Se i pirati digitali si fanno “l’ufficio legale”
Non più solo hacker dietro gli attacchi ransomware: oggi i gruppi criminali arrivano al tavolo con presunti avvocati pronti a citare leggi e sanzioni. Stefano Mele, socio di Gianni & Origoni, racconta l’evoluzione del fenomeno e la proposta di legge per contrastarlo
Il ransomware ha fatto un salto di qualità che fino a pochi anni fa sembrava impensabile. Non si tratta più solo di malware che bloccano i sistemi o di minacce di pubblicazione di dati rubati. Le organizzazioni criminali dietro questi attacchi si stanno trasformando in veri e propri ecosistemi aziendali, con tanto di team di hacker e sviluppatori, ma anche reparti di comunicazione e, più recentemente, presunti legali al servizio della gang.
Il gruppo Qilin, tra i più attivi in Italia, rappresenta bene questa evoluzione. Nelle trattative con le vittime, i criminali non si limitano a giocare sulla paura: usano il diritto come nuova arma, citando normative, evocando multe milionarie e prospettando danni reputazionali devastanti. Il risultato è una macchina estorsiva che combina tecnica, psicologia e diritto.
Ne abbiamo parlato con l’avvocato Stefano Mele, esperto di diritto delle tecnologie e gestione delle crisi cibernetiche e partner di Gianni & Origoni.
Avvocati veri o pseudo-legali?
Durante le trattative, racconta Mele, non è raro imbattersi in interlocutori che si presentano come “avvocati” del gruppo criminale. Talvolta il loro linguaggio è sorprendentemente tecnico e puntuale, altre volte appare come un collage di norme e riferimenti giuridici messi insieme per fare pressione. «Potrebbero essere professionisti reali che hanno scelto di mettere le proprie competenze al servizio delle gang, oppure semplici negoziatori che usano un linguaggio pseudo-legale» spiega Mele. Man non è escluso che si tratti di chatbot, capaci di generare risposte giuridiche plausibili per aumentare la pressione.
La negoziazione come un sequestro digitale
La dinamica classica di un attacco ransomware prevede tre passaggi: sottrazione dei dati, cifratura dei sistemi e richiesta di riscatto (quasi sempre in Bitcoin). «È come un sequestro di persona», osserva Mele, «solo che qui gli ostaggi non sono individui, ma le informazioni sensibili dell’azienda o dell’ente pubblico colpito». Le negoziazioni si svolgono quasi sempre attraverso chat criptate e hanno tempistiche serrate: in media entro una settimana deve essere presa una decisione. La pressione psicologica è fortissima, perché i criminali puntano sulla paura, sul tempo che stringe e sulla prospettiva di un danno irreversibile.
Il diritto come arma di pressione
La vera innovazione introdotta da Qilin e da altre gang è però l’uso del diritto come leva estorsiva. Non più soltanto minacce generiche (“pubblicheremo i tuoi dati”), ma citazioni precise di regolamenti europei, come il GDPR o la direttiva NIS2, e di obblighi nazionali che impongono di notificare violazioni o rafforzare le misure di cybersicurezza. Per Mele, «il messaggio è chiaro: se non paghi, non solo perderai i dati, ma dovrai affrontare multe, ispezioni delle autorità e un crollo di reputazione». In alcuni casi i riferimenti normativi sono talmente contestualizzati da sembrare scritti da veri legali. In altri si tratta di citazioni generiche, un “mare magnum” che basta però a instillare paura in chi non ha dimestichezza con la materia.
Il prossimo salto di qualità
Cosa ci aspetta in futuro? Secondo Mele, il prossimo passo sarà la piena strutturazione di questo modello estorsivo, sempre più incentrato su aspetti sanzionatori e reputazionali. L’attacco tecnico è solo l’inizio: il vero ricatto si gioca ormai sul terreno psicologico e legale. «Non è difficile immaginare – avverte – che le gang si dotino presto di strumenti di intelligenza artificiale per rendere le loro minacce ancora più credibili, magari attraverso deepfake e videoconferenze simulate. Una telefonata o una call con un interlocutore che sembra reale, che parla la tua lingua e che ti cita leggi e regolamenti: potrebbe diventare difficilissimo non cedere all’estorsione».
La proposta di legge
Di fronte a questa evoluzione, la risposta non può essere lasciata ai singoli, sottolinea il nostro interlocutore, che ci racconta di aver contribuito alla stesura di una proposta di legge che si muove in più direzioni: introdurre l’obbligo di denuncia di ogni attacco all’Agenzia per la Cybersicurezza Nazionale, stabilire un divieto di pagamento dei riscatti per i soggetti strategici (salvo eccezioni autorizzate dalla Presidenza del Consiglio in casi di emergenza), creare task force specializzate in grado di intervenire immediatamente sul territorio e assistere le aziende colpite. La proposta prevede anche linee guida minime di cybersicurezza e un fondo di sostegno per le PMI, le più vulnerabili a questo tipo di attacchi. «Molti imprenditori – osserva l’avvocato – ci dicono di sentirsi soli di fronte a un evento di questa portata. Ecco perché è fondamentale che lo Stato faccia sentire la sua presenza al loro fianco».
«Non si deve pagare»
Pagare il riscatto è giusto o no? Per Mele, farlo significa finanziare ulteriormente i gruppi criminali, aumentare il rischio di nuovi attacchi e costruirsi una reputazione di “soggetto pagatore” che circola tra le organizzazioni criminali. «Capisco la disperazione delle aziende colpite – aggiunge – ma il pagamento non risolve nulla, anzi: spalanca la porta a ulteriori aggressioni. L’unica strada è un approccio sistemico, che unisca prevenzione, formazione, obblighi di legge e presenza concreta dello Stato accanto alle vittime».
