Ransomware, anche pagare è un rischio

Il dipartimento del Tesoro degli Stati Uniti mette in guardia i professionisti del cyber risk: pagare il riscatto per la liberazione dei dati informatici, come previsto da alcune polizze, può costituire una violazione della normativa sul riciclaggio di denaro e comportare sanzioni

Le conseguenze di un attacco ransomware possono non esaurirsi nel pagamento del riscatto. Il dipartimento del Tesoro degli Stati Uniti, attraverso due note firmate dal Financial Crimes Enforcement Network (Fincen) e dall'Office of Foreign Assets Control (Ofac), ha fatto sapere che assecondare le richieste dei criminali informatici può costituire una violazione delle norme sul riciclaggio di denaro e comportare sanzioni. Il monito è rivolto a tutte quelle società che forniscono protezione e servizi di risanamento da attacchi ransomware, comprese dunque compagnie assicurative che vendono polizze informatiche. “I criminali informatici hanno effettuato attacchi contro le nostre scuole, i nostri ospedali e società di tutte le dimensioni”, ha commentato il vice segretario Justin Muzinich. “Il Tesoro – ha proseguito – continuerà a usare i suoi strumenti per fronteggiare gli autori di questi attacchi e i loro facilitatori”.
A seconda delle circostanze, il pagamento di un riscatto può essere visto come un'attività di trasmissione di denaro. Tutte le società attive in questo ambito devono essere registrate nell'albo del Fincen e segnalare le transazioni sospette. Nello specifico, le società sono chiamate a comunicare se sanno, sospettano o hanno motivo di ritenere che la transazione sia superiore a 5mila dollari e coinvolga risorse derivanti da attività illegali. In caso di attacco cyber, il pagamento del riscatto deve dunque essere segnalato alle autorità competenti.

Responsabilità e sanzioni
A ciò si aggiunge poi il fatto che, stando al paper pubblicato dall'Ofac, la transazione può comportare violazioni alla normativa sul riciclaggio di denaro. L'ufficio del dipartimento del Tesoro ha sottolineato che continuerà a sanzionare chi “assista materialmente, sponsorizzi o fornisca supporto finanziario, tecnico o tecnologico” agli autori di attacchi ransomware. Nel dettaglio, l'ufficio ha ricordato che è proibito essere coinvolti in transazioni con soggetti o società inseriti nella Specially Designated Nationals and Blocked Persons List: le violazioni possono comportare sanzioni per responsabilità oggettiva. Persone e istituzioni soggette alla giurisdizione statunitense possono dunque “essere considerate civilmente responsabili anche se non sapevano o non avevano motivo di sapere” di essere coinvolti in una transazione con un soggetto posto sotto il divieto della legge e dei regolamenti gestiti dall'Ofac. Tutto ciò, ha spiegato l'ufficio, “riguarda anche le compagnie che assistono le vittime di attacchi ransomware, come quelle che forniscono polizze informatiche, analisi forensi e servizi di gestione e risposta dopo l'attacco, nonché istituti finanziari che possano essere coinvolti nel processo di pagamento di riscatto”. L'invito dell'Ofac è quello di contattare immediatamente i suoi uffici se si teme che il pagamento del riscatto possa avere esiti sanzionati.
Alla base del monito dell'Ofac c'è soprattutto il timore che il successo della transazione possa finanziare le attività illecite dei criminali informatici e, non secondariamente, incoraggiare altri a effettuare questo genere di attacchi. A ciò si aggiunge poi il fatto che, come ha sottolineato l'Fbi, non sempre al pagamento del riscatto segue il recupero dei propri dati.