2 c.p.) anziché nell’estorsione. Con la pronuncia n. 28181 del luglio 2015 i Giudici della Quinta sezione penale della Cassazione hanno affrontato il tema della distinzione tra il reato di truffa aggravata dall’ingenerato timore di un pericolo immaginario(art. 640 c.2 n.2 c.p.) e quello di estorsione.
Sul punto – si legge in sentenza – sono ravvisabili due diversi indirizzi interpretativi:
- secondo un primo orientamento, il criterio differenziale tra il delitto di truffa aggravato dall’ingenerato timore di un pericolo immaginario e quello di estorsione, risiede solo ed esclusivamente nell’elemento oggettivo: si ha truffa aggravata quando il danno immaginario viene indotto nella persona offesa tramite raggiri o artifizi; si ha estorsione, invece, quando il danno è certo e sicuro ad opera del reo o di altri ove la vittima non ceda alla richiesta minatoria. Ne consegue che la valutazione circa la sussistenza del danno immaginario (e, quindi, del reato di truffa aggravata) o del danno reale (e, quindi, del reato di estorsione) va effettuata “ex ante” essendo irrilevante ogni valutazione in ordine alla provenienza del danno prospettato ovvero allo stato soggettivo della persona offesa (cosi, tra le più recenti, Sez. 2, n. 52121 del 25/11/2014, Danzi, Rv. 261328).
- secondo altro orientamento, uno dei criteri distintivi tra l’estorsione e la truffa per ingenerato timore è da ravvisare nella particolare posizione dell’agente nei rapporti con lo stato d’animo del soggetto passivo.
Al ricorrente veniva contestato il fatto di essersi introdotto con altri soggetti, camuffati da carabinieri, nell’abitazione della persona offesa e, dopo aver giustificato la presenza per finalità di giustizia (l’esecuzione di un ordine di perquisizione) di essersi impossessato di una consistente somma di denaro (27.000 Euro) e di gioielli, custoditi dalla persona offesa in una cassaforte, che era stata aperta in seguito all’ordine intimato dai falsi pubblici ufficiali.
La Corte ha ritenuto infondata la tesi, sostenuta dal ricorrente, in relazione alla qualificazione giuridica del suddetto fatto come truffa cd. vessatoria ritenendo configurabile il reato di estorsione aggravata.
Ritengo che in molti di questi casi (tipici quelle mail in cui si informava l’utente di avere delle registrazioni di suoi accessi in siti pornografici e che sarebbero stati diffusi salvo pagamento di una somma), siamo invece nell’ipotesi opposta, tale da configurare la c.d. “truffa vessatoria”(ovviamente nelle forme del tentativo): il danno è prospettato solo in termini di eventualità obiettiva e giammai derivante in modo diretto od indiretto dalla volontà dell’agente (perché non ne ha obiettivamente le effettive possibilità), di guisa che l’offeso agisce non perchè coartato, ma tratto in inganno, anche se il timore contribuisce ad ingenerare l’errore nel processo formativo della volontà (tra le tante Sez. 2, n. 36906 del 27/09/2011, Traverso, Rv. 251149; si vedano anche Rv. 133309; 156497; 174914; 201333; 215705; 226057; 248402; 251149).
Quindi, tra le due fattispecie vengono in rilievo due criteri distintivi:
- lo stato d’animo del soggetto passivo, che nell’estorsione agisce con la volontà coartata, mentre nella truffa vessatoria si determina perchè tratto in inganno, sia pure attraverso la prospettazione di un timore (Sez. 2, n. 5244 del 19/11/1975, Rv. 133309);
- la realizzazione del danno minacciato, che nella estorsione viene prospettato come possibilità concreta, che dipende direttamente o indirettamente dallo stesso agente; nella truffa, invece, il male rappresentato non dipende, neppure in parte, dall’agente, il quale resta del tutto estraneo all’evento, sì che il soggetto passivo si determina all’azione versando in stato di errore (tra le tante, Sez. 2, n. 7889 del 27/03/1996, P.M. in proc. Spinelli, Rv. 205606).
In una recentissima pronuncia – ha aggiunto la Corte – si è ribadito che il criterio distintivo tra il reato di truffa e quello di estorsione, quando il fatto è connotato dalla minaccia di un male, va ravvisato essenzialmente nel diverso modo di atteggiarsi della condotta lesiva e della sua incidenza nella sfera soggettiva della vittima: ricorre la prima ipotesi se il male viene prospettato come possibile ed eventuale e comunque non proveniente direttamente o indirettamente da chi lo prospetta, in modo che la persona offesa non è coartata, ma si determina alla prestazione, costituente l’ingiusto profitto dell’agente, perchè tratta in errore dalla esposizione di un pericolo inesistente; mentre si configura l’estorsione se il male viene indicato come certo e realizzabile ad opera del reo o di altri, in tal caso la persona offesa è posta nella ineluttabile alternativa di far conseguire all’agente il preteso profitto o di subire il male minacciato.
Insomma – concludono i giudici – il reato di truffa aggravata dall’essere stato ingenerato nella persona offesa il timore di un pericolo immaginario (art. 640 cpv. c.p., n. 2) si configura solo allorchè venga prospettata al soggetto passivo una situazione di pericolo che non sia riconducibile alla condotta dell’agente, ma che anzi da questa prescinda perchè dipendente dalla volontà di un terzo o da accadimenti non controllabili dall’uomo. Al contrario, se il verificarsi del male minacciato, pur immaginario, viene prospettato come dipendente dalla volontà dell’agente, il soggetto passivo è comunque posto davanti all’alternativa di aderire all’ingiusta e pregiudizievole richiesta del primo o subire il danno: in tali ipotesi pertanto si configura il delitto di estorsione, ed a nulla rileva che la minaccia, se credibile, non sia concretamente attuabile (Sez. 2, n. 7889 del 27/03/1996 – dep. 10/08/1996, P.M. in proc. Spinelli, Rv. 205606). Questo potrebbe farmi “tornare sui miei passi”, e ritenere che anche in questi casi (ovvero di mail di phishing dove si dichiara di essere in possesso di dati di cui in realtà non si ha alcun possesso) si versi in ipotesi di estorsione, ovviamente sempre nelle forme del tentativoche si ha laddove il profitto non sia conseguito e/o il danno non sia inflitto.
Spesso in questi casi di phishing si può configurare la SOSTITUZIONE DI PERSONA (art. 494 c.p.): “Chiunque, al fine di procurare a sé o ad altri un vantaggio o di recare ad altri un danno, induce taluno in errore, sostituendo illegittimamente la propria all’altrui persona , o attribuendo a sé o ad altri un falso nome , o un falso stato, ovvero una qualità a cui la legge attribuisce effetti giuridici, è punito, se il fatto non costituisce un altro delitto contro la fede pubblica, con la reclusione fino ad un anno”. Il reato è posto a tutela della pubblica fede, contro tutti quei comportamenti legati alla identità personale e caratterizzati dall’inganno ai danni di un numero indeterminato di individui che, nell’ambito dei rapporti sociali, devono dare fiducia a determinate attestazioni.
Per la configurazione della fattispecie criminosa è richiesto il dolo specifico (elemento soggettivo), quindi la volontà del reo di indurre qualcuno in errore ed il comportamento deve essere tale da procurare a sè o ad altri un vantaggio ( patrimoniale e non ) o arrecare danno al soggetto a cui è stata sottratta l’identità.
Discorso diverso per i malware che, come nel caso laziale, realmente entrano nel sistema informatico prendendone il possesso.
In questi casi certamente si configura l’ACCESSO ABUSIVO A SISTEMA INFORMATICO (ART. 615-ter c.p.):“Chiunque abusivamente si introduce in un sistema informatico o telematico protetto da misure di sicurezza ovvero vi si mantiene contro la volontà espressa o tacita di chi ha il diritto di escluderlo, è punito con la reclusione fino a tre anni. La pena è della reclusione da uno a cinque anni:
1) se il fatto è commesso da un pubblico ufficiale o da un incaricato di un pubblico servizio, con abuso dei poteri, o con violazione dei doveri inerenti alla funzione o al servizio, o da chi esercita anche abusivamente la professione di investigatore privato, o con abuso della qualità di operatore del sistema;
2) se il colpevole per commettere il fatto usa violenza sulle cose o alle persone, ovvero se è palesemente armato;
3) se dal fatto deriva la distruzione o il danneggiamento del sistema o l’interruzione totale o parziale del suo funzionamento, ovvero la distruzione o il danneggiamento dei dati, delle informazioni o dei programmi in esso contenuti.
Qualora i fatti di cui ai commi primo e secondo riguardino sistemi informatici o telematici di interesse militare o relativi all’ordine pubblico o alla sicurezza pubblica o alla sanità o alla protezione civile o comunque di interesse pubblico, la pena è, rispettivamente, della reclusione da uno a cinque anni .
Dell’estorsione (e della forma tentata della stessa) abbiamo già parlato sopra.
Resta da analizzare il reato di danneggiamento di sistemi informatici di pubblica utilità aggravato dalle finalità di terrorismo.
L’art. 635 c.p., prevede che se il fatto di cui all’articolo 635 quater cp è diretto a distruggere, danneggiare, rendere, in tutto o in parte, inservibili sistemi informatici o telematici di pubblica utilità o ad ostacolarne gravemente il funzionamento, la pena è della reclusione da uno a quattro anni.
Si sanziona, dunque, già l’astratta idoneità dell’azione a distruggere/danneggiare etc il sistema di pubblica utilità, anche se ciò non avviene.
Se dal fatto, poi, deriva in concreto la distruzione o il danneggiamento del sistema informatico o telematico di pubblica utilità ovvero se questo è reso, in tutto o in parte, inservibile, la pena è della reclusione da tre a otto anni.
Il reato è una figura autonoma di reato che trae fondamento dall’art. 635 quater cp “Danneggiamento di sistemi informatici” che sanziona con la reclusione da 1 a 5 anni chi, attraverso le condotte di cui all’articolo 635 bis cp, ovvero attraverso l’introduzione o la trasmissione di dati, informazioni o programmi, distrugge, danneggia, rende, in tutto o in parte, inservibili sistemi informatici o telematici altrui o ne ostacola gravemente il funzionamento .
Quindi ad essere sanzionata penalmente, in questo caso, è la sola reale distruzione/danneggiamento del sistema informatico e non solo l’idoneità dell’azione.
L’aggravante della finalità di terrorismo, infine, contestata in questo caso, è prevista dall’art. 270 bis1 cp, inserito dalla novella al c.p. del 2018, che prevede che “Per i reati commessi per finalità di terrorismo o di eversione dell’ordine democratico, punibili con pena diversa dall’ergastolo, la pena è aumentata della metà, salvo che la circostanza sia elemento costitutivo del reato” e vi è divieto di equivalenza o prevalenza delle circostanze attenuanti eventualmente sussistenti.
CONSIGLI:
Anzitutto calma, specie quando viene chiesto il pagamento di una somma (“riscatto”), spesso mediante Bitcoin. In casi come questi, chi paga si mette nei guai da solo, perchè di certo non risolve il problema e anzi, apre la strada a due possibilità. La prima è che seguano altre, e sempre più pressanti, richieste di denaro. La seconda è che lo strumento di pagamento utilizzato (carta di credito, account Paypal, etc) possa essere a sua volta violato e/o clonato.
Rivolgetevi alla Polizia Postale, se avete dubbi.
Potete anche mandare una mail all’indirizzo del Nostro Studio Legale (info@rpcstudiolegale.it) per chiedere un consiglio sul da farsi. Sarò ben lieto di aiutarvi.
Un articolo che denota professionalità e preparazione, scritto in modo semplice e persuasivo da un eccellente professionista , io proporrei di farlo pubblicare sul sito del COA Ancona per dare modo agli iscritti di valutare , alla luce anche delle sanzioni e dei risarcimenti eventuali, quali sono le misure di sicurezza che permettono a tutti di vivere serenamente la propria professione partendo da esperienze che oggi hanno toccato altri ma che potrebbero toccare tutti.
Grazie di cuore. Se vuoi provare a segnalarlo all’Ordine, non ho nulla in contrario a che venga pubblicato. Saluti. TR