Una delle minacce più attuali, per le aziende pubbliche e private, è quella di subire l’azione di un ransomware, un programma che, dopo l’attivazione, procede all’esfiltrazione e alla cifratura dei dati contenuti sulle memorie del sistema informatico, propagandosi ad ogni elaboratore o dispositivo collegato alla stessa rete.
Come avviene l’attivazione del ransomware
L’attivazione del programma può avvenire con due diverse modalità.
Il social engineering
Nella prima ipotesi, propedeutica all’azione del ransomware è una strategia di social engineering portata a termine con successo, che trae in inganno il malcapitato dipendente e lo induce a tenere un comportamento rispetto al quale, in condizioni normali, avrebbe reagito in modo diverso (ad esempio, aprire una fattura senza accorgersi che si tratta in realtà di un file eseguibile, proveniente da un indirizzo fittizio e non reale). Vi è anche una variante al tradizionale social engineering portato a termine tramite comunicazioni fittizie ed è la situazione in cui, ad essere compromessa, è un’altra azienda, solitamente facente parte della supply chain dell’organizzazione scelta come bersaglio Grazie alla possibilità di veicolare l’allegato infetto ad una comunicazione proveniente da un indirizzo affidabile, il messaggio supera ogni controllo e induce in errore il destinatario, che lo apre senza remore, ritenendolo provenire da un mittente che non sa essere compromesso.
Il dipendente infedele
La seconda ipotesi, invece, vede purtroppo coinvolto attivamente un dipendente insoddisfatto o per sua natura infedele, che facilita l’attività dei criminali fornendo spontaneamente– di solito dietro cospicuo compenso – le credenziali di accesso al sistema informatico dell’azienda.
Nel web sono rinvenibili vere e proprie offerte, in appositi marketplace (non raggiungibili da chiunque, ovviamente), per esporre la propria azienda all’attacco di un ransomware dietro compenso, ma sono presenti anche evoluzioni della originaria ipotesi di reclutamento, con inviti a utilizzare personalmente il programma per realizzare la sottrazione e cifratura dei dati.
Accade, quindi, che l’impresa criminale si allontana dalla condotta materiale del danneggiamento per ricollocarsi in una posizione più distante, di vigile attesa, pronta a reclutare “procacciatori d’affari” che compiono materialmente l’azione e ricevono successivamente il compenso concordato.
Una vera e propria concessione in licenza d’uso del ransomware, equiparato a qualsiasi altro programma di comune reperibilità, che viene quindi preso ed utilizzato da un comune dipendente al pari di una versione di Microsoft Word o Adobe Photoshop.
Se l’azienda non viene a conoscenza (di solito in modo fortuito) delle comunicazioni tra il predetto dipendente e i criminali, risulta complesso anche censurare l’attività del lavoratore, da una parte per il noto divieto di monitoraggio della sua casella di posta elettronica, anche aziendale, e, più in generale, del suo comportamento su Internet, dall’altro perché, se è sufficientemente smaliziato, organizzerà la propria attività – in accordo con i criminali – affinché l’evento dannoso appaia frutto di un semplice disguido o addirittura venga attribuito ad altri, magari sfruttando quella situazione di cortesia – spesso ricorrente nelle aziende e proprio per questo costituente una seria minaccia per la sicurezza, non solo informatica – per la quale ciascun dipendente di un ufficio conosce le credenziali di accesso dei colleghi o, quantomeno, sa dove recuperarle per svolgere qualche incombenza urgente quando il collega è assente.
Cosa rischia un dipendente che si macchia di un tale reato
Dal punto di vista giuslavoristico, la conseguenza più evidente è il venir meno del rapporto fiduciario e, conseguentemente, del rapporto di lavoro, che potrà essere immediatamente interrotto per giusta causa senza alcun beneficio di legge, dato che la contestazione mossa al dipendente è tra le più gravi che si possano rinvenire nella disciplina di settore.
In sede civilistica, al dipendente potranno inoltre essere addebitati tutti i danni direttamente imputabili al suo comportamento e, quindi, ad esempio, i costi di ripristino dell’operatività aziendale, le penali eventualmente pagate a clienti e fornitori per inadempimenti derivati dal blocco dei sistemi causato dal ransomware, il pregiudizio subito dall’immagine dell’azienda sul mercato, i risarcimenti richiesti all’azienda dai soggetti che hanno visto esposte nel dark web le informazioni che li riguardano e, in generale, ogni altro costo riconducibile all’azione del dipendente infedele e del malware inoculato nei sistemi aziendali.
Le contestazioni in sede penale
In sede penale, le contestazioni variano dal semplice danneggiamento di sistemi informatici, ai sensi dell’art. 635 bis cp, al concorso nel reato di diffusione di codice malevolo di cui all’art. 615 quinquies cp, fino all’associazione a delinquere finalizzata al danneggiamento di sistemi informatici e all’estorsione, poiché risulta chiara l’organizzazione di una impresa criminale finalizzata a scrivere e diffondere il programma destinato a cifrare ed esfiltrare i dati, al fine di percepire da tale attività un ingiusto profitto con altrui danno.
Al contrario della maggior parte dei programmi per elaboratore, che nascono per scopi diversi ed hanno generalmente una connotazione positiva, successivamente deviata e strumentalizzata per finalità criminali, il ransomware viene ideato e realizzato per sottrarre dati e danneggiare sistemi informatici, per assoggettare la vittima alla volontà dell’agente e indurla a pagare il riscatto. Non è quindi possibile ipotizzare alcun utilizzo privato o con finalità lecite al fine di alleggerire la posizione dei criminali.
I problemi sorgono in sede probatoria. Ciò che risulta difficile da accertare, soprattutto se, come già detto, il soggetto è abbastanza smaliziato da saper intorbidire le acque e magari attribuire la propria condotta ad altro soggetto inconsapevole, è il reale coinvolgimento del dipendente infedele nell’azione criminale poiché, se è possibile accertare che l’attivazione del ransomware è stata eseguita da una determinata postazione, non è altrettanto scontato che l’utenza corrisponda effettivamente all’utente e, ancor meno, che la condotta fosse volontaria e non accidentale.
Situazioni al limite della legalità
Dal punto di vista degli accertamenti validi a fini di giustizia, infatti, l’attivazione di un programma resta un’azione positiva che non ha connotazione specifica (il perito fotografa la situazione dal punto di vista tecnico, non è in grado di darne una valutazione psicologica), la quale dev’essere dedotta dai suoi precursori o dai suoi effetti, rispetto ai quali, tuttavia, il dipendente può dichiararsi inconsapevole, soprattutto se non è un informatico ma fa parte, ad esempio, di un ufficio tradizionale come il marketing o la contabilità. Aver scaricato un file da internet o averlo introdotto in azienda sotto mentite spoglie (una fattura, uno screen saver, una foto, ecc.) è un’azione che potrà essere censurata dal punto di vista morale e disciplinare, per inosservanza delle regole aziendali o di generica prudenza, ammesso che siano state scritte e diffuse sotto forma di politiche e procedure, ma resta un’azione rispetto alla quale risulta difficile stabilire se il dipendente fosse consapevole delle conseguenze del suo gesto e l’abbia compiuto deliberatamente ovvero se sia semplicemente uno sprovveduto.
È un’operazione che esula dall’accertamento tecnico inteso come ricostruzione dell’accaduto, a partire dal momento in cui il ransomware ha iniziato ad esfiltrare e cifrare dati, salvo che, nel corso di ulteriori accertamenti, non si riesca ad acquisire qualche conversazione o qualche diverso elemento che permetta, invece, di ricondurre l’azione al gruppo di criminali che ha realizzato il ransomware, come accaduto in alcune situazioni pervenute all’attenzione della cronaca giudiziaria.
In un caso, ad esempio, il dipendente era effettivamente sprovveduto dal punto di vista informatico e, pur avendo correttamente celato la propria attività – facendo apparire l’accaduto come semplice download di una fattura allegata ad una e-mail fittizia, creata ad arte dai suoi complici ma rispetto alla quale poteva ipotizzarsi, al massimo, una superficialità nei controlli – ha successivamente dimenticato, nel dare le dimissioni (già sospette ma comunque comprensibili, alla luce di quanto accaduto), di rimuovere da WhatsApp il proprio numero di cellulare, cosicché il tecnico che ha ritirato la Sim aziendale e l’ha installata sul nuovo dispositivo, nell’attivare il profilo del successivo utilizzatore (con il medesimo numero), si è visto improvvisamente scaricare dai server il backup delle chat del predetto dipendente, tra le quali spiccavano i contatti con i criminali, che lo istruivano sulle azioni da svolgere per attivare il ransomware all’interno dell’azienda e lo ingolosivano con la promessa di ingenti compensi che avrebbe ricevuto in percentuale sui proventi del crimine.
In altra situazione, al limite della legalità, poiché l’attivazione non era stata comunicata alla locale Direzione Territoriale del Lavoro, l’azienda aveva da poco installato un nuovo software di analisi delle attività di rete, arricchito da un potente algoritmo gestito dall’intelligenza artificiale, il quale, oltre a rilevare le tipiche firme virali che hanno disposizione un po’ tutti gli antivirus, procedeva al tracciamento di ogni operazione di lettura e scrittura dei file realizzata in modo difforme dal consueto, isolando e monitorando il documento, il programma e l’utente responsabili dell’operazione, con conseguente annotazione in un log di sistema. Quando il ransomware attivato dal dipendente infedele ha iniziato l’attività di trasferimento e cifratura dei dati, il nuovo software di analisi ha immediatamente isolato l’operazione, classificandola come sospetta, ne ha impedito l’ulteriore esecuzione ed ha evitato che gli effetti si propagassero al resto del sistema, inviando, infine, un alert agli amministratori, con allegato il dettagliato resoconto dell’attività svolta dall’utente.
Analizzando a posteriori anche l’attività dei giorni precedenti, è stato possibile ricostruire la frequentazione di siti incompatibili con le mansioni aziendali ed un rilevante uso del circuito Tor, per il quale non aveva saputo dare alcuna giustificazione plausibile.
L’intervento della polizia giudiziaria, a seguito della denuncia contro ignoti sporta dal titolare, ha indotto il dipendente a riconoscere le proprie responsabilità.
Conclusioni
I due casi in esame, pur essendosi risolti positivamente per le aziende coinvolte, che hanno potuto accertare quanto fosse accaduto, in relazione agli eventi che le avevano colpite, e perseguire i responsabili, rendono evidente, tuttavia, come il crimine informatico sia ancora complesso da accertare e sia necessaria, allo stato, una buona dose di fortuna o, viceversa, di incapacità da parte di un improvvisato criminale, per poter vedere evolversi la situazione favorevolmente.
Come è noto, invece, la maggior parte dei crimini informatici, ancora oggi, resta senza un colpevole e, nei rari casi in cui venga accertata una qualsiasi responsabilità, risulta difficile perseguire il soggetto alla quale è stata addebitata, per la difficoltà legate alle diverse giurisdizioni interessate e alla non rara mancanza di collaborazione tra forze di polizia.
