Cedere sul riscatto rischia di “incoraggiare i criminali a estorcere direttamente i nostri clienti, e c’è una forte possibilità che pagare metta in pericolo altre persone rendendo l’Australia un bersaglio più grande”. A parlare così all’Australian Financial Review è David Koczkar, che dopo molte critiche ha ammesso le difficoltà di Medibank, la società di cui è amministratore delegato, uno dei maggiori fornitori di assicurazioni sanitarie private d’Australia, recentemente vittima di un pesante attacco hacker che ha colpito i dati di 9,7 milioni di clienti.

Dopo quasi quattro settimane, la società ha ammesso il furto dei dati precedentemente escluso. “Stiamo operando sulla base del fatto che, poiché non ci si può fidare dei criminali, tutti i dati sono stati rubati e questo ci aiuterà a fornire la migliore protezione ai nostri clienti e a contattarli in base alle loro circostanze individuali”, ha dichiarato Koczkar spiegando che il problema è stato un furto di password rubata e non l’inadeguatezza dei sistemi.

L’Australia è uno dei Paesi che la scorsa settimana hanno partecipato al secondo vertice internazionale della Counter Ransomware Initiative ospitato alla Casa Bianca. Con questa iniziativa, l’amministrazione Biden “sta intraprendendo azioni concrete con i nostri partner internazionali per proteggere i nostri cittadini e le nostre imprese dai criminali informatici”, si legge in una nota diffusa dalla Casa Bianca dopo l’incontro. In un briefing con la stampa prima dell’appuntamento, un alto funzionario della Casa Bianca ha spiegato: “Non si tratta tanto della Russia quanto di come noi, come insieme di Paesi, rendiamo più difficile, più costoso e più rischioso il lavoro degli attori del ransomware”. Tra le iniziative della Counter Ransomware Initiative c’è una task force internazionale contro il ransomware, presieduta dall’Australia, per coordinare le attività di resilienza, disruption e contrasto alla finanza illecita.

Il summit ha concluso, ha spiegato Roberto Baldoni, direttore generale dell’Agenzia per la cybersicurezza nazionale, “un anno di attività che ha visto l’Agenzia lavorare a stretto contatto con il ministero degli Affari esteri, il ministero dell’Interno e la Polizia postale, oltre che il ministero dell’Economia e delle finanze per definire l’insieme delle iniziative internazionali da mettere in campo per il contrasto alla minaccia ransomware”: l’Agenzia è stata impegnata nel potenziare la resilienza del Paese in merito agli attacchi cyber, la Farnesina nella fondamentale attività di cyber diplomacy a livello internazionale, le strutture del Mef impegnate nel contrastare la capacità di trarre profitto dalle azioni malevoli, anche sfruttando pagamenti in criptovaluta, e la Polizia postale guidata da Ivano Gabrielli nelle iniziative di disruption dei gruppi criminali.

L’ammissione di Koczkar è a suo modo storica e racconta come siano sempre di più le aziende che dichiarano pubblicamente il loro no al pagamento di riscatti.

Tra i sostenitori della necessità di un dibattito su questo tema anche l’avvocato Stefano Mele, partner e responsabile della cybersecurity dello Studio Gianni&Origoni. Oggi a Formiche.net dichiara: “Si deve inserire nel Codice penale una normale che vieti esplicitamente il pagamento del riscatto derivante da attività estorsive online, ovvero il ransomware”. Non si può procedere come si fa per i sequestri di persona? No, poiché “è impossibile bloccare i beni dell’azienda o della Pubblica amministrazione ricattata, trattandosi di valute digitali”, spiega. “Si dovrebbe prevedere che il pagamento possa avvenire soltanto su autorizzazione della Presidenza del Consiglio dei ministri, sentita l’Agenzia per la cybersicurezza nazionale e il ministero dell’Interno. Inoltre, mutuando ciò che già oggi è previsto in specifici casi per la violazione del Perimetro di sicurezza nazionale cibernetica, si potrebbe prevedere che il pagamento del riscatto senza la preventiva autorizzazione della Presidenza del Consiglio dei ministri comporti, per il soggetto che assume la decisione, la sanzione amministrativa accessoria dell’incapacità ad assumere incarichi di direzione, amministrazione e controllo nelle persone giuridiche e nelle imprese per un periodo di tre anni a decorrere dalla data di accertamento della violazione”, conclude.