L’attacco informatico WannaCry ha riacceso, per l’ennesima volta, il dibattito nel nostro Paese circa l’adeguatezza della protezione giuridica e tecnologica rispetto a situazione di questo tipo.
In particolare, da un lato si è posto in risalto come il blocco dei sistemi, in attesa del pagamento di una somma, sia condotta analoga a quella prevista per il delitto di sequestro di persona a scopo di estorsione, contemplata dall’art.630 c.p., essendo in entrambi i casi “imprigionato” qualcuno, nella specie, qualcosa, al fine di ottenere un riscatto per il suo rilascio. Partendo da tale considerazione si è paventato un vuoto di tutela, non essendo la norma in questione applicabile al sequestro di un bene informatico.
Dall’altro, l’attenzione si è concentrata sui pericoli reali di un’insufficiente cultura e preparazione in termini di sicurezza informatica.
Quanto al primo profilo, è bene rilevare come l’Italia sia dotata di una legislazione penale adeguata per fronteggiare simili aggressioni.
L’art. 615 quinquies c.p. sanziona, infatti, con la reclusione fino a due anni e con la multa sino a euro 10.329, chiunque, allo scopo di danneggiare illecitamente un sistema informatico o telematico, le informazioni, i dati o i programmi in esso contenuti o ad esso pertinenti ovvero di favorire l’interruzione, totale o parziale, o l’alterazione del suo funzionamento, si procura, produce, riproduce, importa, diffonde, comunica, consegna o, comunque, mette a disposizione di altri apparecchiature, dispositivi o programmi informatici. Se l’immissione del programma virale è determinata da una preliminare penetrazione abusiva è applicabile anche l’art.615 ter c.p., che punisce, per l’ipotesi base, con la reclusione fino a tre anni, chiunque abusivamente si introduce in un sistema informatico o telematico protetto da misure di sicurezza ovvero vi si mantiene contro la volontà espressa o tacita di chi ha il diritto di escluderlo. Se la condotta, come nel caso di specie, è finalizzata al conseguimento di un profitto ingiusto, trova anche applicazione l’art. 629 c.p.(estorsione), che punisce, per l’ipotesi base, con la pena della reclusione da cinque a dieci anni e con la multa da euro 516,46 a euro 2.065,82, chiunque mediante violenza o minaccia, costringendo taluno a fare o ad omettere qualcosa, procura a sé o ad altri un ingiusto profitto con altrui danno.
Sul piano giuridico, allora, il problema non è tanto legato alle norme, che ci sono, quanto alla loro concreta possibilità di applicazione, essendo, in casi come questo, difficile individuare l’autore del reato e, nel caso che ci si riesca, superare ostacoli in ordine all’affermazione della giurisdizione e competenza, specie quando l’attacco è sferrato da luoghi ove non vi è cooperazione sul piano giudiziario.
Discorso differente in ordine all’adeguatezza delle misure di sicurezza in ambito pubblico e privato.
Già da tempo si segnalano, infatti, numerosi problemi legati all’assenza di una cultura della sicurezza informatica su vasta scala, alla sottovalutazione dei rischi in ambito aziendale, alla mancanza di risorse economiche, necessarie per la formazione di specifiche figure professionali e per elevare gli standard di protezione.
Segnali positivi arrivano, invero, dal Parlamento Europeo che il 6 luglio ha adottato la Direttiva (Ue)2016/1148 recante misure per un livello comune elevato di sicurezza delle reti e dei sistemi informativi nell’Unione (Direttiva NIS).
Si tratta di un documento di estrema importanza perché, se da un lato sottolinea come non sia più rinviabile una strategia unitaria, dall’altro prevede una serie di obblighi in materia di sicurezza e di notifica degli incidenti, proprio al fine di rendere efficace la strategia proposta.
In quest’ottica deve leggersi con favore, insieme ad altre novità, la previsione nel Decreto del Presidente del Consiglio dei Ministri (17 febbraio 2017) che impegna il Ministro dello sviluppo economico a promuovere l’istituzione di un centro di valutazione certificazione nazionale per la verifica delle condizioni di sicurezza e dell’assenza di vulnerabilità su prodotti, apparati e sistemi destinati ad essere utilizzati per il funzionamento di reti, servizi e infrastrutture critiche.
In attesa di una ridefinizione delle norme in tale settore, da coniugare con altre, quali ad esempio quelle dettate in materia di trattamento dei dati personali, è agevole rilevare come il contrasto ad attacchi informatici presuppone, ancor prima di un’articolata, quanto necessaria, regolamentazione in tema di obblighi e responsabilità, una presa di atto “dal basso” della necessità di una cultura della sicurezza, in assenza della quale qualsiasi intervento legislativo risulterà inevitabilmente inefficace.