I profili penali del ransoware

La crescita esponenziale degli attacchi a sistemi informatici con conseguente richiesta di “riscatto” in criptovalute per sbloccare i dati interroga il “penalista” circa l'idoneità dell'attuale legislazione a fronteggiare questo fenomeno. Sono molti i profili di interesse: chi dovesse pagare il “riscatto” è esente da responsabilità penali? Il dipendente che con la propria condotta rende possibile l'aggressione potrà esserne chiamato a rispondere in sede penale? Queste sono solo alcune delle questioni che il ransoware pone.

Una recente ricerca, Cyber Risk Survey patrocinata da ANRA (Associazione Nazionale dei Risk Manager e Responsabili Assicurazioni Aziendali) e condotta dall'Università di Verona in collaborazione con Riesko, ha fatto emergere come il mondo delle aziende abbia ormai sviluppato una importante sensibilità rispetto ai rischi cyber e alla sicurezza informatica. Tuttavia è ancora molto il lavoro da fare per colmare il gap tra grado di consapevolezza e azioni proattive: il 72% dichiara di averne un'alta consapevolezza, ma lo percepisce come un rischio tecnico, soprattutto legato ai sistemi IT (45%) piuttosto che strategico. Solo poco più della metà (il 55%) ha adottato un piano operativo di risk mitigation in azienda e molte realtà preferiscono appaltare la risoluzione di questi problemi all'esterno con soluzioni di outsourcing (64%). Il 49% delle aziende ha optato per programmi di formazione HR e nel 70% dei casi l'investimento in questi processi è minimo: meno del 15% del budget. Eppure, il principale fattore di vulnerabilità è nel 68% dei casi l'errore umano.

Come si vedrà in seguito (7. Errore umano e diritto penale), l'esperienza giudiziaria dimostra come proprio l'errore umano risulti essere una delle principali cause di aggressione ai sistemi informatici degli enti, pubblici o privati che siano, a mezzo di ransoware.

La fine del 2021 è stata funestata dall'ennesimo episodio di aggressione al sistema informatico di un ente pubblico condotta con questo malware: l'USL 6 Euganea è stata vittima di un attacco hacker che ha impiegato la piattaforma Lockbit2.0 per “sequestrare” i dati contenuti nel sistema informatico dell'ente. Una volta “sequestrati” i dati, viene chiesto il “riscatto”, ransom appunto, in criptovalute, per scongiurarne la pubblicazione: in questo caso la data fissata per la pubblicazione dei dati è stata indicata nelle ore 16.44. del prossimo 15 gennaio 2022, salvo che venga corrisposta la somma di 800mila euro in bitcoin. L'USL 6 Euganea ha già speso mezzo milione di euro per ripristinare il proprio sistema informatico: 300 mila euro sono stati spesi per acquistare nuovi server, processori e monitor; altri 200 mila euro sono stati spesi per licenze, memorie e nuovi sistemi di sicurezza.

Lo stesso gruppo ransomware Lockbit 2.0 ha poi rivendicato l'attacco a Thales, leader mondiale nel settore della difesa, dell'industria aeronautica, della sicurezza e dello spazio. Se non verrà pagato un riscatto, i dati esfiltrati verranno resi pubblici il prossimo 17 gennaio.

Come di desume da queste brevi note introduttive, non son pochi i profili giuridici che possono interessare il penalista che si debba occupare del ransoware.

I ransomware (dall'inglese ransom-, riscatto, e -ware, sofware) sono un tipo di malware (malicious software), che si infiltrano in un singolo computer o in una rete, ma anche in smartphone e persino dispositivi elettronici come Smart TV, per rubare informazioni, aprire le porte a controlli remoti o, tramite efficaci tecniche di cifratura dei file, per rendere inutilizzabili documenti, archivi, immagini e qualunque altro contenuto memorizzato sul disco fisso.

In particolare, l'“attaccante”, dopo aver criptato i file memorizzati sul disco rendendoli irrecuperabili, invia sulla schermata della vittima una richiesta di riscatto che dovrà essere corrisposta in bitcoin per ottenere il recupero dei propri file. L'effetto del malware in esame può essere anche la compromissione del sistema.

L'infezione, più nel dettaglio, avviene in due fasi, prima tramite l'esecuzione di un file contenente, in modo diretto o indiretto, il codice virale: attraverso l'apertura di allegati mascherati da finte fatture, note di credito, bollette di operatori telefonici o elettrici, presenti nelle e-mail e addirittura nella PEC, oppure tramite il download automatico o manuale di file dalla rete e l'istallazione di programmi compromessi, poi con la richiesta di riscatto (ransom) perché il virus sia rimosso e sia inviata la chiave di cifratura.

Questi malware sono in grado di ricercare i collegamenti in rete e dunque di aggredire non solo il sistema attaccato, ma anche il server centrale e i sistemi collegati.

Per giurisprudenza consolidata, i ransomware integrano la fattispecie di cui all'art. 635-bis c.p. (in questo senso Balboni, Tugnoli): perfeziona il delitto la cancellazione di dati informatici, ancorché questi possano essere recuperati attraverso una complessa procedura tecnica che richiede l'uso di particolari sistemi applicativi e presuppone specifiche conoscenze (Cass., sez. V, 18 novembre 2011, n. 8555, in un caso in cui un dipendente aveva cancellato, dal computer affidatogli dal datore di lavoro per motivi lavorativi, un numero rilevante di dati, i cui fileerano stati recuperati grazie all'intervento di un tecnico informatico specializzato).

Tuttavia assai più “calibrata” pare essere quell'acuta dottrina (Verga) che pone la distinzione tra l'istruzione automatica di danneggiamento del sistema e l'azione di danneggiamento commessa direttamente dall'agente in quanto nel primo caso si è dinanzi ad un programma virus, rilevante per il reato di cui all'art. 615-quinquiesc.p. (Diffusione di apparecchiature, dispositivi o programmi informatici diretti a danneggiare o interrompere un sistema informatico o telematico), mentre la seconda ipotesi si connota come azione isolata di disturbo eventualmente rilevante ex art. 635-bis c.p. (Danneggiamento di sistemi informatici e telematici).

In presenza di una condotta estorsiva il soggetto passivo si configura quale vittima: in quello che è diventato un vero e proprio modus operandi a partire dal primo trimestre del 2020, i criminal hacker stanno aggiungendo un'ulteriore fase ai loro attacchi. Prima di criptare i database delle vittime, gli aggressori estraggono grandi quantità di informazioni sensibili e minacciano di pubblicarle a meno che non vengano pagate le richieste di riscatto. Si fa qui riferimento al fenomeno noto come “doppia estorsione”, in quanto il ricatto si rivolge non solo all'ente proprietario dei dati, ma anche ai “titolari” di questi dati.

Il primo caso rilevato di doppia estorsione – nel novembre 2019 – riguardava la Allied Universal, una grande società di sicurezza americana.

Quando le vittime si sono rifiutate di pagare un riscatto di 300 Bitcoin (circa 2,3 milioni di dollari), gli aggressori – che hanno usato il ransomware Maze– hanno minacciato di usare informazioni sensibili estratte dai sistemi della società oltre a email e nomi di dominio rubati per una campagna di phishing che impersonava la Allied Universal stessa. A riprova del fatto che non si trattava di una minaccia vuota, gli aggressori hanno pubblicato un campione dei filerubati, tra cui contratti, cartelle cliniche e altro ancora. In un post successivo su un forum russo di hacking, gli aggressori hanno inserito un link a quello che secondo loro era il 10% delle informazioni rubate e una nuova richiesta di riscatto superiore del 50% rispetto alla precedente. TA2101, il gruppo “dietro” il ransomware Maze (attivo anche in Italia), ha creato da allora una pagina web dedicata che elenca le identità delle vittime “non cooperative” e pubblica regolarmente campioni dei dati rubati. Da allora Maze ha pubblicato i dettagli di decine di aziende, studi legali, fornitori di servizi medici e compagnie assicurative che non hanno ceduto alle loro richieste.

Ma si stima che molte altre società abbiano evitato la pubblicazione dei loro dati sensibili pagando il riscatto richiesto.

Le conseguenze di un attacco ransomware divengono esponenzialmente più grandi al crescere della dimensione dell'Ente colpito. Al di là del danno economico rappresentato dal prezzo del riscatto, le società devono altresì affrontare il delicato tema del risarcimento alle persone fisiche i cui dati sono stati aggrediti dall'attacco hacker, nonché fronteggiare il crollo reputazionale

Il Garante italiano della protezione dei dati personali, nella scheda concernente il ransomware(in www.garanteprivacy.it) rileva:

«l'emergenza sanitaria da Covid2019 - che porta molte più persone e per molto più tempo ad essere connesse online e ad utilizzare dispositivi digitali - sembra essere affiancata da un pericoloso “contagio digitale”, alimentato da malintenzionati che diffondono software “malevoli” per varie finalità illecite».

Analogo concetto è stato espresso nel corso dell'incontro dedicato a Le nuove forme di criminalità virtuale tenutosi il 14 aprile 2021, presso la Corte di cassazione, Aula virtuale su Teams, cui hanno preso parte i relatori Lorenzo Picotti, Elisabetta Rosi, Ciro Grandi, Stefano Capaccioli e Rossella Catena, con il coordinamento, per la predetta Struttura della formazione decentrata, dei Consiglieri Alessandra Bassi, Antonio Corbo e Gianluigi Pratola.

In particolare, la coordinatrice, Cons. Bassi, ha evidenziato in via introduttiva come Internet e la comunicazione digitale in genere rappresentino ormai la modalità ordinaria di interrelazione in ambito familiare, sociale, economico e professionale: «la rivoluzione tecnologica ha subito un'ulteriore accelerazione nell'ultimo anno a causa dell'emergenza epidemiologica, laddove, a fronte di reiterati lockdown, ha consentito di mantenere attive le relazioni interpersonali. In piena simmetria con lo sviluppo degli strumenti informatici, si sono ampliate le modalità e le forme di aggressione in danno di beni localizzati nel cyberspazio. L'era digitale ha messo a disposizione della criminalità un nuovo terreno di gioco per esprimere forme inedite di offesa nei confronti di interessi penalmente rilevanti».

Si legge nel REPORT dell'incontro, curato da Andrea Antonio Salemme (Magistrato dell'Ufficio del Massimario e del Ruolo presso la Suprema Corte di cassazione) che già la convenzione EU sul cybercrime – oltre ai reati classici contro la confidenzialità, l'integrità e la disponibilità dei dati e ai reati cibernetici – prevede che le proprie disposizioni si applichino estensivamente anche ad ogni altro reato commesso mediante sistemi informatici (estorsione, riciclaggio, stalking a mezzo del Web) ed a qualsiasi reato che lasci prove o tracce in forma elettronica (come la corruzione i cui rapporti illeciti siano dimostrabili attraverso tracce informatiche). L'intervento regolatore dell'Unione Europea ha favorito lo sviluppo di un sistema di cooperazione di polizia giudiziaria tra gli Stati membri e ha promosso la stipula di altre specifiche convenzioni da parte del Consiglio d'Europa, quali il protocollo contro il razzismo in rete del 2003 e la convenzione di Lanzarote contro la corruzione dei minori del 2007. Nel diritto penale positivo italiano, le fattispecie, in ragione della poliedricità delle condotte offensive, assumono un significato più ampio e si estendono in via interpretativa anche a condotte non tipicamente descritte dalle norme (ad es.: in rapporto all'art. 393, comma terzo, c.p., l'esercizio arbitrario delle proprie ragioni può essere perpetrato anche mediante violenza informatica; in rapporto all'art. 629 c.p., l'estorsione può essere realizzata in forma di ransomware ovvero mediante il lancio di un malware per ottenere un riscatto in bitcoin).

Numerosi reati a natura comune, quali truffe, scommesse illegali, pedopornografia, compravendita di merci o servizi illegali, estorsione, hanno avuto rapida diffusione sul web in quanto agevolata proprio dalla comparsa delle criptovalute.

Nello specifico, le criptocurrenciesrappresentano (negli schemi più semplici) il metodo di pagamento più richiesto dai criminali quale contropartita della propria attività illecita.

La cronaca degli ultimi anni fornisce numerosi esempi in tal senso.

A maggio 2017 il c.d. attacco WannaCry ha dato vita ad un'“epidemia” informatica sui computer dotati del sistema operativo Microsoft Windows. Il virus era capace di criptare i file presenti sui computer e di chiedere un riscatto in Bitcoin per decriptarli: in altri termini, esso rendeva inservibile il pc ed esigeva un pagamento in moneta virtuale per liberarlo dal blocco “virale”. L'attacco WannaCry ha colpito numerose istituzioni a livello globale, quali FedEx, Telefónica, Renault e il Ministero dell'interno russo.

Ancor più di recente, l'azienda canadese LifeLabs, che ogni anno effettua oltre 112 milioni di test di laboratorio, ha dovuto corrispondere un'ingente somma, il cui esatto importo è rimasto ignoto, per ottenere la restituzione dei dati sanitari di oltre 15 milioni di pazienti.

Il settore degli attacchi ransomwareè in continua crescita: nel corso del 2016 essi sono aumentati di più̀ del 50% rispetto al 2015 e nello stesso anno le società̀ bersaglio hanno corrisposto a titolo di riscatto importi equivalenti ad 850 milioni di dollari, a fronte dei 25 milioni corrisposti del 2015.

Solo nel mese di dicembre 2021 si contano 138 vittime di attacchi ransomware nel mondo. Per un totale di 26,3 milioni di dollari di richieste di riscatto. Per l'anno 2021, in testa a questa triste classifica troviamo il gruppo criminale Conti con 477 vittime e a seguire Lockbit2.0 con 457 attacchi portati a compimento.

La Hellmann Worldwide Logistics, il gigante tedesco dei trasporti e della logistica, è stata colpita da un attacco informatico che ha bloccato le operazioni quotidiane: anche in questo casi si è trattato di un ransomware.

Le indagini sono ancora in corso per accertare le cause dell'incidente di sicurezza, ma intanto la gang criminale RansomExx (già nota per l'attacco alla Regione Lazio) che ha diffuso i dati con un leak di 70 GB sul proprio sito nel Dark Web, raggiungibile sotto rete Tor, ne rivendica l'attacco pubblicamente dal 15 dicembre 2021.

Fin dal primo emergere delle valute virtuali, la più autorevole dottrina (Parodi), non ha mancato di evidenziare come l'acquisto o il trasferimento di bitcoin possa essere funzionale ad ostacolare l'identificazione della provenienza delittuosa di denaro o altra utilità di provenienza illecita e ciò sia nell'ipotesi in cui i bitcoin rappresentino uno strumento di pagamento sia in quelli in cui assumano una funzione esclusivamente speculativa. L'autore evidenzia come le caratteristiche del sistema degli scambi di bitcoin limitino fortemente il potere coattivo dello Stato, che si trova privo di adeguati strumenti di intervento, in considerazione che la criptovaluta si presta ad essere trasferita e conservata in modo autonomo.

Tuttavia occorre tener distinte le prospettive giuridiche e quelle criminologiche al fine di evitare la erronea sovrapposizione tra criminalità economica e diritto penale economico, riservando la qualifica di economico al "reato strumentalmente connesso all'esercizio di una attività economica". In tal modo, è più facile cogliere la diversificazione delle aree di rischio penale (e non) insite nell'attività dell'exchangerdopo la riforma del 2017 (Naddeo).

Seguendo un climax crescente, infatti, il panorama sanzionatorio risulta particolarmente composito, includendo – oltre alle sanzioni amministrative e penali previste in caso di violazione degli obblighi antiriciclaggio – ipotesi di abusivismo punite in sede amministrativa, delitti di abusivismo finanziario e bancario, fino al riciclaggio e alle (problematiche) forme di concorso nell'autoriciclaggio e nei reati comuni (di estorsione, danneggiamento di sistemi informatici, accesso abusivo al sistema informatico, ecc.) integrati dagli hackers.

Chiude il reticolo sanzionatorio il segmento relativo al monitoraggio fiscale con le relative fattispecie criminose (oltre alle sanzioni amministrative per la violazione dei nuovi obblighi di trasmissione all'Agenzia delle Entrate, previste dal novellato art. 5 d.l. n. 167/1990, potendosi configurare un reddito d'imposta, sono configurabili i reati fiscali dichiarativi connessi alle imposte dirette ex artt. 2-5, d.lgs. n. 74/2000).

Occorre procedere per gradi.

Sicuramente, la inclusione dei "prestatori di servizi relativi all'utilizzo di valuta virtuale" tra i cc.dd. soggetti obbligati (art. 3, comma 5, lett. i), d.lgs. n. 231/2007) e la relativa imposizione di iscriversi in apposito registro tenuto presso l'OAM con relativo obbligo di comunicazione al Mef (art. 17-bis, comma 8-bis, d.lgs. n. 141/2010) determina per l'exchanger la potenziale integrazione dell'illecito amministrativo per l'esercizio abusivo ex art. 17-bis, comma 5, d.lgs. n. 141/2010 e, in caso di violazione degli obblighi antiriciclaggio, la contestazione di una o più fattispecie penali positivizzate all'art. 55, d.lgs. n. 231/2007 (oltre al corredo degli illeciti amministrativi di cui agli artt. 56 ss., d.lgs. n. 231/2007). Sussistendone i presupposti, poi, non è revocabile in dubbio che l'exchanger possa essere chiamato a rispondere di concorso nei reati realizzati dagli hackers ai danni delle vittime di vicende di natura estorsiva, legate alla diffusione di malware (art. 635-bis c.p.), che consentono l'intrusione informatica e il sequestro di dati (art. 615-ter c.p.) sbloccati a fronte di un riscatto in bitcoin (art. 629 c.p.).

Meno scontato è, invece, se «le attività di emissione di valuta virtuale, conversione di moneta legale in valute virtuali e viceversa e gestione dei relativi schemi operativi potrebbero invece concretizzare, nell'ordinamento nazionale, la violazione di disposizioni normative, penalmente sanzionate, che riservano l'esercizio della relativa attività ai soli soggetti legittimati (artt. 130, 131 T.U.B. per l'attività bancaria e l'attività di raccolta del risparmio; art. 131 ter T.U.B. per la prestazione di servizi di pagamento; art. 166 T.U.F. per la prestazione di servizi di investimento)». Il dubbio, posto da Banca d'Italia in un'avvertenza sull'utilizzo delle cosiddette "valute virtuali" datata 30 gennaio 2015, non sembra essere del tutto fugato dall'espresso riconoscimento della categoria degli exchanger.

Sebbene l'utilizzo di valuta virtuale operi quale moltiplicatore di rischi che, oltre a colpire i miners, si riflettono sugli altri partecipanti al mercato, minacciando persino l'integrità finanziaria, e l'equiparazione della figura dei professionisti del mercato delle criptovalute a quella dei cambiavalute (senza distinzione tra attività di trading- diretto o indiretto -, mining e mixing) avvicini implicitamente la valuta virtuale alla "moneta" (pur senza metterne a fuoco la natura giuridica), non sembra ancora possibile stigmatizzare il Cryptocurrency Exchange non autorizzato con l'arsenale sanzionatorio previsto per l'abusivismo bancario e finanziario.

Insomma, anche dopo l'emanazione del d.lgs. 25 maggio 2017, n. 90 il principio di legalità in materia penale risulta ostativo all'applicazione degli artt. 130 ss. T.U.B. e dell'art. 166 T.U.F., opponendovi il corollario della tassatività(e, quindi, del divieto di analogia). A disattivare le singole fattispecie è il riferimento ad elementi costitutivi quali l'attività di raccolta del risparmio tra il pubblico (artt. 130 e 131 T.U.B.), l'attività di concessione di finanziamenti (art. 132 T.U.B.), le definizioni di moneta elettronica (art. 131-bis T.U.B.) e servizi di pagamento (art. 131-ter T.U.B.), che rendono incompatibili fattispecie e tipo.

Allo stesso modo (sempre per Naddeo), non sembra possano trovare cittadinanza nel nostro ordinamento le conclusioni dell'Autorità Finanziaria Federale tedesca (BaFin), che in una delle sue avvertenze inquadra le criptovalute (impiegate in attività professionali) tra gli strumenti finanziari, non essendo le VCs incluse in alcuna delle voci che specificano la disciplina dell'intermediazione finanziaria (valori mobiliari, strumenti del mercato monetario, OICR).

Tali valutazioni non sembrano trovare smentita neppure nella sentenza n. 26807 del 25 settembre 2020 della seconda sezione penale della Cassazione, che non ha affermato affatto che i bitcoin siano strumenti finanziari, ma si è pronunziata su un caso particolare, in cui era in questione se un certo operatore avesse svolto attività di intermediazione finanziaria senza essere debitamente autorizzato e senza aver posto in essere una serie di adempimenti obbligatori. In quel caso particolare, la Cassazione ha stabilito che quello che si configurava come una proposta di investimento era non la criptovaluta in sé stessa, ma l'operazione di vendita di quella criptovaluta. Operazione che, secondo la Corte, è stata pubblicizzata con modalità tali da consentire ai risparmiatori di valutare se aderire o no all'iniziativa.

L'operatività dei prestatori di servizi relativi all'utilizzo di valuta virtuale è, dunque, fuori anche dalla portata dell'art. 166 T.U.F. e resta garantita unicamente dall'illecito amministrativo per l'esercizio abusivo dell'attività (art. 17-bis, comma 5, d.lgs. n. 141/2010); un illecito sproporzionato rispetto al calibro delle fattispecie appena richiamate, che rischia di non essere in grado di presidiare efficacemente i fondamentali canali di entrata e di uscita nel sistema di laundering.

Si impone un necessario processo di enforcementche combini la regolazione del fenomeno delle valute virtuali, saldando la cerniera dei controlli con l'introduzione della figura dei prestatori di servizi di portafoglio digitale (per l'attività di enforcement si rinvia a Bosi, che descrive le attività di contrasto svolte dalle forze di polizia a livello nazionale ed internazionale al tempo delle cripto-valute e del Dark web).

L'anonimato delle transazioni e la natura ubiqua delle monete virtuali polarizza nel riciclaggioil rischio-reato più elevato della peer to peer e-money. D'altra parte, l'ultimo report dell'Internet Cybercrime Centre (EC3) di Europol rivela il rapporto di proporzione diretta tra la capitalizzazione del mercato delle criptovalute e lo sviluppo del cybercrime, che si riflette di conseguenza sul riciclaggio digitale c.d. integrale. In tale contesto, il crimine può avvalersi dei servizi di mixing (noti anche come cryptocurrency tumbler) e sfruttare complesse tecniche di trasferimento della valuta virtuale che, utilizzando conti di rimbalzo (conti bounce) o collettori (conti pool o pot) in combinazione con la tecnologia Blockchain rendono quasi impossibile la ricostruzione dei passaggi intermedi [tra fase di ingresso (gateway) e uscita (withdrawing)], garantendone l'anonimato.

La specificità di queste tecniche, immediatamente riconducibile alla nota modale che contraddistingue la struttura penalistica del riciclaggio (art. 648 bis c.p.), consente sostituzioni o trasferimenti "in modo da ostacolare la identificazione della provenienza" delle utilità eventualmente illecite, perché generate da un delitto non colposo (deve però rammentarsi che con il decreto legislativo n. 195 del 2021, recante “Attuazione della direttiva (UE) 2018/1673 del Parlamento europeo e del Consiglio , del 23 ottobre 2018, sulla lotta al riciclaggio mediante diritto penale”, nel primo comma dell'art. 648-ter.1c.p. sono state soppresse le parole “non colposo”. Inoltre sempre con il sopra citato decreto legislativo viene introdotta, con l'inserimento di un secondo comma nell'art. 648-ter.1c.p., una nuova ipotesi di autoriciclaggio riguardante denaro o cose provenienti da contravvenzione punita con l'arresto superiore nel massimo ad un anno o nel minimo a sei mesi).

Il coinvolgimento della figura dell'exchanger sarà quindi possibile soprattutto nelle ipotesi di reato-presupposto integrato off-line, quando il denaro di provenienza illecita è consegnato al prestatore di servizi relativi all'utilizzo di valuta virtuale per essere “digitalizzato”, ovvero nei casi in cui sia la valuta virtuale a rappresentare il provento illecito da convertire in valuta avente corso legale per il tramite dello "scambiatore" professionale.

L'astratta sussumibilità delle tipologie criminose appena richiamate nella fattispecie di cui all'art. 648-bis c.p. e l'aura di sospetto che avvolge di fatto i servizi di mixing rischia tuttavia di condurre a indebite scorciatoie probatorie, da contrastare con la necessaria ponderazione del "rischio che la natura intrinsecamente opaca ed anomala delle criptovalute presti il fianco a legittimi dubbi di consapevolezza, in capo all'exchanger (o al diverso soggetto che compia l'operazione di conversione di valuta avente corso legale in valuta virtuale), della provenienza illecita dei fondi utilizzati per l'acquisto della virtual currency di volta in volta considerata".

Ferma restando la compatibilità della valuta virtuale con l'oggetto materiale del reato (quantomeno sub specie di “altra utilità”), un ruolo fondamentale è dunque giocato dall'accertamento della rappresentazione della provenienza delittuosa che sottende alla volontà di compiere le attività di conversione della valuta in modo da dissimulare la provenienza delittuosa del provento illecito (in modalità online, se la ricchezza illecita è costituita da valuta reale, ovvero offline, se essa è originariamente costituita da criptovaluta e si vuole utilizzare il contesto reale per la successiva fase di riciclaggio). La sussistenza del dolo (generico) di riciclaggio consente in astratto di contestare un concorso nell'altrui riciclaggio anche ai rappresentanti della società di exchange che non dovessero segnalare operazioni sospette, volendo integrare la suddetta omissione (non impeditiva) nella consapevolezza della provenienza delittuosa del denaro oggetto dell'operazione stessa. La contestazione, come noto, può essere estesa alla società, laddove l'attività di exchanger sia esercitata da persona giuridica per il tramite dell'art. 25-octies, d.lgs. n. 231/2001, che - in caso di accertata commissione di tali delitti - consente la confisca (e, in via cautelare, il sequestro preventivo) del profitto del reato.

Nel rischio penalistico dell'attività di exchange deve inoltre essere considerato il delitto di autoriciclaggio. Da un punto di vista fenomenologico, è probabile che la nuova figura di “cambiavalute” entri in contatto con l'autore del reato-presupposto, intenzionato ad usufruire dei suoi servizi a scopo di riciclaggio, quando quest'ultimo è già in possesso della valuta (virtuale o reale) di provenienza illecita da sottoporre al processo di conversione.

Stando alla letteratura in materia, l'apporto arrecato in sede di (auto)riciclaggio consentirebbe di configurare in capo all'exchanger il concorso nell'altrui condotta di "autoriciclaggio", secondo lo schema del "concorso dell'extraneus nel reato proprio". Tuttavia, anche in questo caso il pericolo è quello di una espansione incontrollata della fattispecie di reato, che deve essere sottratta all'“esuberanza” propria del diritto penale del rischio e sottoposta a una ermeneutica normativamente orientata.

Il programma epistemologicamente verificabile del tipo astrattamente positivizzato consente, in verità, di escludere la configurabilità dell'autoriciclaggio nei casi (come quello prospettato) in cui non venga in rilievo l'attività di cambiavalute, ma la (condotta di) conversione di valuta intesa quale contributo materiale del concorrente estraneo. Tale condotta non deve essere confusa con la destinazione «in attività economiche, finanziarie, imprenditoriali o speculative», contemplata dall'art. 648-ter.1 c.p. per delimitare l'area del reimpiego e superare il limite del ne bis in idem sostanziale. Al contrario, esso dovrà essere inquadrata come semplice "sostituzione" (o, al massimo, trasferimento o altra operazione) realizzata da un soggetto terzo rispetto alla commissione del predicate crime, che è quindi chiamato a rispondere di riciclaggio (ex art. 648 bis c.p.) e non di concorso in autoriciclaggio (ex artt. 110 e 648-ter.1 c.p.).

Diversamente, i prestatori di servizi relativi all'utilizzo di valuta virtuale (che svolgono tale attività anche in forma societaria) potranno rispondere di "autoriciclaggio" (in assetto monosoggettivo o plurisoggettivo), laddove impieghino valuta virtuale o reale, generata da reati (online od offline) eventualmente realizzati in concorso con altri (ad es. hackers), nell'attività di cambiavalute svolta "a titolo professionale". In questo caso, infatti, l'attività professionale rileverà in quanto tale, ovvero quale destinazione (appunto economica, finanziaria, imprenditoriale o speculativa) delle somme reimpiegate, rispecchiando la ratio dell'art. 648-ter.1 c.p., che potrà trovare corretta applicazione.

Si afferma con decisione la necessità – in sede applicativa – di un controllo critico sull'incriminazione mediante il paradigma dell'offesa dell'interesse tutelato, stabilizzando la dialettica tra bene e offensività che dovrà ispirare il legislatore in prospettiva de lege ferenda, assicurando forme di tipizzazione che possano essere accertate mediante il controllo critico delle conseguenze della violazione.

Le considerazioni espresse da Naddeo, che si condividono nella loro integralità, acquistano tanto maggior pregio sol ove si pensi al panorama internazionale.

Il dipartimento del Tesoro degli Stati Uniti ha chiarito da ultimo, mediante due note del Financial Crimes Enforcement Network (FINCEN) e dell'Office of Foreign Assets Control, che anche pagare il riscatto richiesto dai criminali di turno potrebbe comportare profili di rischio e responsabilità.

Difatti, tali tipologie di pagamenti potrebbero configurare un'attività di trasmissione di denaro o, addirittura, una violazione delle norme sul riciclaggio di denaro e, pertanto, potrebbero far scattare in capo alle aziende anche responsabilità penali o comunque sanzioni.

Nello specifico, le note sono indirizzate alla realtà americana e, quindi, a quelle società – comprensive delle compagnie assicurative – che forniscono servizi di supporto in caso di cyber-attacchi, incluse le polizze di sicurezza informatica.

Ecco che, quindi, negli USA vige la registrazione all'albo del FINCEN di tutte quelle società attive nelle operazioni di trasmissione di denaro, che da adesso saranno obbligate a segnalare casi noti o sospetti di coinvolgimento di risorse derivanti da attività illegali, qualora la transazione sia superiore ai 5.000,00 dollari, e i casi di pagamento di riscatti derivanti da cyberattacchi.

Nel caso la questione implichi o possa implicare anche violazioni della normativa sull'antiriciclaggio, le aziende dovranno temere, oltre al danno, anche la “beffa”, ossia le ripercussioni a livello sanzionatorio.

Saranno, infatti, puniti coloro che assistano materialmente, sponsorizzino o supportino a livello finanziario, tecnico o tecnologico gli autori di attacchi ransomware e che siano coinvolti in transazioni con i soggetti rientranti nella cd. Specially Designated Nationals and Blocked Persons List (SDN), potendo ricadere su di essi profili di responsabilità anche in caso di non consapevolezza/conoscenza dell'esistenza di tali transazioni.

Un altro aspetto da considerare in tema di ransomware è quello della compromissione del cd. RID (ossia la riservatezza, integrità e disponibilità dei dati o dei sistemi informatici), capace di configurare condotte di rilevanza penalistica e che, come già sopra esposto, già nel 2001 la Convenzione di Budapest sulla criminalità indicava come meritevoli di applicazione di pene severe.

È giusto il caso di ricordare che la citata Convenzione è il primo trattato internazionale sulle infrazioni penali commesse via internet e su altre reti informatiche, e si concentra in particolare su violazioni dei diritti d'autore, frode informatica, pornografia infantile e violazioni della sicurezza della rete, avendo come obiettivo principale quello di puntare ad ottenere una politica penale comune per la protezione della società contro la cybercriminalità.

Che la violazione dei sistemi e la richiesta di riscatto potesse essere fonte di ripercussioni sul piano giuridico non è, però, cosa nuova, quanto meno sul nostro territorio nazionale.

Dato per “scontato”, infatti, che la commissione di tali azioni rientri, ovviamente, in condotte penalmente rilevanti ai sensi di differenti articoli del codice penale italiano e del d.lgs. n. 231/2001 sulla responsabilità degli enti, un po' meno semplice è il capire se il fatto stesso di pagare riscatti possa costituire una condotta punibile per il nostro ordinamento.

Una prima ipotesi applicabile potrebbe essere quella prevista dall'articolo 379 del codice penale, ossia quella relativa al reato di favoreggiamento “reale”.

La fattispecie in esame sembrerebbe essere caratterizzata dal fatto che il contenuto dell'aiuto abbia per oggetto la garanzia del profitto criminoso, dal momento che assicurare andrebbe intenso nel senso di rendere stabile, certo e definitivo, l'ottenimento nella propria sfera patrimoniale dei beni o delle utilità derivanti dall'illecito.

Sul punto, si noti, è bene distinguere che in caso di persona fisica/privato il reato in questione sembra non potersi applicare, dal momento che subendo la condotta verrebbe a configurarsi come mera vittima, soggetto passivo e non attivo della commissione del reato.

A ciò si aggiunga in questi casi potrebbero venire in aiuto anche alcune cd. esimenti o cause di esclusione della punibilità, quali ad esempio lo stato di necessità che avrebbe inciso sulla decisione del soggetto di cedere alla minaccia e all'estorsione: secondo la giurisprudenza di legittimità formatasi in tema di sequestro di persona a scopo di estorsione, la causa di giustificazione dello stato di necessità si configura solo qualora ricorrano ulteriori, concreti elementi di pericolo per l'ostaggio, non essendo sufficiente la mera privazione della libertà personale di questi a scriminare l'attività dell'intermediario (C., Sez. I, 5.12.2000)

Quando, invece, il soggetto che paga il riscatto è una persona giuridica, le regole sembrano cambiare.

In questo caso andrà ulteriormente scisso il caso degli enti pubblici, da quello delle società “private”.

Nella prima ipotesi, l'ente pagando il riscatto in risposta all'estorsione rischierà di essere chiamato a rispondere per danni all'erario se non dimostra che la condotta tenuta è valsa ad evitare alla amministrazione pubblica danni ancora più ingenti, dal momento che – si ricordi – tutto l'iter è sottoposto al controllo amministrativo e contabile della Corte dei Conti. la Corte dei Conti procederà a un controllo amministrativo e contabile, esponendo eventualmente il funzionario a responsabilità personale per danno all'erario (cfr. Corte dei Conti, sez. unite, n. 4511 del 2006), salvo la prova che la condotta abbia evitato all'Amministrazione danni maggiori.

Laddove, invece, si ricada in ambito societario, bisognerà guardare prettamente alle casistiche previste dal d.lgs. n. 231/2001, e così nello specifico ai reati di false comunicazioni sociali, ostacolo all'esercizio delle funzioni dell'autorità di vigilanza, impedito controllo, autoriciclaggio e finanziamento della criminalità organizzata.

A ciò si aggiunga che il pagamento del riscatto costituisce, oltre che una modalità di alimentazione della criminalità, anche una violazione di principi, valori, ideali doverosamente contenuti nel Codice Etico stilato ai sensi del sistema 231, e quel documento rientra a pieno titolo nelle cd. “promesse al pubblico” ai sensi dell'articolo 1989 del codice civile. E così, «Colui che, rivolgendosi al pubblico, promette una prestazione a favore di chi si trovi in una determinata situazione o compia una determinata azione, è vincolato dalla promessa non appena questa è resa pubblica».

In ultimo, ma non per questo meno importante, è doveroso citare il DPCM del 30 luglio 2020 in tema di sicurezza nazionale cibernetica, che sembra sposare in toto le preoccupazioni del Dipartimento del Tesoro americano, di cui sopra.

Il documento prevede, infatti, che entro 6 ore dal verificarsi di un attacco cyber, il soggetto dovrà obbligatoriamente rivolgersi al CSIRT nazionale (Computer Security Incident Response Team), dovendo altrimenti, ove non provveda alla segnalazione, scontrarsi con sanzioni che potranno arrivare fino a 1 milione e mezzo di euro.

È agevole constatare come il ransoware possa essere foriero di severe implicazioni penali per gli enti, tanto pubblici che privati.

A fronte di ciò, resta da domandarsi se il cd. errore umano, che, come visto, è una delle principali causa di diffusione di questo virus, possa del tutto esulare dall'ambito di applicazione del diritto penale.

Già il Giudice del lavoro del Tribunale di Venezia, con la sentenza n. 494 del 21 agosto 2021 a fronte di un'azienda che lamentava di essere stata vittima di hackeraggio con blocco dell'intero sistema aziendale per cui era stata costretta al pagamento del riscatto, aveva ritenuto che tale condotta integrasse gli estremi della giusta causa di licenziamento del dipendente che, navigando per scopi personali su siti internet non sicuri aveva arrecato l'attacco informatico e il conseguente danno all'azienda.

Ma ancor più emblematica è la vicenda trattata da Cass. civ. sez. lavoro, sent., (ud. 17 giugno 2021) 22 settembre 2021, n. 25732: veniva impugnato dinanzi al Tribunale di Roma il licenziamento per giusta causa di una dipendente intimato il 29 gennaio 2016 dalla Fondazione Accademia Nazionale di Santa Cecilia: in seguito all'accertamento della diffusione di un virus nella rete aziendale l'amministrazione del sistema informatico della Fondazione aveva eseguito un accesso sul computer della lavoratrice, appurando che nella cartella di download del disco fisso della ricorrente era presente un file scaricato che aveva propagato il virus che, partito dal computer aziendale in uso alla lavoratrice, aveva iniziato a propagarsi nella rete della Fondazione, criptando i fileall'interno di vari dischi di rete, rendendo gli stessi illeggibili e quindi inutilizzabili. In occasione dell'intervento venivano in rilievo numerosi accessi - da parte della lavoratrice a siti che all'evidenza erano stati visitati per ragioni private, per un tempo lungo, tale da integrare una sostanziale interruzione della prestazione lavorativa. Con lettera del 30 novembre 2015 alla ricorrente veniva contestato, per il periodo 16 ottobre 2015-16 novembre 2015:

a) L'impiego di mezzi informatici messi a disposizione dal datore di lavoro per l'esecuzione della prestazione lavorativa a soli fini privati ed in violazione delle disposizioni impartite in ordine all'utilizzo degli stessi nonché dei più elementari doveri di diligenza, correttezza e buona fede nell'esecuzione della prestazione;

b) la sostanziale interruzione in tutto il periodo di riferimento della prestazione lavorativa, visti tempi e quantità di navigazione per fini privati;

c) l'aver causato con il suo operato gravi danni al patrimonio aziendale sia per la perdita dei dati sia per l'impossibilità degli uffici della Fondazione di accedere alle cartelle elettroniche danneggiate per tutto il tempo necessario al ripristino del sistema;

d) la recidiva, tenuto conto dell'evenienza che, a fronte della contestazione disciplinare datata 26 novembre 2013, prot. n. 10323, le era stata applicata, in data 19 dicembre 2013, prot. n. 1539, la sanzione del licenziamento per giusta causa, successivamente convertita in via transattiva in sospensione dal servizio.

All'esito della fase sommaria il Tribunale rigettava il ricorso. In sede di opposizione veniva invece dichiarata l'illegittimità del recesso e disposta la reintegrazione della lavoratrice nel posto di lavoro.

Diversamente dal giudice dell'opposizione, la Corte territoriale ha ritenuto provata l'intenzionalità della condotta e proporzionata la sanzione in relazione alla avvenuta violazione dell'art. 33 del C.C.N.L. applicato dalla Fondazione. Ha accertato infatti che con il suo comportamento la lavoratrice aveva consapevolmente trasgredito alle indicazioni date dalla Fondazione con riguardo all'uso degli strumenti informatici, indicazioni delle quali era stata compiutamente resa edotta, così sottraendo energie alla prestazione lavorativa ed incrinando irrimediabilmente la fiducia datoriale in relazione alla correttezza del futuro adempimento della prestazione, tenuto conto anche della sanzione disciplinare già irrogatale nel 2013 per una violazione che presentava analogie con quella contestata corroborando la valutazione di gravità della condotta.

Occorre dunque domandarsi se a fronte di condotte di consapevole violazione delle indicazioni aziendali circa l'impiego degli strumenti informatici, in caso, vieppiù, di recidiva per comportamenti analoghi, il danneggiamento al patrimonio aziendale continui a rilevare esclusivamente come ipotesi colposa, o non sia più ragionevolmente sussumibile nell'ipotesi dolosa. Ma a tal fine sarebbe sufficiente l'elaborazione dottrinaria e giurisprudenziale in tema di dolo eventuale?

Tali dubbi non paiono peregrini attesi i dati emergenti dalle più recenti indagini – il principale fattore di vulnerabilità è nel 68% dei casi l'errore umano – e dalle sentenze che si sono occupate di questi “errori”.

Per fornire una risposta costituzionalmente orientata a tali quesiti occorre però tenere ben presente il prezioso insegnamento di Naddeo sopra riportato.

Si può così dubitare che sia in toto sostenibile la tesi sostenuta nel REPORT dell'incontro dedicato a Le nuove forme di criminalità virtuale tenutosi il 14 aprile 2021 secondo cui nel diritto penale positivo italiano, le fattispecie, in ragione della poliedricità delle condotte offensive, assumono un significato più ampio e si estendono in via interpretativa anche a condotte non tipicamente descritte dalle norme, senza incorrere nel rischio di violazione del principio di tassatività della norma penale e del divieto di analogia in questa materia.

Sotto questo profilo basti ricordare il recente intervento normativo – decreto legislativo n. 195 del 2021, recante “Attuazione della direttiva (UE) 2018/1673 del Parlamento europeo e del Consiglio , del 23 ottobre 2018, sulla lotta al riciclaggio mediante diritto penale”, che nel primo comma dell'art. 648-ter.1c.p. ha soppresso le parole “non colposo”, e, con l'inserimento di un secondo comma nell'art. 648-ter.1c.p., ha introdotto una nuova ipotesi di autoriciclaggio riguardante denaro o cose provenienti da contravvenzione punita con l'arresto superiore nel massimo ad un anno o nel minimo a sei mesi. Quando il legislatore ha inteso espandere la forza incriminatrice di una disposizione penale deve farlo espressamente senza affidarsi alla forza espansiva della giurisprudenza.

Non pare per altro azzardato sostenere che un impianto normativo ancora risalente al 1930, soggetto a numerosi “innesti” a “macchia di leopardo” a seguito delle varie “emergenze”, al quale per altro si àncorano le norme ad es. del d.lgs. 231/2001, sia inidoneo a rispondere alle sfide poste al “penalista” dalle variegate forme di manifestazione della criminalità virtuale.

Conclusivamente, benché nel diritto penale positivo italiano, le fattispecie, in ragione della poliedricità delle condotte offensiveassumono un significato più ampio, appare una forzatura sostenere che essi possano estendersi in via interpretativa anche a condotte non tipicamente descritte dalle norme: e ciò è tanto più vero rispetto a condotte quali il danneggiamento di sistema informatico dovuto sì ad errore umano, ma connotato in termini di consapevole e reiterata violazione delle policies aziendali regolanti l'impiego degli strumenti aziendali.

Cyber risk nelle imprese italiane: alta la consapevolezza, scarse le azioni di mitigazione, in www.riskmanagement360.it, 22 dicembre 2021

Marco Di Muzio, Attacco alla Ulss Euganea di Padova rivendicato dal ransoware Lockbit: un caso che deve far riflette, in www.cybersecurity360.i

Paolo Balboni e Francesca Tugnoli, Reati informatici e tutela dei dati personali: profili di responsabilità degli enti, in responsabilità degli enti: problematiche e prospettive di riforma a venti anni dal D. LGS. 231/2001, in Giurisprudenza Penale 2021/1-Bis

Giovanna Verga, art. 615-quinquies c.p. (Diffusione di apparecchiature, dispositivi o programmi informatici diretti a danneggiare o interrompere un sistema informatico o telematico), Codice Penale Commentato,

Pierguido Iezzi, L'evoluzione del ransomware, la doppia estorsione: ecco di cosa si tratta, www.cybersecurity360.it 08 Set 2020

Cesare Parodi, Tecnologia blockchain, bitcoin e riciclaggio: il futuro è adesso, in ilpenalista.it, 14 maggio 2018

Marco Naddeo, Nuove frontiere del risparmio, bit coin exchange e rischio penale Dir. Pen. e Processo, 2019, 1, 99 (commento alla normativa)

Filippo Bosi, Riciclaggio, Money muling e The Onion Router: l'attività di polizia al tempo delle cripro-valute e del Dark web, Riciclaggio & Compliance – Rivista Italiana dell'anticiclaggio, n. 2/2020

Anna Capoluongo, Cyber risk: profili di responsabilità derivanti dal pagamento di riscatto a seguito di ransoware, www.cyberlaws.it, 12 novembre 2020