Dopo che lo scorso maggio la città di Baltimora era stata paralizzata da un ransomware, il legislatore del Maryland ha pensato di predisporre un disegno di legge con l'intento di sanzionare gli attacchi informatici di questo tipo. Ma la normativa appare lacunosa e contraddittoria, oltre che di dubbia utilità

legge contro ransomware: servirà?

In Maryland c'è un disegno di legge che introduce una fattispecie molto fumosa, rubricata possesso di ransomware e altre attività criminali mediante computer.

La normativa, che disciplina un ambito già abbondantemente coperto dalla legge federale degli Stati Uniti, classifica il mero possesso di ransomware come un reato punibile con un massimo di 10 anni di reclusione e una multa fino a 10 mila dollari. Tuttavia, per fortuna, c'è un'eccezione: la disposizione non si applica all'uso del ransomware per fini di ricerca.

Oltre al mero possesso di ransomware, il disegno di legge prevede altre fattispecie molto simili a quelle contenute nel nostro codice penale agli artt. 615-ter, -quater e -quinquies, e cioè:

  • l'accesso non autorizzato o il tentativo di accedere ad un sistema informatico o telematico
  • qualsiasi atto inteso a causare il malfunzionamento o l'interruzione del predetto sistema
  • il possesso, l'identificazione o il tentativo di identificare un codice di accesso valido, nonché la pubblicazione o la distribuzione di tale codice a una persona non autorizzata.

Paradossalmente, però, queste tre previsioni normative si applicano anche a chi usa un ransomware per fini di ricerca. E questo è un grosso problema, perché nella sua attuale formulazione il disegno di legge vieta la divulgazione di vulnerabilità (a meno che, a monte, non vi sia stata un'espressa autorizzazione all'accesso ai sistemi o ai dati). In altre parole, se il disegno di legge entrasse in vigore, i ricercatori di sicurezza si troverebbero nell'impossibilità di segnalare i bug.

Ma le contraddizioni non finiscono qui: mentre l'accesso o il tentativo di accesso è sempre un reato, violare i database sarebbe un reato solo qualora si determinasse un danno superiore a 10 mila dollari. A cosa è dovuta questa differenza, visto che in entrambi i casi si verifica comunque un accesso abusivo ad un sistema informatico?

Le sanzioni previste per le suddette fattispecie aumentano se sono coinvolti sistemi appartenenti al governo statale, servizi elettrici e del gas o servizi pubblici, con un massimo di 10 anni di reclusione e una multa di $ 25.000 se vengono fatti più di $ 50.000 in danni. Ma queste misure scoraggiano ben poco gli hacker, che il più delle volte appartengono ad organizzazioni criminali estere, con sede in Russia o in altri paesi che difficilmente procederebbero all'estradizione dei criminali per la semplice violazione di una legge statale come quella del Maryland.

Infine, la normativa appare molto lacunosa laddove non prevede alcun aumento di pena per gli attacchi ai governi locali e alle agenzie non statali, che paradossalmente invece sono proprio i bersagli preferiti dai criminali informatici.

» Leggi: Ransomware: la Contea si arrende e paga 400.000 $ di riscatto

La domanda è: c'era bisogno di questo disegno di legge, dato che la materia è già parzialmente disciplinata da una legge federale? Siamo certi che le sanzioni previste per le suddette fattispecie funzionino effettivamente come deterrenti per i criminali informatici? Viste le molteplici lacune e contraddizioni disseminata qua e là, il rischio è che la normativa comporti più danni che benefici.