L'articolo è stato scritto dal Dr. iur. Dr. rer. pol. Fabian Teichmann in collaborazione con Léonard Gerber. Il testo tratta della monetizzazione del crimine informatico nel contesto dell'economia digitale 4.0. Esamina lo sviluppo dei modelli di business offerti dai criminali informatici sulla darknet. Questi modelli includono servizi illegali come kit di phishing, ransomware, spyware, worm, trojan e servizi di hacking a disposizione di privati, aziende e autorità pubbliche. I criminali informatici utilizzano l'anonimato e le criptovalute come il Bitcoin per le loro transazioni. Oltre ai classici attacchi informatici mirati, vengono discussi anche gli attacchi DDoS (Distributed Denial of Service), che sovraccaricano i server, nonché il perseguimento degli attacchi informatici e la resilienza delle aziende in Svizzera. Le aziende vittime di un attacco informatico spesso esitano a denunciarlo o a sporgere denuncia penale. I motivi sono la tutela della reputazione, l'"attrattiva dei loro servizi e la mancanza di vantaggi nella collaborazione con le forze dell'ordine. Tuttavia, gli attacchi informatici possono essere segnalati al Centro nazionale di sicurezza informatica (NCSC), il cui dipartimento specializzato MELANI (Reporting and Analysis Centre for Information Assurance) analizza il software dannoso utilizzato negli attacchi. Il Servizio svizzero di coordinamento della criminalità informatica (SCOCI) riceve anche richieste di blocco di siti web con contenuti sospetti che possono portare a indagini penali in Svizzera e all'estero. Vale la pena notare, tuttavia, che alcuni settori sono obbligati a segnalare gli attacchi informatici, come le società finanziarie soggette alla vigilanza della FINMA. Le disposizioni di diritto penale in Svizzera coprono il fenomeno della criminalità informatica dal punto di vista dei seguenti reati. L'estorsione, ai sensi dell'art. 156 CP, richiede innanzitutto un mezzo di coercizione, ossia l'uso della forza, la minaccia di un danno grave o qualsiasi altro atto che comprometta la libertà di azione della vittima. In secondo luogo, la vittima deve aver compiuto un atto che lede i suoi interessi economici o quelli di un terzo. Inoltre, deve esistere un nesso causale tra la minaccia e l'atto della vittima, nonché un intento e un obiettivo di arricchimento illegittimo. Gli attacchi DDoS mirano a sovraccaricare un server informatico in modo tale che i servizi online diventino inutilizzabili per gli utenti legittimi. Accade che gli autori di questi attacchi informatici utilizzino tali attacchi come leva contro le loro vittime. Possono anche chiedere un riscatto, spesso in bitcoin, alle loro vittime per interrompere l'attacco, rimettere in funzione i server attaccati e continuare i servizi offerti. In questo caso, la vittima deve cedere alle minacce dell'aggressore informatico. Se non viene richiesto alcun riscatto e la vittima non intraprende alcuna azione dannosa contro i propri interessi finanziari, l'autore del reato può comunque essere colpevole di coercizione ai sensi dell'art. 181 CP, soprattutto nel caso di minacce di danni gravi.
Informazioni sull'autore: Fabian Teichmann è avvocato in Svizzera, notaio a San Gallo, avvocato europeo in Liechtenstein e consulente di gestione a livello internazionale. Ricopre inoltre numerosi incarichi di insegnamento in varie università.
Per ulteriori informazioni su questo argomento, si veda Teichmann, F. & Gerber, L. (2021). La qualification pénale des attaques DDoS en droit suisse. Jusletter. https://doi.org/10.38023/d6456c6e-9284-4a52-be65-eb2b7e9c3b78.