L’**estorsione informatica** tramite attacco ransomware è una minaccia considerevole per privati, enti pubblici e aziende, causando una significativa paralisi operativa e un danno economico rilevante, oltre al rischio di diffusione di dati sensibili. Le vittime delle attività di cybercriminalità si trovano spesso di fronte alla necessità di pagare un riscatto.
La definizione di attacco ransomware è presente nel Disegno di Legge 1441, presentato il 3 aprile 2025 al Senato, classificandolo come “una delle minacce più insidiose della nostra epoca digitale”. In questo contesto, si propone al Governo di vietare il pagamento del riscatto da parte delle vittime.
Estorsione informatica, cosa dice la legge
Nell’ambito della prevenzione e del contrasto ai reati informatici, il legislatore ha previsto una specifica disposizione in materia di estorsione, che punisce la realizzazione di tali reati attraverso l’uso della tecnologia.
La Legge n. 90 del 28 giugno 2024 ha introdotto l’ipotesi di estorsione informatica all’art. 629 c.p., in vigore dal 17 luglio 2024, che stabilisce: “chiunque, mediante le condotte di cui agli articoli 615-ter, 617-quater, 617-sexies, 635-bis, 635-quater e 635-quinquies, costringe qualcuno a fare o omettere qualcosa, procurando a sé o ad altri un ingiusto profitto con altrui danno, è punito con la reclusione da sei a dodici anni e con la multa da euro 5.000 a euro 10.000”.
Le condotte previste comprendono:
- 615 ter c.p. “Accesso abusivo a un sistema informatico o telematico”;
- 617 quater c.p. “Intercettazione, impedimento o interruzione illecita di comunicazioni informatiche o telematiche”;
- 617 sexies c.p. “Falsificazione, alterazione o soppressione del contenuto di comunicazioni informatiche o telematiche”;
- 635 bis c.p. “Danneggiamento di informazioni, dati e programmi informatici”;
- 635 quater c.p. “Danneggiamento di sistemi informatici o telematici”;
- 635 quinquies c.p. “Danneggiamento di sistemi informatici o telematici di pubblica utilità”.
Il delitto di estorsione informatica è stato inserito nel catalogo dei reati informatici di cui all’art. 24 bis del D.lgs. 231/2001, costituendo reato presupposto per la responsabilità amministrativa degli enti.
Come avviene l’estorsione con ransomware
Un’evidente forma di estorsione informatica è il ransomware, già contemplato dall’art. 629 c.p. ante riforma. In questo scenario, un hacker, dopo aver infettato un sistema informatico, cripta i file dell’utente e richiede il versamento di denaro entro termini perentori per ottenere una chiave di decifratura.
Il malware può cifrare o negare l’accesso a sistemi, costringendo la vittima a pagare un riscatto per ripristinare l’accesso ai dati. La condotta si articola in due momenti: l’attacco e la successiva minaccia di pagamento.
In genere, la richiesta avviene in valuta virtuale per rendere l’operazione difficile da rintracciare.
L’impatto sulle vittime
Le vittime di attacchi ransomware si trovano in uno stato di coazione psicologica, limitando la loro libertà morale e inducendole a cooperare “artificiosamente” con i criminali. L’estorsione si considera consumata al momento del pagamento, ma se la vittima è completamente coartata, potrebbe verificarsi il reato di rapina all’art. 628 c.p., che differisce dall’estorsione in quanto implica l’uso diretto della violenza o minaccia.
Obiettivi dell’attacco ransomware
Il bersaglio degli attacchi ransomware può essere sia un privato che un ente pubblico o un’azienda privata. Nel contesto aziendale, il ransomware criptando i file sui server compromette le operazioni, obbligando le aziende a pagare per ottenere le chiavi necessarie al ripristino dei dati.
Riscatto ransomware, cosa succede se si paga
Chi subisce un attacco ransomware e paga il riscatto è suscettibile di responsabilità legale. Se il pagamento permette all’estorsore di ottenere un ingiusto profitto, la vittima potrebbe non invocare il rispetto della legge in uno stato di necessità, dal momento che non si presenta un pericolo diretto per la vita o salute della persona.
Ransomware e richiesta riscatto a una società
Il pagamento dell’estorsione, pur rappresentando un atto di disposizione patrimoniale dal soggetto passivo, non integra un illecito penalmente rilevante. L’Agenzia delle Entrate ha escluso la disciplina dei “costi da reato” per società colpite, riconoscendo la necessità del pagamento per il proseguimento dell’attività imprenditoriale.
La proposta: il divieto di pagare il riscatto
Il Disegno di legge n. 1441 propone di vietare il pagamento del riscatto per attacchi ransomware a soggetti pubblici e privati, con eccezioni in casi di grave rischio per la sicurezza nazionale. Si prevede l’obbligo di informare rapidamente il CSIRT riguardo agli attacchi, contribuendo così a una migliore gestione della sicurezza informatica.
La comunicazione al Garante Privacy ex art. 33 GDPR
Le violazioni informatiche possono causare seri rischi per la riservatezza e integrità dei dati personali. È essenziale, in caso di attacco ransomware, notificare al Garante Privacy secondo l’art. 33 del GDPR per tutelare i diritti degli interessati e garantire la trasparenza delle operazioni.
Il futuro
È opportuno monitorare l’evoluzione normativa e giurisprudenziale riguardo agli attacchi ransomware, considerato il loro impatto strutturale su aziende e infrastrutture critiche, con conseguenze economiche e sociali significative.
Note
[1] Legge n. 90 del 28 giugno 2024.
[2] Definizione di ransomware.
[3] Sentenza della Cassazione.
[4] Ulteriore sentenza della Cassazione.
[5] Riferimenti giurisprudenziali.
[6] Punto di vista della Corte.
[7] Delimitazioni dell’art. 54 c.p.
[8] Esclusione della disciplina.
[9] Risposta dell’Agenzia delle Entrate.
[10] Vedi ulteriori linee guida.
[11] Nota dell’Agenzia dell’Entrate.
[12] Considerazioni legali.
[13] Dettagli del Disegno di legge.
[14] Ulteriori dibattiti.
[15] Definizione del Perimetro di Sicurezza Nazionale Cibernetica.
[16] Sequestro dei beni.
[17] Linee guida per ospedali.
