Registro elettronico in ostaggio: fino a 8 anni di carcere

In questi giorni ha fatto parlare il tentativo di estorsione ai danni della piattaforma che gestisce molti dei registri elettronici delle scuole italiane. Si tratta evidentemente di un reato, ma lo è anche entrare nel registro elettronico, solo come atto goliardico, o cedere al altri le credenziali di acceso consapevoli di creare un danno a qualcuno.

Image

Non ha neppure fatto in tempo a ripartire la scuola in presenza, che già è alle prese con il primo problema. E non è di quelli da poco. Quello che non funziona in questi primi giorni, in molte scuole, è il registro elettronico: di fatto il contatto diretto, divenuto indispensabile ai tempi di isolamento da Covid 19 tra la scuola, e gli studenti e le loro famiglie. Si tratta comunque di uno strumento introdotto nelle scuole a partire dal 2013 e entrato nelle consuetudini delle famiglie, che anche se non ha occupato del tutto gli spazi dei classici registri cartacei permette ai genitori di vigilare sull’attività scolastica dei propri figli in tempo reale.

Il registro elettronico è stato colpito nei giorni scorsi da un attacco di hacker che lo hanno reso temporaneamente inaccessibile. In realtà ad essere stati colpiti dai pirati informatici non sono i registri elettronici di tutta Italia, perché non esiste una piattaforma gestita a livello centralizzato a cui si appoggino tutti gli istituti scolastici. Ad essere stato violato è il sistema di Axios Italia, a cui fanno capo circa il 40% delle scuole italiane. 

Come ha comunicato la società di gestone il registro elettronico, a cui gli utenti non riescono ad accedere da alcuni giorni non è stato vittima di un malfunzionamento interno come inizialmente si era sospettato, ma è stato colpito da un attacco ransomware. In sostanza un virus è riuscito a bloccare gli accessi degli utenti e a criptare i file impedendo l’utilizzo del registro elettronico. Di seguito la società è stata contattata con la richiesta di una sorta di riscatto da pagare per ottenere un video tutorial attraverso il quale sarebbero stati guidati nella soluzione del problema. La società ha rifiutato l’offerta e si è da subito messa al lavoro per ripristinare il prima possibile la situazione.

Che cos’è il registro elettronico

Si tratta di un portale, nel quale attraverso una password e uno username ogni studente può accedere alle sue pagine personali. Qui si possono trovare tutte le informazioni che in passato erano reperibili solo sul registro cartaceo che veniva conservato e compilato a cura di ogni insegnante. I genitori possono da casa verificare le assenze da scuola degli studenti, i voti e ricevere le comunicazioni personali o di gruppo che riguardano i loro figli.

Che cos’è il ransomware che ha colpito il registro elettronico

Partiamo dal significato di questo termine. Ransomware è un termine inglese ottenuto dall’unione di malware che può essere tradotto con nostro virus informatico e ransom che significa riscatto. In genere questi virus entrano nel sistema attraverso un file, o approfittando di una vulnerabilità del sistema. Non si tratta di qualcosa di così comune, perché tutte le piattaforme che gestiscono servizi dove sono conservati dati sensibili come il registro elettronico, hanno dei livelli di sicurezza molto elevati. Dall’altra parte della barricata, è anche vero che i pirati informatici stanno sempre al passo con gli ultimi sistemi di sicurezza escogitati.

La differenza di questo dai normali virus è che in genere blocca il sistema, impedendo agli utenti di accedervi. Secondo quanto affermano i pirati informatici si tratta di un danno reversibile, che non lascerà strascichi una volta ripristinato il sistema. Proprio qui sta la seconda parte di questo reato. All’azienda colpita viene inviata la richiesta, in genere di una somma in bitcoin, in cambio della quale ottenere le istruzioni per risolvere il problema.

Nella maggior parte dei casi la richiesta di riscatto non viene presa in considerazione, in primo luogo perché nessuno garantisce che i ricattatori siano veramente in grado di eliminare il danno che hanno provocato. In secondo luogo perché spesso alla prima richiesta di denaro ne seguono altre, senza concedere nulla in cambio.

Tenere in ostaggio un registro elettronico è un’estorsione

Un’operazione di questo tipo costituisce un reato, e lo costituisce sia se rivolta a un sito di un privato e a maggior ragione quando ad essere colpito è un documento pubblico. Il primo reato previsto dal nostro codice penale che può essere applicato al caso di chi introduca un ransomware in un registro elettronico è quello di estorsione. L’articolo 629 c. p. stabilisce che c

hiunque, mediante violenza o minaccia, costringendo taluno a fare o omettere qualche cosa, procura a sé o ad altri un ingiusto profitto con altrui danno, è punito con la reclusione da cinque a dieci anni e con la multa da euro mille a quattromila.

In questo caso la violenza non va intesa in senso letterale, ma come indebita intromissione nella sfera altrui, mentre è evidente che ci sia una minaccia nel prospettare l’alternativa nel non poter più lasciare accedere gli utenti al registro elettronico, o pagare una somma. Quest’ultima indipendentemente dalla sua entità è sufficiente a integrare il danno per chi lo subisce e l’ingiusto profitto per chi lo ottiene.

Accedere al registro elettronico senza permesso è sempre reato

Altri articoli del codice penale si occupano di ipotesi in cui un computer o un portale venga bloccato. In questo caso però senza che venga chiesto anche il riscatto. Si tratta dell’articolo 615 ter dove si dice che

chiunque abusivamente si introduce in un sistema informatico o telematico protetto da misure di sicurezza ovvero vi si mantiene contro la volontà espressa o tacita di chi ha il diritto di escluderlo è punito con la reclusione fino a tre anni.

Questa ipotesi non prevede neppure che sia stato arrecato un danno ai dati, o a chi li detiene. È sufficiente introdursi in un sistema, come per esempio un registro elettronico, che sia protetto da password o altro senza averne l’autorizzazione e trattenervisi. La legge non richiede neppure che qualcuno espressamente abbia chiesto a questo soggetto di allontanarsi. È sufficiente che vi sia la tacita volontà di escludere gli estranei.

Bloccare un registro elettronico è sempre reato

La legge si spinge oltre e prevede anche l’ipotesi che qualcuno oltre a infrangere i sistemi di sicurezza di un portale arrechi anche qualche danno. Il comma tre dell’articolo 615 ter stabilisce che

la pena è della reclusione da tre a cinque anni se dal fatto deriva la distruzione o il danneggiamento del sistema o l’interruzione totale o parziale del suo funzionamento, ovvero la distruzione o il danneggiamento dei dati delle informazioni o dei programmi in esso contenuti.

La pena più pesante è qui giustificata dal fatto che siano stati provocati dei danni effettivi. Danni che possono derivare dal blocco del sistema, come nel caso del registro elettronico non più accessibile agli utenti. Si precisa che l’impossibilità di accedere al sistema di per sé costituisce un danno senza la necessità che ne siano dimostrati di specifici.

Alterare il contenuto del registro elettronico è reato

L’articolo 635 bis stabilisce che

salvo che il reato costituisca più grave reato chiunque distrugge, deteriora, cancella altera o sopprime informazioni e dati informatici altrui è punito a querela della persona offesa con la reclusione da tre mesi a tre anni. Questa ipotesi è valida nel caso ad essere violato sia un computer o il sistema informatico di un privato.

A questo va aggiunto l’articolo 635 ter che stabilisce che

salvo che il fatto costituisca reato più grave chiunque commette i fatti previsti dall’articolo precedente su programmi informatici utilizzati dallo stato o a altro ente pubblico o ad essi pertinenti o comunque di pubblica utilità è punito con la reclusione da uno a quattro anni. Se dal reato deriva effettivamente la distruzione, il deterioramento la cancellazione, l’alterazione dei dati o dei programmi informatici la pena è della reclusione da due a otto anni.

Questo articolo punisce non solo il fatto che effettivamente ci sia stato un danno, ma anche quello di esseri preparato e avere messo a punto un piano per danneggiare dati dello Stato o di un ente pubblico.

Un ulteriore aggravio di comportamenti di questo tipo è stato introdotto dalla Corte di Cassazione che a proposito dell’articolo 635 bis ha interpretato in modo estensivo il termine di cancellazione di dati. La suprema corte ha sostenuto che la cancellazione può consistere anche nella loro rimozione in via provvisoria, rimediabile solo con un successivo intervento recuperatorio. Con la sentenza numero 2782 del novembre 2011 ha precisato che cancellazione non equivale a irrecuperabile elisione.

Non è reato perdere i propri codici di accesso al registro elettronico, ma è pericoloso

Il nostro codice penale con l’articolo 615 quater prevede anche l’ipotesi di chi diffonda i codici di accesso a un portale. Dice l’articolo

chiunque al fine di procurare a sé o altri un ingiusto profitto con altrui danno abusivamente si procura, riproduce, diffonde, comunica o consegna codici, parole chiave o altri mezzi idonei all’accesso ad un sistema informatico o telematico protetto da misure di sicurezza o comunque fornisce indicazioni o istruzioni idonee a idonee al predetto scopo è punito con la reclusione fino a un anno e con la multa fino a 5.164 euro.

Visto il tenore dell’articolo i distratti da questo punto di vista possono stare tranquilli. Lo stesso vale per chi per esempio sia stato truffato attraverso il phishing, la tecnica che prevede di inviare email a un numero elevato di utenti spacciandosi per l’amministratore di un portale e sostenendo di avere bisogno della conferma delle credenziali di accesso di tutti gli utenti. Le stesse poi verranno usate per scopi illeciti.

Ipotesi di questo tipo non danno luogo a reato da parte di chi si sia fatto sottrarre con l’inganno le proprie credenziali. Perché si applichi l’articolo 615 quater è necessaria la volontà di procurarsi un ingiusto profitto e la coscienza di provocare ad altri un danno. Importante però conservare sempre con cura i propri dati di accesso. Nel caso si ricevano email strane che riguardino il registro elettronico dei nostri figli o qualsiasi altro portale, poi sarebbe saggio avvertire sempre il gestore e eventualmente la Polizia Postale.