“Succede ogni maledetto venerdì..!”.
Ricordo nitidamente che questo fu ciò che pensai subito dopo aver chiuso il telefono con l’amministratore delegato di un’importante azienda multinazionale nostra cliente. Sin dalle sue primissime parole al cellulare, dieci minuti prima, era chiaro che quella chiamata non fosse solo di cortesia, magari per augurare un buon fine settimana. Quella telefonata, invece, avrebbe stravolto completamente, nelle settimane successive, i piani di lavoro di tutti i dipendenti della società, così come quelli miei e di tutto il mio team.
“Avvocato, abbiamo subìto un pesante attacco ransomware”, esordì senza preamboli, “e tutto il nostro business è paralizzato!”. Questa era stata la sua prima frase al telefono. Il suo silenzio successivo, invece, aveva quasi il sapore di una sentenza: tutto è perduto.
Nel mio lavoro di avvocato specializzato nel settore della cybersecurity e della privacy queste situazioni sono diventate ormai la normalità. Un semplice click di un dipendente sull’allegato o sul link “sbagliato” all’interno di un’email – magari perché attratto da strepitosi guadagni o da irripetibili opportunità – e il danno è fatto. In questo caso, peraltro, si trattava di uno degli attacchi informatici a più alto e immediato impatto per qualsiasi azienda o pubblica amministrazione. Dovevamo gestire, infatti, un attacco ransomware, ovvero un tipo di software malevolo (malware) progettato specificatamente per bloccare l’accesso al sistema informatico e soprattutto ai suoi dati, criptandoli, fino a che una somma di denaro – sotto forma, appunto, di “riscatto” (ransom) – non fosse stata pagata dalla vittima all’organizzazione criminale.
La complessità di un attacco ransomware, peraltro, non si concretizza solo sul piano informatico e tecnologico, ma porta con sé un intricato puzzle di questioni legali ed etiche. Erano in gioco, infatti, non solo la continuità del business di quell’azienda, completamente bloccata dall’attacco informatico, ma anche la protezione dei suoi preziosissimi segreti industriali, sottratti dall’organizzazione criminale prima di lanciare il ransomware e pronti ad essere divulgati pubblicamente, oppure venduti a concorrenti dell’azienda o ad altre organizzazioni criminali. Inoltre, erano in gioco anche la tutela della privacy dei dati personali di dipendenti e clienti della società, nonché da ultimo – ma non per importanza – la sua reputazione agli occhi del mercato e degli azionisti. Su tutto questo, infine, aleggiava anche lo spettro di essere costretti a valutare la necessità di pagare il riscatto richiesto dall’organizzazione criminale. L’ultima, incertissima, àncora di salvezza per l’azienda colpita, al costo di alcuni milioni di euro. Da pagare in Bitcoin. Entro massimo 72 ore dall’attacco.
Era questo, in sintesi, il messaggio di rivendicazione che l’organizzazione criminale denominata ‘LockBit’ (purtroppo, la più pericolosa in circolazione) aveva lasciato come unico file accessibile all’interno dei sistemi informatici compromessi e che il CISO dell’azienda ci aveva prontamente condiviso dalla sua email personale, dato che tutti gli indirizzi di posta elettronica della società erano stati compressi dal ransomware.
Era forse anche questo il senso di quell’improvviso silenzio al telefono da parte dell’amministratore delegato: cercare disperatamente una guida in una delle peggiori situazioni di crisi di natura cyber che ogni azienda o pubblica amministrazione possa mai affrontare.
Il nostro primo compito, allora, fu duplice. Da una parte quello di comprendere l’ampiezza e l’invasività dell’attacco ransomware, dall’altro quello di analizzare i contratti assicurativi al fine di comprendere se ci fosse qualche copertura per simili situazioni. La risposta al tema legale non tardò ad arrivare. Le coperture assicurative, fortunatamente, erano presenti e occorreva quindi seguire solo la procedura richiesta dall’assicuratore nel contratto. Sul piano tecnico-informatico, invece, non fummo così fortunati. Quasi all’alba del giorno dopo, dopo una notte di lavoro passata quasi completamente in bianco, il team di sicurezza della società e i loro consulenti stabilirono con adeguata certezza che l’attacco ransomware era particolarmente sofisticato e che peraltro, per lanciarlo, LockBit aveva sfruttato una vulnerabilità di rete di cui nessuno era a conoscenza fino a quel momento, un cosiddetto ‘zero-day’.
Contestualmente a quello di 72 ore concesso dall’organizzazione criminale per pagare il riscatto prima di pubblicare tutte le informazioni illecitamente sottratte o rivenderle ad altri soggetti, era appena partito un altro countdown, questa volta di tipo normativo: avevamo 6 ore di tempo per avvisare dell’incidente informatico l’Agenzia per la Cybersicurezza Nazionale (ACN) e 72 ore per inviare una notifica di data breach – verosimilmente solo preventiva – al Garante per la protezione dei dati personali. Tutto ciò, ovviamente, senza dimenticare l’importantissima denuncia su quanto accaduto da consegnare al più presto alle Forze dell’Ordine.
“Avvocato, ma se pagassimo il riscatto?”, mi chiese a bruciapelo l’amministratore delegato durante la nostra prima telefonata il mattino seguente. “Guardi, per ogni giorno che il nostro business è fermo”, aveva continuato incalzandomi, “la società perde molti più soldi di quanto non sia la richiesta di riscatto. Capisco e sono d’accordissimo che le organizzazioni criminali non vadano alimentate attraverso il pagamento di questi riscatti, ma, se va avanti così, qui rischiamo di chiudere”, aveva proseguito con tono fermo.
Conoscevo molto bene questo genere di ragionamenti. Li avevo sentiti – e gestiti – già moltissime volte. In fin dei conti, una valutazione costi-benefici è quanto di più naturale ci si possa aspettare in queste situazioni, quando la paura di veder compromesso il lavoro di decenni e di doverlo anche giustificare sia pubblicamente, che al mercato e agli azionisti, rischia di prendere il sopravvento sulla razionalità. “In punta di diritto, in Italia non è reato pagare un riscatto in criptovalute in conseguenza di un’estorsione avvenuta a seguito di un attacco ransomware”, risposi con tutta la calma e la chiarezza che quella situazione richiedeva, “ma i benefici, mi creda, sarebbero minori dei rischi”.
A preoccuparmi, infatti, non era la fase di negoziazione del riscatto, ovvero quel delicato processo teso ad individuare il “punto debole” sul piano psicologico del mio interlocutore nell’organizzazione criminale e ad ottenere da lui le maggiori rassicurazioni possibili non solo sul ribasso della somma richiesta in Bitcoin, ma soprattutto sulla reale comunicazione della chiave di decrittazione a seguito del pagamento del riscatto. Non ero preoccupato, in realtà, neanche dell’inattaccabilità sul piano giuridico dell’attività di pagamento, dato che troppe volte in passato eravamo stati costretti a mettere in piedi tutti gli accorgimenti legali tesi ad evitare la responsabilità giuridica dei soggetti che avevano deciso di cedere al ricatto estorsivo di altre organizzazioni criminali, pagando il riscatto richiesto.
“Dottore, Le sconsiglio caldamente di pagare il riscatto”, avevo prontamente replicato, “perché, come in tutti i reati estorsivi, si troverebbe presto ad affrontare il rischio concreto che la società che Lei amministra, segnalata come ‘buona pagatrice’, sia, da oggi in poi, costantemente il bersaglio privilegiato di attacchi ransomware da parte di altre organizzazioni criminali. Rivivrebbe, così, l’incubo di questi giorni all’infinito”.
Nelle ore successive, l’inizio delle attività di ripristino delle informazioni attraverso i backup aggiornati facilitò molto le fasi di confronto su questo tema con l’amministratore delegato, il board e l’organismo di vigilanza dell’azienda. Grazie ai backup, infatti, essendo venuto meno il rischio di uno stallo completo del business, si decise di resistere e di non pagare il riscatto.
L’unico tema rilevante ancora da gestire era quello legato all’imminente pubblicazione delle informazioni sottratte dall’organizzazione criminale prima di lanciare il ransomware. In questo caso, l’Ufficio Comunicazione della società, supportato da alcuni consulenti e d’accordo con i legali, predispose un piano di informazione indirizzato sia verso l’opinione pubblica, che verso gli investitori, i clienti e i dipendenti, da utilizzare nelle varie possibili situazioni che di lì a poche ore avremmo dovuto fronteggiare. Anche in questo caso tutto andò per il meglio, grazie ad una linea comunicativa improntata sulla chiarezza e trasparenza.
Nel corso delle settimane successive, il nostro team, insieme ai legali interni, proseguì nella conclusione di tutti gli adempimenti legali scaturiti dalla situazione di crisi cyber che avevamo affrontato, ma la nostra consulenza andò ben oltre il semplice ambito legale. Divenimmo un vero e proprio punto di riferimento per l’azienda, collaborando strettamente con i loro esperti di sicurezza informatica, mediando con le Autorità di regolazione e, ove necessario, facilitando anche la comunicazione con i vari stakeholder. La nostra azione si trasformò in un delicato atto di bilanciamento tra soluzioni tecnico-informatiche e obblighi legali, sempre con l’obiettivo di proteggere il business del nostro cliente e la sua reputazione. Certi, in fondo, che quell’evento così negativo avrebbe posto le basi per una nuova cultura aziendale nel settore della cybersecurity.
Stefano Mele è Partner presso lo Studio legale Gianni & Origoni dove è il Responsabile del Dipartimento di Cybersecurity & Space Law e co-Responsabile del Dipartimento Privacy.
È, inoltre, il Presidente dell’Autorità per le Tecnologie dell’Informazione e della Comunicazione (“Autorità ICT”) della Repubblica di San Marino.
È membro del Regulatory and Governance Committee del Consiglio di amministrazione di NEOM.
È Professore a contratto di “Diritto e Politiche del Ciberspazio per la Sicurezza Nazionale” presso la Facoltà di Scienze Giuridiche della Sicurezza dell’Università degli Studi di Foggia, nonché Academic Fellow della cattedra di Cybersecuritypresso il Dipartimento di Studi Giuridici dell’Università Bocconi e collaboratore presso le cattedre di Informatica Giuridica e Informatica Giuridica Avanzata della Facoltà di Giurisprudenza dell’Università degli Studi di Milano.
È membro del Comitato Etico-Giuridico dell’Arma dei Carabinieri.
È membro del Consiglio Direttivo e Presidente della Commissione Sicurezza Cibernetica del Comitato Atlantico Italiano, oltre che Presidente del “Gruppo di lavoro sulla Cybersecurity” della Camera di Commercio americana in Italia(AMCHAM).
Nel 2020, è stato invitato a partecipare al prestigioso International Visitors Leadership Program (IVLP) del Dipartimento di Stato americano. Infine, nel 2014, la rivista americana Forbes lo ha inserito tra i 20 migliori Cyber Policy Experts al mondo da seguire in Rete
