Italiano
Sono trascorse ormai alcune settimane dall’attacco cyber che lo scorso 23 ottobre, sin dalle prime ore del mattino, ha paralizzato i sistemi informatici dell’azienda ospedaliera universitaria integrata di Verona (AOUI).
L’avvenimento ha provocato un’interruzione delle linee telefoniche, dei servizi online, del funzionamento delle casse automatiche e degli sportelli per pagamenti e prenotazioni, senza, fortunatamente, compromettere il corretto funzionamento dei reparti e la gestione delle urgenze.
La stessa azienda ospedaliera ha comunicato, nelle ore successive all’attacco, che sono state attivate tempestivamente tutte le procedure di emergenza per la messa in sicurezza dei sistemi informatici nonché l’isolamento del server centrale e che nessun dato sensibile risulta violato e le procedure di backup periodico sono avvenute correttamente prima dell’attacco.
Dobbiamo pensare, infatti, che nel momento in cui si verifica un attacco hacker all’interno di una struttura come quella in questione, i rischi potenziali non sono solo quelli riconducibili ad un malfunzionamento – o, addirittura come in questo caso, mancato funzionamento – dei servizi, ma anche quelli relativi alla fuga di dati personali sensibili contenuti negli stessi sistemi informatici.
Il tutto, risulta ancora più preoccupante se, come detto, riconduciamo tali rischi nell’ambito di una struttura ospedaliera in cui gli utenti non sono semplici fruitori di servizi bensì “pazienti”.
Per quanto riguarda le modalità dell’attacco, questo è stato realizzato mediante l’utilizzo di un ransomware: si tratta di un malware la cui funzione è quella di cifrare i dati all’interno di un sistema e, poi, renderlo completamente “inagibile”.
In buona sostanza si comporta come una vera e propria “infezione” che sovente viene utilizzata dalla criminalità informatica in quanto è perfettamente strumentale alla successiva richiesta di riscatto.
Il modus operandi messo in atto dagli autori delle suddette condotte, infatti, è proprio quello di cifrare i dati del sistema informatico aggredito e, poi, richiedere un pagamento di denaro in criptovalute in cambio del codice per poter decifrare i suddetti dati. Qualora tale pagamento non dovesse essere effettuato, i dati verranno massivamente pubblicati e/o messi in vendita.
Ciò, quindi, provoca un effetto a cascata in cui la pressione della richiesta si riverbera non solo sulla struttura che “custodiva” i dati ma anche sugli effettivi “proprietari” di tali dati ossia i degenti.
Nel caso di specie, l’attacco è stato rivendicato dal gruppo cyber denominato “Rhysida” il quale, appunto, ha, non solo “messo in vendita” nel dark web i dati di cui – secondo quanto riportato nel loro blog – sarebbero entrati in possesso, ma ha anche annunciato la pubblicazione di tali dati qualora l’azienda bersaglio non paghi un corrispettivo in criptovalute.
La cifra richiesta, nello specifico, sarebbe 10 bitcoin (corrispondente circa a 350.000 euro).
Per avvalorare quanto detto, sarebbero anche stati pubblicati sul medesimo blog alcuni referti di pazienti ed esami medici asseritamente provenienti dalla medesima azienda ospedaliera vittima dell’attacco.
La stessa struttura, tuttavia, ha ribadito quanto già affermato subito dopo l’attacco: non vi è stata alcuna fuga di dati grazie alla pronta risposta delle misure di sicurezza volta alla protezione dei sistemi informatici interni.
Ciò detto, appare evidente come l’accesso abusivo ai sistemi informatici dell’azienda ospedaliera veronese da parte della cybergang Rhysida sia volto esclusivamente a porre in essere la successiva condotta estorsiva.
A tale ultimo proposito, è opportuno ricordare che il reato di estorsione è previsto dall’art. 629 c.p. il quale sancisce che (per completezza si riporta per intero il testo della predetta disposizione):
“Chiunque, mediante violenza o minaccia, costringendo taluno a fare o ad omettere qualche cosa, procura a sè o ad altri un ingiusto profitto con altrui danno, è punito con la reclusione da cinque a dieci anni e con la multa da euro 1.000 a euro 4.000.
La pena è della reclusione da sette a venti anni e della multa da euro 5.000 a euro 15.000, se concorre taluna delle circostanze indicate nell’ultimo capoverso dell’articolo precedente.”
Nel caso in questione, quindi, Rhysida, minacciando la diffusione massiva di dati sensibili relativi alla salute dei pazienti veronesi, costringerebbe l’azienda ospedaliera a corrispondere la cifra di denaro richiesta.
Per completezza, è opportuno ricordare che, sempre circostanziato al nostro caso, il reato si considera “consumato” nel momento in cui avviene l’effettivo pagamento della somma richiesta. Ad oggi, quindi, il reato risulta ancora nella sua fase di “tentativo” in quanto – a quanto risulta dalle dichiarazioni – nessuna somma è stata (né verrà) versata da parte della struttura colpita.
Da tale vicenda, a prescindere dal suo futuro esito, possiamo osservare come stiamo assistendo ad un profondo stravolgimento del panorama generale (non solo giuridico) dove mutano molto velocemente non solo gli interessi in gioco, ma anche il linguaggio, gli strumenti e le modalità di azione intraprese.
Parliamo, infatti, tra gli altri, non più di somme di denaro ma di “bitcoin” o “criptovalute”; non più di “furto di cose” ma di “furto di dati”; non più di “violazione di domicilio” ma di “introduzione abusiva in un sistema informatico”.
Ci si chiede, quindi, di fronte ad un così repentino mutamento della realtà, quali siano effettivamente le strategie preventive adeguate a scongiurare l’insorgere di eventi come quelli appena descritti: forse una maggiore (in)formazione e consapevolezza in materia di cybersecurity?
Immagine di <a href=”https://it.freepik.com/foto-gratuito/concetto-di-collage-html-e-css-con-hacker_36295469.htm#query=cyber%20security&position=1&from_view=search&track=ais”>Freepik</a>
