Il governo olandese ha dichiarato di non sostenere l’introduzione di un divieto legale di pagamento di riscatti ai cybercriminali a seguito di attacchi ransomware, secondo una lettera del Ministero della Giustizia e della Sicurezza.
Il Ministro della Giustizia e della Sicurezza David van Weel ha dichiarato che il governo non vuole criminalizzare le organizzazioni che diventano vittime di incidenti di ransomware. Ha affermato che, sebbene gli attacchi ransomware possano causare gravi disagi e danni finanziari, la decisione sul pagamento o meno del riscatto dovrebbe rimanere all’organizzazione interessata.
Il ministro ha osservato che il governo continua a sconsigliare di pagare riscatti. Secondo la dichiarazione, pagare gli attaccanti non garantisce che i sistemi vengano ripristinati, che i dati rubati vengano cancellati o che non vengano condivisi o venduti. Le linee guida affermano inoltre che i pagamenti del riscatto contribuiscono alla continuazione delle attività criminali informatiche.
La posizione è stata illustrata in risposta a domande parlamentari legate a un recente attacco informatico che ha coinvolto il fornitore olandese di telecomunicazioni Odido. In quell’episodio, gli aggressori associati al gruppo ShinyHunters hanno affermato di aver rubato dati personali a più di sei milioni di persone e hanno minacciato di diffondere le informazioni online.
Nonostante le preoccupazioni per l’impatto più ampio del ransomware, il governo ha affermato che esiste una tensione persistente tra gli interessi delle singole vittime e gli sforzi più ampi per ridurre la criminalità informatica. I funzionari hanno indicato che le organizzazioni potrebbero affrontare pressioni operative e finanziarie immediate che influenzano le loro decisioni durante un attacco.
Il ministro ha dichiarato che, finché queste considerazioni concorrenti non potranno essere risolte chiaramente, il governo manterrà il suo approccio attuale. Questo approccio è in linea con le politiche di diversi altri paesi dell’Unione Europea, dove il pagamento di un riscatto è scoraggiato ma non vietato dalla legge.
La dichiarazione riflette una discussione politica in corso su come i governi dovrebbero rispondere agli incidenti di ransomware e se le restrizioni legali sui pagamenti ridurrebbero o modificherebbero l’attività criminale informatica. Non è stata fornita alcuna tempistica per eventuali modifiche al quadro attuale e le linee guida attuali rimangono in vigore.