Sinossi:

Chi si introduce abusivamente all’interno di un sistema informatico o telematico installando un virus Cryptolocker, alterandone in qualsiasi modo il funzionamento e richiedendo il pagamento di una somma di denaro, anche in Bitcoin, comportando così il danneggiamento e l’interruzione del sistema, deve rispondere penalmente, in concorso e/o con il vincolo della continuazione, ai sensi degli artt. 615 ter, 640 ter, 629, 615 quinquies, 635 bis, 617 quater e 648 ter c.p.

Caso:

Tizio, titolare della piccola impresa commerciale Alfa, riceve un messaggio di posta elettronica con un avviso di “rimborso per la restituzione di somme non dovute” da un indirizzo mittente apparentemente identico a quello della propria società di distribuzione dell’energia elettrica.

Nel messaggio in questione, il destinatario viene invitato ad aprire un file allegato con estensione.zip.

Tratto in inganno dalle note formali del messaggio, Tizio apre l’allegato ma non vede nulla. Tuttavia, una volta aperto il file e ad insaputa di Tizio, il file installa nel server della rete aziendale un virus del tipo CryptoLocker, che produce la cifratura e dunque la perdita dei dati custoditi nel computer.

Dopo qualche ora, infatti, Tizio si avvede dell’impossibilità di eseguire tramite il proprio sistema informatico qualunque operazione contabile, ivi comprese la fatturazione e le operazioni bancarie, e riceve un messaggio con il quale un imprecisato agente software, in forma automatica, conferma l’attacco informatico e richiede un pagamento entro 72 ore per la decrittazione.

Il mittente anonimo precisa che il pagamento per decifrare i file e sbloccare il computer è di 10 Bitcoin (ad oggi circa 7000 dollari), e aggiunge che, in difetto, la chiave privata sarà cancellata definitivamente e “mai nessuno potrà ripristinare i file”.

Un consulente informatico, successivamente interpellato da Tizio, accerta l’effettivo blocco del sistema e ritiene il danno inevitabile e difficilmente riparabile in tempi brevi, informando che il virus Cryptolocker è una forma di ransomware, un tipo di malware che limita l’accesso del dispositivo che infetta e che si accompagna sempre alla domanda di un riscatto (ransom) da pagare per rimuovere la limitazione.

Dopo due giorni di inattività aziendale, con le relative conseguenze per l’immagine e l’operatività dell’impresa, Tizio ordina di eseguire il pagamento del riscatto su un conto Bitcoin e riceve immediatamente il link per scaricare il software di decifratura con la chiave privata dell’utente già precaricata, liberando così i file del sistema.

Dopo brevi indagini, la polizia postale rintraccia e individua Caio, giá dipendente  dell’impresa Alfa, quale responsabile dell’attività di hackering, e trasmette la notizia di reato all’autorità competente per l’avvio del procedimento penale.

Caio si reca dal proprio legale per la disamina degli eventuali profili di responsabilità penale derivanti dalla propria condotta.

Quid iuris?