(Pubblicato in www.riv.231.it n. 2/2016)

ABSTRACT

Ha assunto ormai le dimensioni di una vera pandemia la proliferazione del virus denominato “Cryptoloker”, un malware che attacca ed invalida l’operatività di web di utenti privati e pubblici.

I cybercriminali, sempre più agguerriti e con strumenti sofisticati,  penetrano nel sistema informatico mediante un messaggio di posta elettronica, o un allegato e ne criptano il contenuto, bloccandone l’utilizzo.

Il pagamento di un riscatto entro un termine perentorio è l’unica possibilità per evitare la definitiva distruzione dell’intero database.

Il fenomeno ormai noto, non è ancora indagato nelle implicazioni giuridiche, anche afferenti il d.lgs. n. 231/2001, che condizionano l’opzione operativa rimessa all’utente estorto.

Il dilemma è: se pagare il riscatto – mediante la richiesta moneta bitcoin, non tracciabile – o rigettare l’illecito dictat, nell’osservanza dei principi di legalità e, magari, dei principi etici e valoriali proclamati dal proprio Codice etico e/o Modello 231 adottato – va ricordato, portante prescrizioni obbligatorie per gli esponenti aziendali, pena l’irrogazione di una sanzione disciplinare interna -.

Dilemma la cui scelta oscilla tra un approccio corretto, ma economicamente invalidante ed altro pragmatico, ma non conforme ai principi di compliance e, diremmo, prima ancora morali. Il pagamento del riscatto apre al recupero dell’operatività del sistema informatico “sequestrato” – restando, comunque, una certa alea riguardo all’affidabilità del Cybercriminale – , evitando all’utente una serie di pregiudizi economici rilevanti: la distruzione del sistema informatico attaccato, il costo della rielaborazione ex novo dello stesso, la perdita di operatività durante il “sequestro”, la compromissione degli interessi degli Stakeholders, ecc.

La situazione si complica nel caso in cui l’ente collettivo destinatario dell’attacco informatico attraverso il virus risulti un’impresa medio/grande, operante in un ambito sensibile o titolare di un prezioso database, ovvero un’istituzione o un ente della P.A. (un ministero, un’azienda pubblica, un ospedale).

Complicazione non solo derivante dalla più grave compromissione economica di interessi diffusi o di rilevanza pubblica (si immagini, rispetto ad un Ospedale il blocco dell’operatività dei sistemi informatici serventi la funzionalità delle sale operatorie), ma anche dai vincoli giuridici connessi all’esercizio di detta scelta.

A tale riguardo, infatti, l’esistenza ed operatività di un congruo Compliance Program potrebbe impedire l’accettazione del ricatto mediante il pagamento del riscatto ai criminali informatici. Ad es. perché una tale condotta resta esclusa dai principi etico-comportamentali; o perché il Modello 231,  declinando i vincoli special-preventivi a tutela della non commissibilità ad es. di un Reato societario ex combinato degli artt. 25 ter, Decreto e 2621 ss cod. civ., impedisce l’utilizzo per il pagamento del riscatto sia della disponibilità finanziaria aziendale che, men che meno, di provvista disponibile su “fondi neri” o su c/c non ufficiali (es. aperti presso istituti localizzati in Paesi rientranti nella “black-list“).

Nei casi in cui il riscatto risulti di ingente valore, in quanto parametrato dal Cybercriminale proprio sul valore intrinseco (sensibile o economico) dei dati contenuti nel Sistema informatico “sequestrato”, la stessa corresponsione di un ingente importo a favore della criminalità (magari anche estera, certo non facilmente rintracciabile, sia per le schermature informatiche attivate che a cagione del pagamento effettuato mediante “moneta virtuale”), giacché effettuata “nell’interesse/vantaggio” della società destinataria del virus, potrebbe anche realizzare la commissione di una fattispecie di reato di “finanziamento della criminalità” di cui al Catalogo 231. con la “paradossale” conseguenza dell’imputabilità della medesima società per responsabilità per illecito da reato ex d.lgs. n. 231.

Orbene: quali risultano gli strumenti di tutela apprensibili dagli enti collettivi ?

Riteniamo non solo i sofisticati sistemi antivirus e di back-up giornaliero. Anche perché i Cybercriminali lavorano senza posa – e ahinoi con successo – per superare tutte le barriere che i tecnici informatici internazionali (talora supportati anche da hakers consulenti) riescono a frapporre loro.

Ancora una volta il solo approccio utile riposa nella fattiva ed efficace azione special-preventiva del MOG. Che passa per la pubblicizzazione della scelta consapevole operata dalla società di non voler mai accettare siffatti ricatti, scegliendo sempre la soluzione della denuncia e collaborazione con le Forze dell’Ordine. Scelta da dichiarare e pubblicizzare ex ante sul proprio sito aziendale e coram populo.

Poi, un’attenta implementazione di misure di sicurezza informatica per il presidio giornaliero del proprio sistema informatico e telematico. Inoltre, lo sviluppo di peculiari ed effettive procedure di Cyber Risk Assessment e Managment, a cominciare dalla mappatura e ponderazione dell’intensità di siffatti rischi rispetto all’ente empirico.

Ancora, l’adozione di misure comportamentali e sistemi di controllo – ancor più laddove la mappatura dei rischi-reato abbia dato esito positivo in tal senso – che inibiscano ogni forma d’indebito utilizzo di disponibilità finanziarie aziendali (sia lecite, che illecite), da parte di qualsiasi esponente aziendale (apicale o sottoposto), nell’ottica di procedere al pagamento del riscatto indebitamente richiesto.

Da ultimo, una fattiva e proattiva collaborazione con la Polizia Postale e delle Comunicazioni, la sola ad essere dotata di strumenti oltreché sofisticati, idonei alla difficile individuazione del Cybercriminale, nonché al recupero della somma eventualmente corrisposta mediante un’operazione “assistita”, ovverosia di pagamento di moneta “informaticamente segnata”, la cui movimentazione possa essere tracciata; il tutto effettuato secondo le istruzioni e con la gestione della medesima Polizia.

Il fenomeno in esame, in continua evoluzione, impone strumenti efficaci e di pronta adozione.

Per ora, con il presente approfondimento, abbiamo inteso rilevare il problema e sensibilizzare l’interesse degli operatori economici.