Pagamento dei riscatti per il ransomware: gli Stati Uniti, un esempio?
Il pagamento di un riscatto incoraggia la proliferazione degli attacchi ransomware e sostiene finanziariamente i criminali informatici. Di conseguenza, le autorità statunitensi hanno deciso di sanzionare le organizzazioni americane che cedessero al ricatto finanziario degli hacker. L'OFAC (Office of Foreign Assets Control del Dipartimento del Tesoro degli Stati Uniti) ha pubblicato diversi avvisi per sensibilizzare i privati e le organizzazioni nella lotta contro gli attacchi ransomware. Uno di questi avvisi, pubblicato il 1° ottobre 2020, ufficializza le sanzioni relative ai pagamenti di riscatti.
L'OFAC precisa che tale sanzione si estende anche agli organismi che facilitano il pagamento di riscatti ai criminali informatici per conto delle vittime.
Pertanto, il divieto di pagare i riscatti si applica all'organizzazione vittima dell'attacco hacker e alle società o imprese con cui l'organizzazione colpita ha instaurato rapporti: istituzioni finanziarie, compagnie assicurative, società di consulenza informatica e servizi finanziari che facilitano il pagamento dei riscatti.
Tuttavia, il pagamento del riscatto richiesto dal ransomware può essere effettuato, ma solo per le organizzazioni che collaborano con il Tesoro degli Stati Uniti, l'FBI e altre agenzie governative. (fonte: siliconangle.com).
Senza tale autorizzazione da parte del governo, le organizzazioni violano le sanzioni dell'OFAC. Le conseguenze legali sono significative, in particolare multe che possono arrivare fino a 20 milioni di dollari.
Ransomware: pagare o non pagare?
Secondo ZDNet, uno studio di IBM rivela che «quasi il 70% delle aziende vittime di un attacco ransomware accetta di pagare i criminali informatici». La metà di questi riscatti supera i 10.000 dollari ciascuno. La motivazione principale di queste organizzazioni è recuperare i propri dati, in particolare se riguardano la finanza, i clienti, la proprietà intellettuale e i progetti aziendali. Inoltre, secondo ZDNet, “il 60% dei dirigenti intervistati ammette che pagherebbe per recuperare i dati”.
In Francia, pagare il riscatto richiesto non è illegale. La questione solleva numerose e spinose questioni: infatti, le società del CAC40 hanno obblighi giuridici nei confronti dei propri azionisti, così come gli enti pubblici. Se una legge le condannasse a sanzioni pecuniarie, o addirittura a pene detentive, la sua applicazione risulterebbe estremamente difficile.
Guillaume Poupard, direttore generaledell’ANSSI, raccomanda di non pagare, poiché ciò sostiene finanziariamente gli estorsori e li incoraggia quindi a proseguire su questa strada. Inoltre, il pagamento di un riscatto ai criminali informatici non garantisce in alcun modo che la vittima riottenga l’accesso ai propri dati rubati. I criminali informatici possono, inoltre, conservarne una copia per rivenderla o scambiarla, ad esempio, sul Dark Web.
Una scelta difficile
Sottomettersi?
- Pagare sapendo che questo gesto incoraggia i criminali informatici a compiere ulteriori attacchi. Pagando, un'organizzazione contribuisce a creare un nuovo mercato per i criminali informatici.
- Pagare e correre il rischio di non riuscire a recuperare o decifrare i propri dati. Infatti, i criminali informatici non sempre possiedono la chiave di decifrazione dei ransomware acquistati sul mercato nero.
Resistere?
- Non cedere e, ovviamente, non rinunciare ai propri dati, né subire le conseguenze di un attacco informatico (perdite finanziarie, interruzione o malfunzionamento dei sistemi informatici e della produzione, perdita di fiducia, deterioramento dell’immagine…).
